CWE-540БазаНеполный
Включение конфиденциальных сведений в исходный код
Исходный код на веб-сервере или в репозитории нередко содержит конфиденциальные сведения и, как правило, не должен быть доступен пользователям.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2025-49182В исходном коде обнаружены учетные данные для входа администратора и пароль конфигурации свойства, что позволяет злоумышленнику получить полный доступ к приложению. Уязвимость обнаружена в продуктах SICK. Рекомендуется не раскрывать подробности об уязвимости до выпуска патча. Источники:
- [1] https://sick.com/psirt
- [2] https://cdn.sick.com/media/docs/1/11/411/Special_information_CYBERSECURITY_BY_SICK_en_IM0084411.PDF
- [3] https://www.cisa.gov/resources-tools/resources/ics-recommended-practices
- [4] https://www.first.org/cvss/calculator/3.1
- [5] https://www.sick.com/.well-known/csaf/white/2025/sca-2025-0007.pdf
CVE-2024-38327IBM Analytics Content Hub 2.0, 2.1, 2.2 и 2.3 уязвима к раскрытию информации и дальнейшим атакам из-за раскрытой карты исходного кода JavaScript, которая может помочь злоумышленнику читать и отлаживать JavaScript, используемый в API приложения [1]. Уязвимость связана с включением конфиденциальной информации в исходный код CWE-540. Базовый балл CVSS составляет 5.3 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N). Список уязвимых продуктов и версий: IBM Analytics Content Hub версии 2.0 - 2.3. Рекомендуется применить последнее обновление безопасности: IBM Cognos Analytics Content Hub 2.4.
Источники:
- [1] https://www.ibm.com/support/pages/node/7234122
CVE-2025-26013Проблема в Loggrove v.1.0 позволяет удалённому злоумышленнику получить конфиденциальную информацию через компонент read.py.
CVE-2024-2265В keerti1924 PHP-MYSQL-User-Login-System 1.0 обнаружена уязвимость, классифицированная как проблематичная. Это затрагивает неизвестную часть файла login.sql. Манипуляция приводит к включению конфиденциальной информации в исходный код. Можно инициировать атаку удаленно. Эксплойт был обнародован и может быть использован. Связанным идентификатором этой уязвимости является VDB-256035. ПРИМЕЧАНИЕ: С поставщиком связались заблаговременно по поводу этого раскрытия, но он никак не отреагировал.
CVE-2024-1272Уязвимость, связанная с включением конфиденциальной информации в исходный код, в TNB Mobile Solutions Cockpit Software позволяет извлекать встроенные конфиденциальные данные. Эта проблема затрагивает Cockpit Software: до версии v0.251.1.
CVE-2021-1516Уязвимость в веб-интерфейсе управления Cisco AsyncOS Software для Cisco Content Security Management Appliance (SMA), Cisco Email Security Appliance (ESA) и Cisco Web Security Appliance (WSA) может позволить аутентифицированному удаленному злоумышленнику получить доступ к конфиденциальной информации на затронутом устройстве. Уязвимость существует из-за того, что конфиденциальная информация включается в HTTP-запросы, которыми обмениваются пользователь и устройство. Злоумышленник может воспользоваться этой уязвимостью, просмотрев необработанные HTTP-запросы, отправляемые в интерфейс. Успешная эксплуатация может позволить злоумышленнику получить некоторые пароли, настроенные во всем интерфейсе.
CVE-2023-39250Инструменты интеграции Dell Storage для VMware (DSITV) и Dell Storage vSphere Client Plugin (DSVCP) версий до 6.1.1 и Replay Manager для VMware (RMSV) версий до 3.1.2 содержат уязвимость раскрытия информации. Локальный злоумышленник с низкими привилегиями может воспользоваться этой уязвимостью для получения ключа шифрования, который может помочь в дальнейших атаках.
CVE-2021-34757Множественные уязвимости во встроенном программном обеспечении коммутаторов Cisco Business 220 Series Smart могут позволить злоумышленнику с правами администратора получить доступ к конфиденциальным учетным данным для входа или перенастроить пароли в учетной записи пользователя. Дополнительные сведения об этих уязвимостях см. в разделе «Сведения» этого бюллетеня.
CVE-2021-28805Сообщается о включении конфиденциальной информации в исходный код, затрагивающем определенные коммутаторы QNAP под управлением QSS. В случае эксплуатации эта уязвимость позволяет злоумышленникам считывать данные приложения. Эта проблема затрагивает: QNAP Systems Inc. QSS версий до 1.0.3 build 20210505 на QSW-M2108-2C; версий до 1.0.3 build 20210505 на QSW-M2108-2S; версий до 1.0.3 build 20210505 на QSW-M2108R-2C; версий до 1.0.12 build 20210506 на QSW-M408.
CVE-2025-0923IBM Cognos Analytics версий 11.2.0, 11.2.1, 11.2.2, 11.2.3, 11.2.4, 12.0.0, 12.0.1, 12.0.2, 12.0.3 и 12.0.4 хранит исходный код на веб-сервере, что может способствовать дальнейшим атакам на систему. Источники: [1] https://www.ibm.com/support/pages/node/7234674
Источники:
- [1] https://www.ibm.com/support/pages/node/7234674
CVE-2024-9596Проблема была обнаружена в GitLab EE, затрагивающая все версии, начиная с 16.6 до 17.2.9, с 17.3 до 17.3.5 и с 17.4 до 17.4.2. Неаутентифицированный злоумышленник мог определить номер версии GitLab для экземпляра GitLab.
CVE-2024-55907Приложение IBM Cognos Analytics Mobile 1.1 для iOS может позволить злоумышленнику провести реверс-инженерию кода, чтобы получить информацию о используемом программном методе, интерфейсе, определениях классов, алгоритмах и функциях из-за слабой обфускации.
CVE-2024-35144IBM Maximo Application Suite 8.10, 8.11 и 9.0 - Компонент Monitor хранит исходный код на веб-сервере, что может способствовать дальнейшим атакам на систему.
CVE-2023-30802The Sangfor Next-Gen Application Firewall version NGAF8.0.17 is vulnerable to a source code disclosure vulnerability. A remote and unauthenticated attacker can obtain PHP source code by sending an HTTP request with an invalid Content-Length field.
CVE-2023-23448Включение конфиденциальной информации в исходный код датчика воздушного потока SICK FTMg с номерами деталей 1100214, 1100215, 1100216, 1120114, 1120116, 1122524, 1122526 позволяет удаленному злоумышленнику получить информацию о действительных именах пользователей с помощью анализа исходного кода.