CWE-215БазаЧерновик
Включение конфиденциальной информации в отладочный код
Продукт включает конфиденциальную информацию в отладочный код, что может привести к её раскрытию, если отладочный код не отключён в производственной среде.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2024-7569Уязвимость раскрытия информации в Ivanti ITSM on-prem и Neurons for ITSM версий 2023.4 и более ранних позволяет неаутентифицированному злоумышленнику получить секрет клиента OIDC через отладочную информацию.
CVE-2019-3781Cloud Foundry CLI, версии до v6.43.0, неправильно раскрывает пароли, когда включено verbose/trace/debugging. Локальный не прошедший проверку подлинности или удаленный прошедший проверку подлинности злоумышленник с доступом к журналам может получить часть или весь пароль пользователя.
CVE-2018-1191Cloud Foundry Garden-runC, версии до 1.11.0, содержит уязвимость раскрытия информации. Пользователь с доступом к журналам Garden может получить утечку учетных данных и выполнять аутентифицированные действия с использованием этих учетных данных.
CVE-2026-2250Конечную точку /dbviewer/ web в устройствах METIS WIC экспонируется без аутентификации. Удаленный злоумышленник может получить доступ и экспортировать внутреннюю телеметрическую базу данных SQLite, содержащую конфиденциальные операционные данные. Кроме того, приложение настроено с включенным режимом отладки, в результате чего уродливые запросы возвращает словесные трекбэки Django, которые раскрываются исходный код backend, локальные пути файлов и конфигурацию системы.
CVE-2025-27684Vasion Print (ранее PrinterLogic) до Virtual Appliance Host 1.0.735 Application 20.0.1330 позволяет отладочный пакет содержать конфиденциальные данные V-2022-003.
CVE-2023-51390journalpump — это демон, который принимает сообщения журнала из journald и передает их в заданный вывод. В journalpump была обнаружена уязвимость ведения журнала, которая регистрирует конфигурацию интеграции службы в виде обычного текста в предоставленный конвейер ведения журнала, включая информацию об учетных данных, содержащуюся в конфигурации, если таковая имеется. Проблема была исправлена в journalpump 2.5.0.
CVE-2025-34081Контек Ко., Лтд. CONPROSYS HMI System (CHS) раскрывает страницу отобработки PHP phpinfo() для неаутентифицированных пользователей, которые могут содержать конфиденциальные данные, полезные для злоумышленника.Эта проблема затрагивает CONPROSYS HMI System (CHS): до 3.7.7.
CVE-2025-58598Плагин Klarna Order Management for WooCommerce уязвим к раскрытию конфиденциальных данных из-за наличия отладочной информации. Злоумышленник может воспользоваться этой уязвимостью, чтобы получить доступ к конфиденциальной информации, которая обычно недоступна обычным пользователям. Проблема исправлена в версии 1.9.9. Рекомендуется обновиться до версии 1.9.9 или выше. Подробнее об этой уязвимости можно узнать из источника [1].
Источники:
- [1] https://patchstack.com/database/wordpress/plugin/klarna-order-management-for-woocommerce/vulnerability/wordpress-klarna-order-management-for-woocommerce-plugin-1-9-8-sensitive-data-exposure-vulnerability?_s_id=cve
CVE-2022-0721Вставка конфиденциальной информации в код отладки в репозитории GitHub microweber/microweber до версии 1.3.
CVE-2026-33247NATS-Server - это высокопроизводительный сервер для NATS.io, облачной и периферийной системы обмена сообщениями. До версий 2.11.15 и 2.12.6, если nats-сервер работает со статическими учетными данными для всех клиентов, предоставляемых через argv (командную строку), то эти учетные данные видны любому пользователю, который может видеть порт мониторинга, если это тоже включено. Конечная точка `/debug/vars` содержит неотредактированную копию argv. Версий 2.11.15 и 2.12.6 содержат исправление. В качестве обходного пути настройте учетные данные внутри конфигурационного файла, а не через argv, и не включите порт мониторинга, если вы используете секреты в argv. Наилучшая практика по-прежнему заключается в том, чтобы не подвергать порт мониторинга Интернету или ненадежным сетевым источникам.
CVE-2023-49194Уязвимость Insertion of Sensitive Information Into Debugging Code в Importify Importify (Dropshipping WooCommerce) позволяет извлекать встроенные конфиденциальные данные. Эта проблема затрагивает Importify (Dropshipping WooCommerce): от n/a до 1.0.4.
CVE-2018-1002104Версии < 1.5 внутреннего бэкенда Kubernetes ingress по умолчанию, который обрабатывает недействительный трафик ingress, предоставляли метрики prometheus публично.
CVE-2023-21462Уязвимость, связанная с раскрытием конфиденциальной информации в Quick Share Agent версий ниже 3.5.14.18 в Android 12 и 3.5.16.20 в Android 13, позволяет локальному злоумышленнику получить доступ к MAC-адресу без соответствующего разрешения.
CVE-2024-22194Проект cdo-local-uuid предоставляет специализированную функцию генерации UUID, которая по запросу пользователя может заставить программу генерировать детерминированные UUID. Уязвимость утечки информации присутствует в `cdo-local-uuid` в версии `0.4.0` и в `case-utils` в неисправленных версиях (соответствующих шаблону `0.x.0`) в версии `0.5.0` и новее, до `0.15.0`. Уязвимость проистекает из функции Python `cdo_local_uuid.local_uuid()` и ее оригинальной реализации `case_utils.local_uuid()`.
CVE-2025-0895IBM Cognos Analytics Mobile 1.1 для Android может позволить пользователю с физическим доступом к устройству получить конфиденциальную информацию из сообщений журналов отладки.