CWE-526ВариантНеполный
Хранение конфиденциальных сведений в открытом виде в переменной окружения
Продукт использует переменную окружения для хранения незашифрованных конфиденциальных сведений.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2026-45370python-utcp является пейтон-реализацией UTCP. До 1.1.3 _prepare_environment() в cli_communication_protocol.py передает полную копию os.environ каждому подпроцессу CLI. В сочетании с CVE-2026-45369 злоумышленник может использовать все секреты на уровне процесса в одном инструменте. Эта уязвимость зафиксирована в 1.1.3.
CVE-2023-5720Обнаружена уязвимость в Quarkus, где он неправильно очищает артефакты, созданные с помощью плагина Gradle, что позволяет некоторой информации о системе сборки оставаться. Эта уязвимость позволяет злоумышленнику получить доступ к потенциально конфиденциальной информации из системы сборки внутри приложения.
CVE-2025-28381Утечка учетных данных в OpenC3 COSMOS v6.0.0 позволяет злоумышленникам получить доступ к учетным данным служб как переменным среды, хранящимся во всех контейнерах [1][2].
Источники:
- [1] https://openc3.com/
- [2] https://visionspace.com/openc3-cosmos-a-security-assessment-of-an-open-source-mission-framework/
CVE-2023-43029IBM Storage Virtualize vSphere Remote Plug-in 1.0 и 1.1 могут позволить удаленному пользователю получить доступ к конфиденциальной информации удостоверений после развертывания.
CVE-2024-2700Обнаружена уязвимость в компоненте quarkus-core. Quarkus захватывает локальные переменные среды из пространства имен Quarkus во время сборки приложения, поэтому запуск полученного приложения наследует значения, захваченные во время сборки. Некоторые локальные переменные среды могли быть установлены разработчиком или средой CI для целей тестирования, таких как удаление базы данных во время запуска приложения или доверие всем TLS-сертификатам для принятия самозаверенных сертификатов. Если эти свойства настроены с использованием переменных среды или средства .env, они захватываются во встроенное приложение, что может привести к опасному поведению, если приложение не переопределяет эти значения. Это поведение происходит только для свойств конфигурации из пространства имен `quarkus.*`. Свойства, специфичные для приложения, не захватываются.
CVE-2024-4369В операторе внутреннего реестра образов OpenShift обнаружена ошибка раскрытия информации. AZURE_CLIENT_SECRET может быть раскрыт через переменную среды, определенную в определении pod, но это ограничено средами Azure. Злоумышленник, контролирующий учетную запись с достаточными разрешениями для получения информации о pod из пространства имен openshift-image-registry, может использовать этот полученный секрет клиента для выполнения действий от имени служебной учетной записи Azure оператора реестра.
CVE-2026-40153PraisonAAgents - это система мультиагентных команд. До 1.5.128 функция выполнения_command в shell_tools.py вызывает os.path.expandvars() в каждом аргументе команды на строке 64, вручную повторно реализуя изменение переменной среды на уровне оболочки, несмотря на использование shell = False (линия 88) для обеспечения безопасности. Это позволяет эксфильтрацию секретов, хранящихся в переменных среды (аккаунтеренции базы данных, ключи API, ключи доступа к облакам). Система утверждения отображает нерасширенные ссылки $VAR на людей-рецензента, создавая обманчивое одобрение, где отображаемая команда отличается от того, что на самом деле выполняется. Эта уязвимость зафиксирована в 1.5.128.
CVE-2025-36017Контроллер IBM 11.1.0 - 11.1.1 и IBM Cognos Controller 11.0.0 до 11.0.1 FP6 хранит незашифрованную конфиденциальную информацию в файлах переменных окружающей среды, которые могут быть получены аутентифицированным пользователем.
CVE-2024-12604Хранение конфиденциальной информации в открытом виде в переменной окружения, механизм восстановления пароля с недостаточной защитой для забытых паролей в приложении Tap&Sign от компании Tapandsign Technologies позволяет злоумышленнику эксплуатировать восстановление пароля и злоупотреблять функциональностью. Эта проблема затрагивает приложение Tap&Sign: до V.1.025.
CVE-2025-0985IBM MQ 9.3 LTS, 9.3 CD, 9.4 LTS и 9.4 CD
хранят потенциально конфиденциальную информацию в переменных окружения, которая может быть получена локальным пользователем.
CVE-2023-47615CWE-526: Уязвимость, связанная с раскрытием конфиденциальной информации через переменные среды, существует в Telit Cinterion BGS5, Telit Cinterion EHS5/6/8, Telit Cinterion PDS5/6/8, Telit Cinterion ELS61/81, Telit Cinterion PLS62, что может позволить локальному злоумышленнику с низкими привилегиями получить доступ к конфиденциальным данным в целевой системе.
CVE-2025-27899IBM DB2 Recovery Expert для LUW 5.5 Interim Fix 002 раскрывает конфиденциальную информацию в переменной среды, которая может помочь в дальнейших атаках на систему.
CVE-2019-14802HashiCorp Nomad версий с 0.5.0 по 0.9.4 (исправлено в 0.9.5) раскрывает непредусмотренные переменные среды в задачу рендеринга во время рендеринга шаблона, также известная как GHSA-6hv3-7c34-4hx8. Это относится к nomad/client/allocrunner/taskrunner/template.
CVE-2014-2377Ecava IntegraXor SCADA Server Stable 4.1.4360 и более ранние версии, а также Beta 4.1.4392 и более ранние версии позволяют удаленным злоумышленникам обнаруживать полные пути через тег приложения.
CVE-2025-9162Недостаток был обнаружен в org.keycloak/keycloak-model-storage-service. Пользовательский ресурс KeycloakRealmImport замещает заполнителей в импортированных документах о сфере, потенциально ссылаясь на переменные среды. Этот процесс замены
позволяет осуществлять инъекционные атаки при обработке документов о сфере обработки. Злоумышленник может использовать это для введения вредоносного контента во время процедуры импорта в сферу. Это может привести к непредвиденным последствиям в среде Keycloak.