CWE-555ВариантЧерновик
Небезопасная конфигурация J2EE: пароль в открытом виде в файле конфигурации
Приложение J2EE хранит пароль в открытом виде в файле конфигурации.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2023-20059Уязвимость в реализации агента Cisco Network Plug-and-Play (PnP) в Cisco DNA Center может позволить аутентифицированному удаленному злоумышленнику просматривать конфиденциальную информацию в виде открытого текста. Злоумышленник должен иметь действительные учетные данные пользователя с низким уровнем привилегий. Эта уязвимость связана с неправильным контролем доступа на основе ролей (RBAC) при интеграции PnP. Злоумышленник может воспользоваться этой уязвимостью, пройдя аутентификацию на устройстве и отправив запрос к внутреннему API. Успешная эксплуатация может позволить злоумышленнику просматривать конфиденциальную информацию в виде открытого текста, которая может включать файлы конфигурации.
CVE-2025-46119В CommScope Ruckus Unleashed версий ранее 200.15.6.212.27 и 200.18.7.1.323, и в Ruckus ZoneDirector версий ранее 10.5.1.0.282 обнаружена проблема, связанная с раскрытием пароля администратора в тривиально обратимой обфусцированной форме при аутентифицированном запросе к конечной точке управления `/admin/_cmdstat.jsp`. Тот же метод обфускации сохраняется в конфигурации версий ранее 200.18.7.1.302, что позволяет любому, кто получит конфигурацию системы, восстановить учетные данные в открытом виде. Для устранения этой уязвимости необходимо обновить прошивку до версии 200.15.6.212.27 или 200.18.7.1.323 (или более поздней) для Unleashed и до версии 10.5.1.0.282 (или более поздней) для ZoneDirector. Уязвимость может быть проэксплуатирована путем отправки аутентифицированного запроса к `/admin/_cmdstat.jsp`, что раскрывает обфусцированный пароль, который можно легко восстановить [1].
Источники:
- [1] https://support.ruckuswireless.com/security_bulletins/330
- [2] https://sector7.computest.nl/post/2025-07-ruckus-unleashed/