CWE-525ВариантНеполный
Использование кэша браузера, содержащего конфиденциальные сведения
Веб-приложение не использует надлежащую политику кэширования, определяющую степень кэширования каждой веб-страницы и связанных с ней полей форм.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2025-48947SDK Auth0 Next.js - библиотека для реализации аутентификации пользователей в приложениях Next.js. В версиях Auth0 Next.js SDK от 4.0.1 до 4.6.0 файлы cookie `__session`, установленные auth0.middleware, могут быть закэшированы CDN из-за отсутствия заголовков Cache-Control [1]. Чтобы быть затронутым этой уязвимостью, должны быть выполнены три условия: использование NextJS-Auth0 SDK версий между 4.0.1 и 4.6.0, использование CDN или кэширования на краю, кэширующего ответы с заголовком Set-Cookie, и отсутствие надлежащей настройки заголовка Cache-Control для чувствительных ответов. Рекомендуется обновить auth0/nextjs-auth0 до версии v4.6.1.
Источники:
- [1] https://github.com/auth0/nextjs-auth0/security/advisories/GHSA-f3fg-mf2q-fj3f
CVE-2025-52659На HCL AION версии 2 влияет уязвимость Cacheable HTTP Response. Это может привести к непреднамеренному хранению чувствительного или динамического контента, что может привести к несанкционированному доступу или раскрытию информации.
CVE-2025-52625Уязвимость
Cacheable SSL Найдена уязвимость
в HCL AION.
Кэшированные данные могут раскрывать учетные данные, идентификаторы системы или внутренние пути файлов злоумышленникам с доступом к устройству или браузеру.
Эта проблема затрагивает AION: 2.0.
CVE-2024-30130Сервер HCL Nomad на Domino уязвим для кэша, содержащего конфиденциальную информацию, что потенциально может дать злоумышленнику возможность получить конфиденциальную информацию.
CVE-2024-31906IBM Automation Decision Services 23.0.2 позволяет хранить веб-страницы локально, которые могут быть прочитаны другим пользователем в системе.
CVE-2025-15554Кэшер-браузеры паролей LAPS в LAPSWebUI Truesec до версии 2.4 позволяет злоумышленнику с доступом к рабочей станции, чтобы обострить свои привилегии путем раскрытия местных паролей администратора.
CVE-2026-41918Уязвимость была выявлена в RUGGEDCOM RST2428P (6GK6242-6PA00) (Все версии <V4.0). Затронутые приложения хранят конфиденциальную информацию в кэше браузера, когда аутентифицированный пользователь изменяет определенные конфигурации. Это может позволить аутентифицированному злоумышленнику получить доступ к конфиденциальным данным, хранящимся в браузере.
CVE-2024-45314Flask-AppBuilder - это среда разработки приложений. До версии 4.5.1 директивы кэширования по умолчанию формы входа в БД auth позволяют браузеру локально хранить конфиденциальные данные. Это может быть проблемой в средах, использующих общие компьютерные ресурсы. Версия 4.5.1 содержит исправление для этой проблемы. Если обновление невозможно, настройте свой веб-сервер для отправки определенных HTTP-заголовков для `/login` в соответствии с указаниями, приведенными в GitHub Security Advisory.
CVE-2024-25142Уязвимость, связанная с использованием кэша веб-браузера, содержащего конфиденциальную информацию, в Apache Airflow. Airflow не возвращал заголовок «Cache-Control» для динамического контента, что в случае некоторых браузеров могло привести к потенциальному хранению конфиденциальных данных в локальном кэше браузера. Эта проблема затрагивает Apache Airflow: до 2.9.2. Пользователям рекомендуется выполнить обновление до версии 2.9.2, в которой эта проблема устранена.
CVE-2023-27545IBM Watson CloudPak for Data Data Stores disclosure information 4.6.0 позволяет хранить веб-страницы локально, которые могут быть прочитаны другим пользователем в системе. IBM X-Force ID: 248947.
CVE-2021-42015Уязвимость была выявлена в приложениях Mendix, использующих Mendix 7 (все версии < V7.23.26), приложениях Mendix, использующих Mendix 8 (все версии < V8.18.12), приложениях Mendix, использующих Mendix 9 (все версии < V9.6.1). Приложения, созданные с использованием уязвимых версий Mendix Studio Pro, не предотвращают кэширование файлов документов при открытии или загрузке файлов с помощью браузера. Это может позволить локальному злоумышленнику читать эти документы, изучая кэш браузера.
CVE-2026-41322@astrojs/node позволяет Astro развернуть ваш сайт SSR для целей Node. До 10,0,5, запрос статических js/css ресурсов от пути _astro с неправильным / неправильно сформированным заголовком if-match возвращает ошибку 500 с однолетним сроком действия кэша вместо 412 в некоторых случаях. Это приводит к тому, что все последующие запросы к этому файлу, независимо от заголовка, если матча, будет подан ошибка 5xx вместо файла до истечения срока действия кэша. Эта уязвимость фиксируется в 10.0.5.
CVE-2026-24437Версии прошивки Shenzhen Tenda W30E V2 до V16.01.0.19(5037) включительно обслуживают конфиденциальный административный контент без соответствующих директив управления кэшем. В результате браузеры могут хранить ответы, несуточные учетные данные, подвергая их последующему несанкционированному доступу.
CVE-2025-62276Библиотека документов и модули Adaptive Media в Liferay Portal 7.4.0 до 7.4.3.111, а также более старые неподдерживаемые версии, а также Liferay DXP 2023.Q4.0 до 2023.Q4.10, 2023.Q3.10, 7.4 GA через обновление 92, а более старые неподдерживаемые версии используют неправильный кэш-контроль, который позволяет местным пользователям получать доступ к кэшу.
CVE-2025-1348IBM Sterling B2B Integrator и IBM Sterling File Gateway 6.0.0.0-6.1.2.6 и 6.2.0.6-6.2.0.4 могут позволить локальному пользователю получать конфиденциальную информацию из кэша веб-браузера пользователя из-за неиспользования подходящей политики кэширования.