CWE-316 · Хранение конфиденциальной информации в открытом виде в памяти

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-316ВариантЧерновик

Абстракция: Вариант

Статус: Черновик

Источник ↗

Хранение конфиденциальной информации в открытом виде в памяти

Продукт хранит конфиденциальную информацию в открытом виде в памяти.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2025-52579Продукты Emerson ValveLink хранят конфиденциальную информацию в открытом виде в памяти. Конфиденциальная информация в памяти может быть сохранена на диске, содержаться в дампе памяти или оставаться неочищенной в случае сбоя продукта или если программист не очистит память должным образом перед ее освобождением [1]. Emerson рекомендует пользователям обновить программное обеспечение ValveLink до версии 14.0 или более поздней. CISA рекомендует минимизировать сетевое взаимодействие для всех устройств и систем управления, использовать более безопасные методы удаленного доступа, такие как VPN, и проводить анализ воздействия и оценку рисков перед внедрением защитных мер [2]. Источники: - [1] https://www.cisa.gov/news-events/ics-advisories/icsa-25-189-01 - [2] https://www.emerson.com/en-us/support/security-notifications - [3] https://www.emerson.com/en-us/support/software-downloads-drivers

CVE-2025-50109Продукты Emerson ValveLink хранят конфиденциальную информацию в открытом виде в ресурсе, который может быть доступен другой сфере управления. Успешная эксплуатация этих уязвимостей может позволить злоумышленнику с доступом к системе прочитать конфиденциальную информацию, хранящуюся в открытом виде, изменить параметры и запустить неавторизованный код. Emerson рекомендует пользователям обновить программное обеспечение ValveLink до версии 14.0 или более поздней [1]. Источники: - [1] https://www.cisa.gov/news-events/ics-advisories/icsa-25-189-01

CVE-2024-36792Проблема в реализации WPS в Netgear WNR614 JNR1010V2/N300-V1.1.0.54_1.0.1 позволяет злоумышленникам получить доступ к PIN-коду маршрутизатора.

CVE-2024-39732IBM Datacap Navigator 9.1.5, 9.1.6, 9.1.7, 9.1.8 и 9.1.9 временно хранит данные из различных сред, которые могут быть получены злоумышленником. IBM X-Force ID: 295791.

CVE-2023-44153Раскрытие конфиденциальной информации из-за хранения конфиденциальной информации в памяти в виде открытого текста. Следующие продукты подвержены уязвимости: Acronis Cyber Protect 15 (Linux, macOS, Windows) до сборки 35979.

CVE-2023-3762В Intergard SGS 8.7.0 обнаружена уязвимость. Она была классифицирована как проблематичная. Это затрагивает неизвестную часть. Манипулирование приводит к хранению конфиденциальной информации в памяти в виде открытого текста. Можно инициировать атаку удаленно. Эксплойт был обнародован и может быть использован. Связанный идентификатор этой уязвимости - VDB-234447. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.

CVE-2023-40724В QMS Automotive (все версии < V12.39) была выявлена уязвимость. Учетные данные пользователя находятся в памяти в виде открытого текста. Злоумышленник может выполнить дамп памяти, получить доступ к учетным данным и использовать их для выдачи себя за другого.

CVE-2024-24915Полномочия не очищаются из памяти после использования. Пользователь с разрешениями администратора может выполнить дамп памяти для процесса SmartConsole и получить их.

CVE-2024-25649В Delinea PAM Secret Server 11.4 злоумышленник (с правами администратора на компьютере Secret Server) может прочитать следующие данные из дампа памяти: расшифрованный главный ключ, учетные данные базы данных (если включена аутентификация SQL Server), ключ шифрования сообщений очереди RabbitMQ и файлы cookie сеанса.

CVE-2025-60794Сессионные токены и пароли в диване 0.2.12 хранятся в объектах JavaScript и остаются в памяти без явного очистки в строках 700-707. Это создает окно возможностей для конфиденциального извлечения данных с помощью сбросов памяти, инструментов откровения или других методов доступа к памяти, что потенциально может привести к захвату сеанса.

CVE-2024-49800IBM ApplinX 11.1 хранит конфиденциальную информацию в виде открытого текста в памяти, которую может получить аутентифицированный пользователь.

CVE-2024-33901Проблема в KeePassXC 2.7.7 позволяет злоумышленнику (имеющему привилегии жертвы) восстановить некоторые пароли, хранящиеся в базе данных .kdbx, через дамп памяти. ПРИМЕЧАНИЕ: поставщик оспаривает это, поскольку ограничения управления памятью делают это неизбежным в текущем дизайне и других реалистичных дизайнах.

CVE-2024-33900KeePassXC 2.7.7 позволяет злоумышленнику (имеющему привилегии жертвы) восстановить открытые учётные данные через дамп памяти. ПРИМЕЧАНИЕ: поставщик оспаривает это, поскольку ограничения управления памятью делают это неизбежным в текущем дизайне и других реалистичных дизайнах.

CVE-2022-29832Уязвимость хранения конфиденциальной информации в памяти в виде открытого текста в Mitsubishi Electric Corporation GX Works3 версий 1.015R и более поздних, GX Works2 всех версий и GX Developer версий 8.40S и более поздних позволяет удаленному не прошедшему проверку подлинности злоумышленнику раскрывать конфиденциальную информацию. В результате пользователи, не прошедшие проверку подлинности, могут получить информацию о файле проекта для модулей безопасности ЦП MELSEC или файле проекта для серий MELSEC Q/FX/L с настройкой безопасности.

CVE-2025-60791Easywork Enterprise 2.1.3.354 уязвима для четкого хранения чувствительной информации в памяти. Приложение оставляет действительные лицензионные ключи, связанные с устройством, в памяти процесса после неудачной попытки активации. Ключи можно получить, прикрепив отдач или проанализировав сброс процесса/памяти, а затем их можно использовать для активации программного обеспечения на той же машине без покупки.