CWE-260 · Пароль в файле конфигурации

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-260БазаНеполный

Абстракция: База

Статус: Неполный

Источник ↗

Пароль в файле конфигурации

Продукт хранит пароль в файле конфигурации, который может быть доступен субъектам, не знающим этого пароля.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2023-53739Tinycontrol LAN Controller v3 LK3 версии 1.58a содержит неаутентифицированную уязвимость, которая позволяет удаленным злоумышленникам загружать файлы резервного копирования конфигурации, содержащие конфиденциальные учетные данные. Злоумышленники могут получить файл lk3_settings.bin и извлекать пароли пользователя и администратора base64 без аутентификации.

CVE-2025-57754eslint-ban-moment - это плагин Eslint для окончательного назначения в VIHU. В 3.0.0 и ранее чувствительный URI Supabase подвергается воздействию в .env. Действующий URI Supabase со встроенным именем пользователя и паролем позволит злоумышленнику получить несанкционированный доступ и контроль над базой данных и данными пользователя. Это может привести к эксфильтрации, модификации или удалению данных.

CVE-2023-34128Учетные данные приложения Tomcat жестко закодированы в файле конфигурации SonicWall GMS и Analytics. Эта проблема затрагивает GMS: 9.3.2-SP1 и более ранние версии; Analytics: 2.5.0.4-R7 и более ранние версии.

CVE-2017-7925Обнаружена проблема с паролем в файле конфигурации в устройствах Dahua DH-IPC-HDBW23A0RN-ZS, DH-IPC-HDBW13A0SN, DH-IPC-HDW1XXX, DH-IPC-HDW2XXX, DH-IPC-HDW4XXX, DH-IPC-HFW1XXX, DH-IPC-HFW2XXX, DH-IPC-HFW4XXX, DH-SD6CXX, DH-NVR1XXX, DH-HCVR4XXX, DH-HCVR5XXX, DHI-HCVR51A04HE-S3, DHI-HCVR51A08HE-S3 и DHI-HCVR58A32S-S2. Была выявлена уязвимость пароля в файле конфигурации, которая может привести к тому, что злоумышленник присвоит личность привилегированного пользователя и получит доступ к конфиденциальной информации.

CVE-2025-6513Стандартные пользователи Windows могут получить доступ к файлу конфигурации для доступа к базе данных приложения BRAIN2 и расшифровать его.

CVE-2025-25022Программное обеспечение IBM QRadar Suite версии от 1.10.12.0 до 1.11.2.0 и IBM Cloud Pak for Security версии от 1.10.0.0 до 1.10.11.0 могут позволить неавторизованному пользователю в среде получить крайне важную информацию из файлов конфигурации. Уязвимость связана с хранением конфиденциальной информации в файлах конфигурации (CWE-260). Базовый балл CVSS составляет 9,6, вектор CVSS: (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). Для устранения уязвимости рекомендуется обновить систему до версии не ниже 1.11.3.0 [1]. Источники: - [1] https://www.ibm.com/support/pages/node/7235432

CVE-2019-3780Cloud Foundry Container Runtime, версии до 0.28.0, развертывает рабочие узлы K8s, которые содержат файл конфигурации с учетными данными IAAS. Злоумышленник, имеющий доступ к узлам k8s, может получить учетные данные IAAS, позволяющие пользователю повысить привилегии для получения доступа к учетной записи IAAS.

CVE-2017-7923Обнаружена проблема с паролем в файле конфигурации в Hikvision DS-2CD2xx2F-I Series V5.2.0 build 140721 - V5.4.0 build 160530, DS-2CD2xx0F-I Series V5.2.0 build 140721 - V5.4.0 Build 160401, DS-2CD2xx2FWD Series V5.3.1 build 150410 - V5.4.4 Build 161125, DS-2CD4x2xFWD Series V5.2.0 build 140721 - V5.4.0 Build 160414, DS-2CD4xx5 Series V5.2.0 build 140721 - V5.4.0 Build 160421, DS-2DFx Series V5.2.0 build 140805 - V5.4.5 Build 160928 и DS-2CD63xx Series V5.0.9 build 140305 - V5.3.5 Build 160106. Уязвимость пароля в файле конфигурации может позволить злоумышленнику повысить привилегии или присвоить личность другого пользователя и получить доступ к конфиденциальной информации.

CVE-2025-32111Изображение Docker от acme.sh до 40b6db6 основано на файле .github/workflows/dockerhub.yml, который не имеет "persist-credentials: false" для actions/checkout.

CVE-2023-53770MiniDVLinux 5.4 содержит неаутентифицированную уязвимость загрузки конфигурации, которая позволяет удаленным злоумышленникам получать доступ к конфиденциальным файлам конфигурации системы через прямую ссылку на объект. Нападатели могут использовать конечную точку загрузки резервной копии, отправив запрос GET с «action=getconfig», чтобы получить полный архив конфигурации системы, содержащий конфиденциальные учетные данные.

CVE-2019-25465HiIpcam V100R003 содержит уязвимость к каталогу, которая позволяет злоумышленникам без аутентификации получать доступ к конфиденциальным файлам конфигурации, используя список каталогов в каталоге cgi-bin. Злоумышленники могут запросить конечную точку getadslattr.cgi для извлечения учетных данных ADSL и параметров конфигурации сети, включая имена пользователей, пароли и настройки DNS.

CVE-2021-35033Уязвимость в определенных версиях прошивок Zyxel NBG6818, NBG7815, WSQ20, WSQ50, WSQ60 и WSR30 с предварительно настроенным управлением паролями может позволить злоумышленнику получить root-доступ к устройству, если локальный злоумышленник разберет устройство и использует кабель USB-to-UART для подключения устройства, или если функция удаленной помощи была включена аутентифицированным пользователем.

CVE-2025-33093IBM Sterling Partner Engagement Manager 6.1.0, 6.2.0, 6.2.2 хранит секрет JWT в публичных Helm Charts и не хранит его как секрет Kubernetes. Этот вопрос был решен в последней версии Helm Chart. Подробности можно найти в бюллетене безопасности IBM [1]. Источники: - [1] https://www.ibm.com/support/pages/node/7232762

CVE-2025-33119IBM QRadar SIEM 7.5-7.5-7.5.0 UP14 хранит учетные данные пользователей в конфигурационных файлах управления исходным кодом, которые могут быть прочитаны аутентифицированным пользователем.

CVE-2016-7043Сообщается, что KIE server и Busitess Central до версии 7.21.0.Final содержат имя пользователя и пароль в виде обычных свойств Java. Любое приложение, развернутое на том же сервере, будет иметь доступ к этим свойствам, что предоставит доступ к другим службам.