CWE-549 · Отсутствие маскирования поля пароля

Сканер-ВСкаталог уязвимостей · v4.2

CWE-549БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Отсутствие маскирования поля пароля

Продукт не маскирует пароль при его вводе, увеличивая вероятность того, что злоумышленник наблюдает и перехватывает пароли.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2023-49106Уязвимость, связанная с отсутствием маскировки поля пароля, в Hitachi Device Manager на Windows, Linux (компонент Device Manager Agent). Эта проблема затрагивает Hitachi Device Manager: до версии 8.8.5-04.

CVE-2022-22550Dell PowerScale OneFS версий 8.2.2 и выше содержит уязвимость раскрытия пароля. Локальный злоумышленник без прав доступа может использовать эту уязвимость, что приведет к захвату учетной записи.

CVE-2025-42904Due to an Information Disclosure vulnerability in Application Server ABAP, an authenticated attacker could read unmasked values displayed in ABAP Lists. Successful exploitation could lead to unauthorized disclosure of data, resulting in a high impact on confidentiality without affecting integrity or availability.

CVE-2023-1763Canon IJ Network Tool/Ver.4.7.5 и более ранние версии (поддерживаемые ОС: OS X 10.9.5-macOS 13), IJ Network Tool/Ver.4.7.3 и более ранние версии (поддерживаемые ОС: OS X 10.7.5-OS X 10.8) позволяют злоумышленнику получать конфиденциальную информацию о настройках Wi-Fi-соединения принтера из программного обеспечения.

CVE-2023-2062Missing Password Field Masking vulnerability in Mitsubishi Electric Corporation EtherNet/IP configuration tools SW1DNN-EIPCT-BD and SW1DNN-EIPCTFX5-BD allows a remote unauthenticated attacker to know the password for MELSEC iQ-R Series EtherNet/IP module RJ71EIP91 and MELSEC iQ-F Series EtherNet/IP module FX5-ENET/IP. This vulnerability results in authentication bypass vulnerability, which allows the attacker to access MELSEC iQ-R Series EtherNet/IP module RJ71EIP91 and MELSEC iQ-F Series EtherNet/IP module FX5-ENET/IP via FTP.

CVE-2025-31728Плагин Jenkins AsakusaSatellite 0.1.1 и более ранние версии не маскируют ключи API AsakusaSatellite, отображаемые в форме конфигурации задания, увеличивая вероятность того, что злоумышленники смогут их наблюдать и перехватывать.

CVE-2025-31727Плагин Jenkins AsakusaSatellite версии 0.1.1 и ранее сохраняет ключи API AsakusaSatellite в незашифрованном формате в файлах конфигурации job config.xml на контроллере Jenkins, где их могут видеть пользователи с разрешением Item/Extended Read или доступом к файловой системе контроллера Jenkins.

CVE-2025-13175Y Soft SafeQ 6 renders the Workflow Connector password field in a way that allows an administrator with UI access to reveal the value using browser developer/inspection tools. The affected customers are only those with a password-protected scan workflow connector. This issue affects Y Soft SafeQ 6 in versions before MU106.

CVE-2024-10122В Topdata Inner Rep Plus WebServer 2.01 была обнаружена уязвимость. Она была классифицирована как проблемная. Уязвимость затрагивает неизвестную функцию файла /InnerRepPlus.html компонента Operator Details Form. Манипуляция приводит к отсутствию маскировки поля пароля. Атаку можно произвести удаленно. С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.

CVE-2022-20914Уязвимость в API External RESTful Services (ERS) программного обеспечения Cisco Identity Services Engine (ISE) может позволить аутентифицированному удаленному злоумышленнику получить конфиденциальную информацию. Эта уязвимость связана с избыточной детализацией в выходных данных определенного REST API. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику получить конфиденциальную информацию, включая учетные данные администратора для внешнего сервера аутентификации. Примечание: для успешной эксплуатации этой уязвимости злоумышленник должен иметь действительные учетные данные администратора ERS.

CVE-2022-1342Отсутствие маскировки пароля в Devolutions Remote Desktop Manager позволяет физически находящимся рядом злоумышленникам наблюдать конфиденциальные данные. Проблема с кэшированием может привести к тому, что конфиденциальные поля иногда остаются открытыми при закрытии и повторном открытии панели, что может привести к невольному раскрытию конфиденциальной информации. Эта проблема затрагивает: Devolutions Remote Desktop Manager версии 2022.1.24 и более ранних версий.

CVE-2025-64170sudo-rs is a memory safe implementation of sudo and su written in Rust. Starting in version 0.2.7 and prior to version 0.2.10, if a user begins entering a password but does not press return for an extended period, a password timeout may occur. When this happens, the keystrokes that were entered are echoed back to the console. This could reveal partial password information, possibly exposing history files when not carefully handled by the user and on screen, usable for Social Engineering or Pass-By attacks. Version 0.2.10 fixes the issue.

CVE-2025-30197Плагин Jenkins Zoho QEngine 1.0.29.vfa_cc23396502 и более ранние версии не маскируют поле формы API Key QEngine, что увеличивает вероятность того, что злоумышленники его увидят и захватят.

CVE-2025-0148Отсутствие маскировки поля пароля в плагине Zoom Jenkins Marketplace до версии 1.6 может позволить неаутентифицированному пользователю раскрыть информацию через смежный сетевой доступ.