CWE-312БазаЧерновик
Хранение конфиденциальной информации в открытом виде
Продукт хранит конфиденциальную информацию в открытом виде в ресурсе, который может быть доступен другой сфере управления.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2021-36782Уязвимость, связанная с хранением конфиденциальной информации в виде открытого текста в SUSE Rancher, позволяет аутентифицированным владельцам кластеров, членам кластеров, владельцам проектов, членам проектов и базе пользователей использовать API Kubernetes для получения версии конфиденциальных данных в виде открытого текста. Эта проблема затрагивает: SUSE Rancher Rancher версии до 2.5.16; Rancher версии до 2.6.7.
CVE-2025-65826Было обнаружено, что мобильное приложение содержит сохраненные учетные данные для сети, в которой оно было разработано. Если злоумышленник извлек это, и нашел физическое местоположение сети Wi-Fi, они могли получить несанкционированный доступ к сети Wi-Fi продавца. Кроме того, если злоумышленник был расположен в непосредственной физической близости к устройству при его первой настройке, он может заставить устройство автоматически подключаться к точке доступа, контролируемой злоумышленником, путем установки SSID и пароля на тот же, что и в файле прошивки.
CVE-2025-30124На устройствах Marbella KR8s Dashcam FF 2.0.8 была обнаружена проблема. Когда новая SD-карта вставляется в dashcam, существующий пароль записывается на SD-карту в открытом тексте автоматически. Злоумышленник с временным доступом к dashcam может переключить SD-карту, чтобы украсть этот пароль.
CVE-2024-46340Обнаружено, что TL-WR845N(UN)_V4_201214, TP-Link TL-WR845N(UN)_V4_200909 и TL-WR845N(UN)_V4_190219 передают учетные данные пользователя в виде открытого текста после выполнения сброса к заводским настройкам.
CVE-2023-33373Connected IO v2.1.0 и более ранние версии хранят пароли и учетные данные в формате открытого текста, что позволяет злоумышленникам извлекать учетные данные и использовать их для выдачи себя за устройства.
CVE-2023-31069В TSplus Remote Access до версии 16.0.2.14 обнаружена проблема. Учетные данные хранятся в виде открытого текста в HTML-исходном коде страницы входа.
CVE-2023-2809Уязвимость использования учетных данных в виде обычного текста в Sage 200 Spain версии 2023.38.001, эксплуатация которой может позволить удаленному злоумышленнику извлечь учетные данные базы данных SQL из приложения DLL. Эта уязвимость может быть связана с известными методами получения удаленного выполнения команд MS SQL и повышения привилегий в системах Windows, поскольку учетные данные хранятся в виде обычного текста.
CVE-2022-26148Проблема обнаружена в Grafana до версии 7.3.4 при интеграции с Zabbix. Пароль Zabbix можно найти в исходном коде HTML api_jsonrpc.php. Когда пользователь входит в систему и разрешает пользователю зарегистрироваться, можно щелкнуть правой кнопкой мыши, чтобы просмотреть исходный код, и использовать Ctrl-F для поиска пароля в api_jsonrpc.php, чтобы узнать пароль учетной записи Zabbix и адрес URL.
CVE-2021-29954Функциональность прокси, встроенная в программное обеспечение Hubs Cloud’s Reticulum, позволяла получить доступ к внутренним URL-адресам, включая службу метаданных. Эта уязвимость затрагивает Hubs Cloud < mozillareality/reticulum/1.0.1/20210428201255.
CVE-2020-5723Серия UCM6200 1.0.20.22 и ниже хранит незашифрованные пароли пользователей в базе данных SQLite. Это может позволить злоумышленнику получить все пароли и, возможно, получить повышенные привилегии.
CVE-2020-15332Zyxel CloudCNM SecuManager 3.1.0 и 3.1.1 имеет слабые права доступа к /opt/axess/etc/default/axess.
CVE-2019-9873В нескольких версиях JetBrains IntelliJ IDEA Ultimate создание конфигураций серверов задач приводит к сохранению незашифрованной записи учетных данных сервера в файлах конфигурации IDE. Проблема была исправлена в следующих версиях: 2019.1, 2018.3.5, 2018.2.8 и 2018.1.8.
CVE-2019-9823В нескольких версиях JetBrains IntelliJ IDEA создание удаленных конфигураций запуска серверов приложений JavaEE приводит к сохранению записи учетных данных сервера в виде открытого текста в файлах конфигурации IDE. Проблема была исправлена в следующих версиях: 2018.3.5, 2018.2.8, 2018.1.8.
CVE-2019-19228Устройства Fronius Solar Inverter до версии 3.14.1 (HM 1.12.1) позволяют злоумышленникам обходить аутентификацию, поскольку пароль для учетной записи today хранится в файле /tmp/web_users.conf.
CVE-2019-18868Blaauw Remote Kiln Control до версии v3.00r4 позволяет не прошедшему проверку подлинности злоумышленнику получить доступ к учетным данным MySQL в виде открытого текста в /engine/db.inc, /lang/nl.bak или /lang/en.bak.