CWE-522КлассНеполный
Недостаточно защищённые учётные данные
Продукт передаёт или хранит учётные данные аутентификации, используя небезопасный метод, уязвимый для несанкционированного перехвата и/или извлечения.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
CAPEC-50
Эксплуатация механизма восстановления пароля
CAPEC-102
Перехват сессии (Session Sidejacking)
CAPEC-474
Подмена подписи путём кражи ключа
CAPEC-509
Атака Kerberoasting
CAPEC-551
Модификация существующей службы
CAPEC-555
Удалённые службы с похищенными учётными данными
CAPEC-560
Использование известных учётных данных домена
CAPEC-561
Использование общих ресурсов Windows с похищенными учётными данными
CAPEC-600
Подстановка учётных данных
CAPEC-644
Использование перехваченных хешей (атака Pass The Hash)
CAPEC-645
Использование перехваченных билетов (атака Pass The Ticket)
CAPEC-652
Использование известных учётных данных Kerberos
CAPEC-653
Использование известных учётных данных операционной системы
Связанные уязвимости
CVE-2025-54863Radiometrics VizAir уязвим для воздействия клавиши REST API системы через общедоступный конфигурационный файл. Это позволяет злоумышленникам удаленно изменять данные о погоде и конфигурации, автоматизировать атаки против нескольких случаев и извлекать конфиденциальные метеорологические данные, которые потенциально могут скомпрометировать операции аэропорта. Кроме того, злоумышленники могут наводнить систему ложными оповещениями, что приводит к состоянию отказа в обслуживании и значительным сбоям в работе аэропорта. Несанкционированный дистанционный контроль авиационного мониторинга погоды и манипулирование данными может привести к неправильному планированию полетов и опасным условиям взлета и посадки.
CVE-2024-12799Уязвимость недостаточно защищенных учетных данных в OpenText Identity Manager Advanced Edition на Windows, Linux,
64 бит позволяет злоупотребление привилегиями. Эта уязвимость может позволить аутентифицированному пользователю получить конфиденциальную информацию более привилегированного пользователя через специально подготовленный полезный груз.
Эта проблема затрагивает Identity Manager Advanced
Edition: с 4.8.0.0 до 4.8.7.0102, 4.9.0.0.
CVE-2025-0867Обычный пользователь использует функцию запуска как для запуска приложений MEAC с административными привилегиями. Для обеспечения автоматического запуска системы учетные данные администратора были сохранены. В результате пользователь EPC2 может выполнять любые команды с административными привилегиями. Это позволяет повысить привилегии до уровня администратора.
CVE-2021-36783Уязвимость, связанная с недостаточно защищенными учетными данными в SUSE Rancher, позволяет аутентифицированным владельцам кластеров, членам кластеров, владельцам проектов и членам проектов читать учетные данные, пароли и токены API, которые были сохранены в виде открытого текста и предоставлены через конечные точки API. Эта проблема затрагивает: SUSE Rancher Rancher версии до 2.6.4; Rancher версии до 2.5.13.
CVE-2019-1384Существует уязвимость обхода функции безопасности, при которой сообщение NETLOGON может получить ключ сеанса и подписывать сообщения. Чтобы воспользоваться этой уязвимостью, злоумышленник может отправить специально созданный запрос аутентификации, также известная как «Уязвимость обхода функции безопасности Microsoft Windows».
CVE-2026-23658Недостаточно защищенные учетные данные в Azure DevOps позволяют несанкционированному злоумышленнику повысить привилегии над сетью.
CVE-2025-55306GenX_FX - это авансированная торговая платформа IA, которая будет сосредоточена на торговле на рынке Форекс. Уязвимость была идентифицирована в бэкенде GenX FX, где ключи API и токены аутентификации могут быть обнаружены, если переменные среды неправильно настроены. Несанкционированные пользователи могут получить доступ к облачным ресурсам (Google Cloud, Firebase, GitHub и т.д.).
CVE-2025-54428RevelaCode - это проект, ориентированный на интеллект, который декодирует библейские стихи, пророчества и глобальные события на доступный язык. В версиях ниже 1.0.1 действительный MongoDB Atlas URI со встроенным именем пользователя и паролем был случайно передан в общественное хранилище. Это может позволить несанкционированный доступ к производственным или постановочным базам данных, что может привести к эксфильтрации, изменению или удалению данных. Это исправлено в версии 1.0.1. Пространства включают в себя: немедленное вращение учетных данных для пользователя базы данных, использование секретного менеджера (например, Vault, Doppler, AWS Secrets Manager и т. Д.) Вместо хранения секретов непосредственно в коде или аудит недавних журналов доступа на предмет подозрительной активности.
CVE-2025-52095Проблема в PDQ Smart Deploy V.3.0.2040 позволяет злоумышленнику нагнетать привилегии с помощью процедур шифрования учетных данных в SDCommon.dll
CVE-2025-27650Vasion Print (ранее PrinterLogic) до версии Virtual Appliance Host 22.0.862 Application 20.0.2014 позволяет частные ключи в Docker Overlay V-2023-013.
CVE-2025-27648Vasion Print (ранее PrinterLogic) до Virtual Appliance Host 22.0.913 приложение 20.0.2253 позволяет раскрытие паролей между тенантами V-2024-003.
CVE-2025-25570Vue Vben Admin 2.10.1 позволяет несанкционированный доступ к бэкэнду из-за проблемы с жестко закодированными учетными данными.
CVE-2025-23342Инструмент NVIDIA NVDebug содержит уязвимость, которая может позволить злоумышленнику получить доступ к привилегированной учетной записи. Успешная эксплуатация этой уязвимости может привести к выполнению кода, отказу в обслуживании, повышению привилегий, раскрытию информации и нарушению целостности данных [1].
Источники:
- [1] https://nvidia.custhelp.com/app/answers/detail/a_id/5696
CVE-2024-57395Уязвимость пароля в системе управления производственными процессами Safety v1.0 позволяет удаленному злоумышленнику повышать привилегии, выполнять произвольный код и получать конфиденциальную информацию через параметры пароля и номера учетной записи.
CVE-2024-44000Уязвимость, связанная с недостаточно защищенными учетными данными, в LiteSpeed Technologies LiteSpeed Cache допускает обход аутентификации. Эта проблема затрагивает LiteSpeed Cache: от n/a до 6.5.0.1.