CWE-213БазаЧерновик
Раскрытие конфиденциальной информации вследствие несовместимости политик
Предусмотренная функциональность продукта раскрывает информацию определённым субъектам в соответствии с политикой безопасности разработчика, однако эта информация считается конфиденциальной согласно политикам безопасности других заинтересованных сторон — администраторов продукта, пользователей или иных лиц, чьи данные обрабатываются.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2023-32002Использование `Module._load()` может обойти механизм политики и потребовать модули вне определения policy.json для данного модуля.
Эта уязвимость затрагивает всех пользователей, использующих экспериментальный механизм политики во всех активных версиях: 16.x, 18.x и 20.x.
Обратите внимание, что на момент выпуска этого CVE политика является экспериментальной функцией Node.js.
CVE-2020-1652OpenNMS доступен через порт 9443.
CVE-2023-3441Проблема обнаружена в GitLab EE/CE, затрагивающая все версии, начиная с 8.0 до 16.4. Продукт недостаточно предупреждал о последствиях для безопасности предоставления прав слияния защищенным веткам.
CVE-2024-49827IBM Concert Software 1.0.0-1.0 уязвима для чрезмерного воздействия данных, что позволяет злоумышленникам получать доступ к конфиденциальной информации без надлежащей фильтрации.
CVE-2024-49354IBM Concert версий 1.0.0, 1.0.1 и 1.0.2 уязвим к раскрытию конфиденциальной информации через специально созданные вызовы API.
CVE-2023-6517Уязвимость раскрытия конфиденциальной информации из-за несовместимых политик в Mia Technology Inc. MİA-MED позволяет собирать данные, предоставленные пользователями. Эта проблема затрагивает MİA-MED: до версии 1.0.7.
CVE-2022-30350Программное обеспечение Avanquest RAD PDF (PDFEscape Online) 3.19.2.2 подвержено утечке информации / раскрытию. Инструмент PDFEscape Online предоставляет пользователям функциональность "white out" для удаления изображений, текста и других графических объектов из PDF-документа. Однако этот механизм не удаляет основного текста или спецификацию объектов PDF из PDF-документа. В результате, например, удалённый текст может быть скопирован и вставлен считывателем PDF.
CVE-2019-1010283Univention Corporate Server univention-directory-notifier 12.0.1-3 и более ранние версии подвержены уязвимости: CWE-213: Преднамеренное раскрытие информации. Воздействие: потеря конфиденциальности. Компонент: функция data_on_connection() в src/callback.c. Вектор атаки: сетевое подключение. Исправленная версия: 12.0.1-4 и более поздние.
CVE-2024-7267Уязвимость, связанная с раскрытием конфиденциальной информации, в Naukowa i Akademicka Sieć Komputerowa - Państwowy Instytut Badawczy EZD RP позволяет вошедшему в систему пользователю получать информацию об IP-инфраструктуре и учетных данных. Эта проблема затрагивает EZD RP всех версий до 19.6.
CVE-2023-32006Использование `module.constructor.createRequire()` может обойти механизм политики и требовать модули вне определения policy.json для данного модуля.
Эта уязвимость затрагивает всех пользователей, использующих экспериментальный механизм политики во всех активных версиях: 16.x, 18.x и 20.x.
Обратите внимание, что на момент выпуска этого CVE политика является экспериментальной функцией Node.js.
CVE-2025-24316Инфраструктура сервера Dario Health, основанная на интернет-технологиях, уязвима из-за раскрытия деталей среды разработки, что может привести к небезопасной функциональности.
CVE-2025-54831Apache Airflow 3 внес изменения в обработку конфиденциальной информации в Connections. Предполагалось ограничить доступ к конфиденциальным полям соединений для пользователей, редактирующих соединения. Однако в Airflow 3.0.3 эта модель была непреднамеренно нарушена: конфиденциальная информация о соединении могла быть просмотрена пользователями с правами READ через API и UI. Это поведение также обходило параметр конфигурации `AIRFLOW__CORE__HIDE_SENSITIVE_VAR_CONN_FIELDS`. Пользователям Airflow 3.0.3 рекомендуется обновить Airflow до версии >=3.0.4 [1].
Источники:
- [1] https://lists.apache.org/thread/vblmfqtydrp5zgn2q8tj3slk5podxspf
CVE-2022-22541SAP BusinessObjects Business Intelligence Platform версий 420, 430 может позволить законным пользователям получать доступ к информации, которую они не должны видеть через реляционные или OLAP-соединения. Основным последствием является раскрытие данных компании людям, которые не должны или не нуждаются в доступе.
CVE-2025-4976В GitLab EE обнаружена проблема, затрагивающая все версии от 17.0 до 18.0.5, 18.1 до 18.1.3 и 18.2 до 18.2.1. При определенных обстоятельствах злоумышленник мог получить доступ к внутренним заметкам в ответах GitLab Duo [1].
Источники:
- [1] https://gitlab.com/gitlab-org/gitlab/-/issues/543905
- [2] https://hackerone.com/reports/3149956
CVE-2023-40570Datasette — это многофункциональный инструмент с открытым исходным кодом для изучения и публикации данных. Эта ошибка затрагивает экземпляры Datasette, работающие под управлением Datasette 1.0 alpha — 1.0a0, 1.0a1, 1.0a2 или 1.0a3 — в общедоступном месте, но с включенной аутентификацией с использованием плагина, такого как datasette-auth-passwords. Конечная точка API-обозревателя `/-/api` может раскрывать имена как баз данных, так и таблиц, но не их содержимое — не прошедшему аутентификацию пользователю. Datasette 1.0a4 содержит исправление для этой проблемы. Это заблокирует доступ к API-обозревателю, но по-прежнему позволит получить доступ к API-интерфейсам Datasette для чтения или записи JSON, поскольку они используют разные шаблоны URL в иерархии Datasette `/database`. Эта проблема исправлена в версии 1.0a4.