CWE-531ВариантНеполный
Включение конфиденциальных сведений в тестовый код
Доступные тестовые приложения могут создавать разнообразные угрозы безопасности. Поскольку разработчики или администраторы редко предполагают, что кто-либо помимо них вообще узнает о существовании таких приложений, они нередко содержат конфиденциальные сведения или функции.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2025-43717В PEAR HTTP_Request2 версии до 2.7.0 несколько файлов в директории tests, в частности tests/_network/getparameters.php и tests/_network/postparameters.php, отражают любые GET- или POST-параметры, что приводит к XSS. Обновление до версии 2.7.0 устраняет эту уязвимость [1]. Также рекомендуется не размещать файлы тестов на общедоступных серверах [2].
Источники:
- [1] https://github.com/pear/HTTP_Request2/commit/07925aa77e441dba0ff0fa973a09802729cb838f
- [2] https://github.com/pear/HTTP_Request2/commit/265e05f9e08a28a38a57219516a8e4e2dfdbb147
- [3] https://github.com/pear/HTTP_Request2/compare/v2.6.0...v2.7.0
- [4] https://github.com/pear/HTTP_Request2/blob/b1c61b71128045734d757c4d3d436457ace80ea7/package.xml#L24
CVE-2024-42213HCL BigFix Compliance содержит уязвимость, связанную с включением временных файлов, оставленных в производственной среде. Злоумышленник может получить доступ к этим файлам путем индексирования или получения через предсказуемые URL или неправильно настроенные разрешения, что приводит к раскрытию информации [1]. Источники:
- [1] https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0120961