CWE-523БазаНеполный
Незащищённая передача учётных данных
Страницы входа не используют надлежащих мер защиты имени пользователя и пароля при их передаче от клиента к серверу.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2020-25175Продукты для визуализации и ультразвуковой диагностики GE Healthcare могут позволить раскрыть определенные учетные данные во время передачи по сети.
CVE-2026-8673Незащищенная транспортировка уязвимости учетных данных в программном обеспечении syslink AG Avantra на Linux, Windows позволяет Sniffing Attacks.
Эта проблема затрагивает Avantra: до 25.3.0.
CVE-2025-57800Audiobookshelf - это самостоятельные аудиокнижки с открытым исходным кодом. В версиях 2.6.0-2.26.3 приложение не ограничивает должным образом перенаправление URL-адресов обратного вызова во время аутентификации OIDC. Злоумышленник может создать ссылку для входа в систему, которая заставляет Audiobookshelf хранить произвольный обратный вызов в файле cookie, который позже используется для перенаправления пользователя после аутентификации. Затем сервер выдает перенаправление 302 на URL-адрес, контролируемый злоумышленником, в качестве параметров запроса, принося чувствительные токены OIDC. Это позволяет злоумышленнику получить токены жертвы и выполнить полное поглощение учетной записи, в том числе создать постоянных пользователей администратора, если жертва является администратором. Токены далее просачиваются через историю браузера, заголовки рефереров и журналы серверов. Эта уязвимость влияет на все развертывания аудиокнижных систем с использованием OIDC; не требуется дезочка IdP. Выпуск исправлен в версии 2.28.0. Известных обходных путей не существует.
CVE-2017-16731В ABB Ellipse 8.3 через Ellipse 8.9, выпущенных до декабря 2017 года (включая Ellipse Select), обнаружена проблема незащищенной передачи учетных данных. Существует уязвимость в аутентификации Ellipse в LDAP/AD с использованием протокола LDAP. Злоумышленник может использовать эту уязвимость, перехватывая трафик локальной сети, что позволит обнаружить учетные данные аутентификации.
CVE-2025-64308Веб-приложение Brightpick Mission Control раскрывает жесткие учетные данные в своем клиентском пакете JavaScript.
CVE-2025-64309Brightpick Управление полетами
раскрывает телеметрию устройства, конфигурацию и учетную информацию
через трафик WebSocket для пользователей без аутентификации, когда они подключаются к
Конкретный URL. Неаутентифицированный URL может быть обнаружен через базовый
Методы сканирования сети.
CVE-2024-1509Веб-интерфейс Brocade ASCG до версии 3.2.0 не применяет HSTS, как определено в RFC 6797. HSTS — это необязательный заголовок ответа, который можно настроить на сервере, чтобы указать браузеру только общаться через HTTPS. Отсутствие HSTS позволяет проводить атаки по понижению уровня, атаки типа SSL-stripping man-in-the-middle и ослабляет защиту от кражи куки.
CVE-2025-61121Мобильный сканер Android App версии 2.12.38 (имя пакета com.glority.everlens), разработанный Glority Global Group Ltd., содержит учетную уязвимость. Неправильное обращение с учетными данные облачных сервисов может позволить злоумышленникам получить их и осуществить несанкционированные действия, такие как раскрытие конфиденциальной информации и злоупотребление облачными ресурсами. Успешная эксплуатация может привести к нарушениям конфиденциальности и неправомерному использованию инфраструктуры платформы.
CVE-2023-31277PiiGAB M-Bus передает учетные данные в формате открытого текста.
CVE-2023-22862IBM Aspera Connect 4.2.5 и IBM Aspera Cargo 4.2.5 передают учетные данные аутентификации, но используют небезопасный метод, который подвержен несанкционированному перехвату и/или извлечению.
CVE-2022-31805В CODESYS Development System несколько компонентов в нескольких версиях передают пароли для связи между клиентами и серверами незащищенными.
CVE-2021-38460Уязвимость обхода пути в программном обеспечении Moxa MXview Network Management версий 3.x до 3.2.2 может позволить злоумышленнику создавать или перезаписывать критические файлы, используемые для выполнения кода, такие как программы или библиотеки.
CVE-2024-20395Уязвимость в функциональности извлечения медиафайлов Cisco Webex App может позволить неаутентифицированному смежному злоумышленнику получить доступ к конфиденциальной информации о сеансе.
Эта уязвимость связана с небезопасной передачей запросов к серверным службам, когда приложение получает доступ к встроенным медиафайлам, таким как изображения. Злоумышленник может воспользоваться этой уязвимостью, отправив сообщение со встроенными медиафайлами, хранящимися на сервере обмена сообщениями, целевому пользователю. Если злоумышленник может наблюдать передаваемый трафик в привилегированном сетевом положении, успешная эксплуатация может позволить злоумышленнику захватить информацию о токене сеанса из небезопасно переданных запросов и, возможно, повторно использовать захваченную информацию о сеансе для выполнения дальнейших действий от имени целевого пользователя.
CVE-2024-4188Уязвимость незащищенной передачи учетных данных в OpenText™ Documentum™ Server может привести к перебору учетных данных. Проблема затрагивает Documentum™ Server: с 16.7 по 23.4.
CVE-2025-41705Неаутентифицированный удаленный злоумышленник (MITM) может перехватывать сообщения веб-сетки, чтобы получить доступ к учетным данным для входа в систему для Webfrontend.