CWE-359БазаНеполный
Раскрытие персональных данных неавторизованному субъекту
Продукт не предотвращает должным образом доступ к персональным данным лица со стороны субъектов, которые (1) не имеют явного разрешения на доступ к этой информации или (2) не имеют неявного согласия лица, о котором эти данные собраны.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2023-36018Уязвимость спуфинга расширения Visual Studio Code Jupyter.
CVE-2025-15623Воздействие частной личной информации на неавторизованного актера: воздействие чувственной системной информации на уязвимость несанкционированной системы в Sparx Systems Pty Ltd. Облачный сервер Sparx Pro.
Неаутентифицированный пользователь может получить пароль базы данных в открытом тексте в определенных ситуациях
CVE-2022-1650Неправильное удаление конфиденциальной информации перед хранением или передачей в репозитории GitHub eventsource/eventsource до версии v2.0.2.
CVE-2024-49765Discourse - это платформа с открытым исходным кодом для обсуждения в сообществе. Сайты, использующие discourse connect, но все еще имеющие локальные логины, могут позволить злоумышленникам обойти discourse connect для создания учетных записей и входа в систему. Эта проблема исправлена в последней версии Discourse. Пользователи, не имеющие возможности обновиться и использующие discourse connect, могут отключить все другие методы входа в качестве обходного пути.
CVE-2022-0482Предоставление личной информации неавторизованному субъекту в репозитории GitHub alextselegidis/easyappointments до версии 1.4.3.
CVE-2022-2921Предоставление частной личной информации неавторизованному субъекту в репозитории GitHub notrinos/notrinoserp до v0.7. Это приводит к повышению привилегий до учетной записи системного администратора. Злоумышленник может получить доступ к защищенным функциям, таким как создание/обновление компаний, установка/обновление языков, установка/активация расширений, установка/активация тем и другие разрешительные действия.
CVE-2026-26237Сообщалось, что недостающая уязвимость авторизации затронет QuMagie. Затем удаленные злоумышленники могут использовать уязвимость для доступа к несанкционированным данным или совершения несанкционированных действий.
Мы уже исправили уязвимость в следующей версии:
QuMagie 2.9.0 и более поздние
CVE-2025-54125Платформа XWiki - это универсальная вики-платформа, предоставляющая сервисы для приложений, построенных на ее основе. В версиях XWiki Platform Legacy Old Core и XWiki Platform Old Core от 1.1 до 16.4.6, 16.5.0-rc-1 до 16.10.4 и 17.0.0-rc-1 до 17.1.0 экспорт страницы в формате XML, который может быть инициирован любым пользователем с правами просмотра страницы путем добавления ?xpage=xml к URL, включает свойства пароля и электронной почты, хранящиеся в документе, даже если они не названы password или email. Эта уязвимость была исправлена в версиях 16.4.7, 16.10.5 и 17.2.0-rc-1. В качестве обходного пути можно удалить файл templates/xml.vm из развернутого WAR, если экспорт XML не нужен. В самой XWiki нет функций, зависящих от этого экспорта [1].
Источники:
- [1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-57q2-6cp4-9mq3
- [2] https://github.com/xwiki/xwiki-platform/commit/742ee3482ef6c2bd4ad03d0de9cdd81d0e8f3d59
- [3] https://jira.xwiki.org/browse/XWIKI-22810
CVE-2025-53625Расширение DynamicPageList3 - это инструмент отчетности для MediaWiki, который перечисляет члены категории и пересечения с различными форматами и деталями. Несколько параметров #dpl могут раскрыть имена пользователей, которые были скрыты с помощью удаления редакции, подавления или флага блокировки hideuser. Уязвимость исправлена в версии 3.6.4 [1].
Источники:
- [1] https://github.com/Universal-Omega/DynamicPageList3/security/advisories/GHSA-7pgw-q3qp-6pgq
- [2] https://github.com/Universal-Omega/DynamicPageList3/commit/a3dae0c89fb4214390c29ceffa23bbe2099986d6
CVE-2025-20060Злоумышленник может раскрыть личную информацию о пользователе (PII) и личную медицинскую информацию, передаваемую на устройство Android через базу данных приложения Dario Health.
CVE-2024-47087Эта уязвимость существует в Apex Softcell LD Geo из-за неправильной проверки определенных параметров (Client ID, DPID или BOID) в конечной точке API. Аутентифицированный удаленный злоумышленник может использовать эту уязвимость, манипулируя параметрами в теле запроса API, что приведет к раскрытию конфиденциальной информации, принадлежащей другим пользователям.
CVE-2024-47085Эта уязвимость существует в Apex Softcell LD DP Back Office из-за неправильной проверки определенных параметров (cCdslClicentcode и cLdClientCode) в конечной точке API. Аутентифицированный удаленный злоумышленник может использовать эту уязвимость, манипулируя параметрами в теле запроса API, что приведет к раскрытию конфиденциальной информации, принадлежащей другим пользователям.
CVE-2024-45787Эта уязвимость существует в Reedos aiM-Star версии 2.0.1 из-за передачи конфиденциальной информации в виде простого текста в определенных конечных точках API. Аутентифицированный удаленный злоумышленник может использовать эту уязвимость, манипулируя параметром через URL-адрес запроса API и перехватывая ответ запроса API, что приводит к раскрытию конфиденциальной информации, принадлежащей другим пользователям.
CVE-2020-37173AVideo Platform 8.1 содержит уязвимость раскрытия информации, которая позволяет злоумышленникам перечислять данные пользователей через конечную точку playlistsFromUser.json.php. Злоумышленники могут получить конфиденциальную информацию о пользователях, включая электронную почту, хэш пароля и административный статус, манипулируя параметром user_id.
CVE-2025-13008Уязвимость раскрытия информации в M-Files Server до версий 25.12.15491/, 25.8 LTS SR3, 25.2 LTS SR3 и 24.8 LTS SR5 позволяет аутентифицированному злоумышленнику, использующего M-Files Web, захватывать сессионные токены других активных пользователей.