CWE-922 · Небезопасное хранение конфиденциальной информации

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-922КлассНеполный

Абстракция: Класс

Статус: Неполный

Источник ↗

Небезопасное хранение конфиденциальной информации

Продукт хранит конфиденциальную информацию, не ограничивая должным образом доступ на чтение или запись для неавторизованных субъектов.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2025-12539TNC Toolbox: Web Performance плагин для WordPress уязвим для чувствительной информационной экспозиции во всех версиях до 1,4.2. Это связано с плагином, хранящим учетные данные cPanel API (имя пользователя, имя пользователя и ключ API) в файлах в каталоге веб-доступных wp-контента без надлежащей защиты в функции "Tnc_Wp_Toolbox_Settings: save_settings". Это позволяет неаутентифицированным злоумышленникам получать эти учетные данные и использовать их для взаимодействия с API cPanel, что может привести к произвольным загрузкам файлов, удаленному исполнению кода и полному компрометированию среды хостинга.

CVE-2023-32191Когда RKE выделяет кластер, он сохраняет состояние кластера в configmap под названием `full-cluster-state` внутри пространства имен `kube-system` самого кластера. Информация, доступная там, позволяет пользователям без прав администратора повысить свои права до администратора.

CVE-2025-48929Служба TeleMessage до 05.05.2025 реализует аутентификацию через долгоживущий учетные данные (например, не токен с коротким временем истечения срока действия), которые могут быть повторно использованы позже, если обнаружены злоумышленником, как это было использовано в мае 2025 года. Уязвимость TeleMessage заключалась в том, что административная панель использовала хеширование паролей MD5 на стороне клиента, что фактически делало хеш паролем [1]. Злоумышленник смог получить доступ к конфиденциальным данным, включая имена пользователей, пароли и незашифрованные журналы чатов, используя неправильно настроенный endpoint heap dump в Spring Boot Actuator. Эта уязвимость позволила злоумышленнику получить доступ к конфиденциальным данным пользователей, включая федеральные правительственные агентства и крупные криптовалютные биржи. TeleMessage не обеспечила надлежащую безопасность своих продуктов, что привело к компрометации данных пользователей. Источники: - [1] https://www.wired.com/story/how-the-signal-knock-off-app-telemessage-got-hacked-in-20-minutes/

CVE-2023-29727Приложение Call Blocker 6.6.3 для Android позволяет неавторизованным приложениям использовать открытые компоненты для удаления данных, хранящихся в его базе данных, которые связаны с настройками конфиденциальности пользователя и влияют на реализацию нормальной функциональности приложения. Злоумышленник может использовать это для вызова атаки с повышением привилегий.

CVE-2023-0580Уязвимость незащищенного хранения конфиденциальной информации в ABB My Control System (на месте) позволяет злоумышленнику, успешно использовавшему эту уязвимость, получить доступ к защищенным данным приложения или взять под контроль приложение. Из услуг, которые составляют приложение My Control System (на месте), следующие подвержены этой уязвимости: Пользовательский интерфейс, Системный мониторинг, Учёт активов. Эта проблема затрагивает My Control System (на месте): с версии 5.0;0 до 5.13.

CVE-2022-44581Уязвимость небезопасного хранения конфиденциальной информации в WPMU DEV Defender Security позволяет: Screen Temporary Files для конфиденциальной информации. Эта проблема затрагивает Defender Security: от н/д до 3.3.2.

CVE-2021-42371lpar2rrd - это жестко закодированная системная учетная запись в XoruX LPAR2RRD и STOR2RRD до версии 7.30.

CVE-2021-27170В FiberHome HG6245D обнаружена проблема (через RP2613). По умолчанию отсутствуют правила брандмауэра для подключения IPv6, что открывает внутренние интерфейсы управления в Интернет.

CVE-2017-5250В версии 1.9.7 и более ранних версиях Android-приложения Insteon for Hub от Insteon токен OAuth, используемый приложением для авторизации доступа пользователей, не хранится в зашифрованном и безопасном виде.

CVE-2017-5249В версии 6.1.0.19 и более ранних версиях Android-приложения Wink - Smart Home от Wink Labs токен OAuth, используемый приложением для авторизации доступа пользователей, не хранится в зашифрованном и безопасном виде.

CVE-2025-8699Решение KioSoft "Stored Value" для бесконтактных платежей использует уязвимые NFC-карты. Злоумышленники могут потенциально использовать эту уязвимость, чтобы изменить баланс на картах и генерировать деньги [1]. Баланс счета хранится на небезопасной NFC-карте MiFare Classic в некоторых решениях KioSoft "Stored Value" для бесконтактных платежей. Это означает, что карты могут быть прочитаны и перезаписаны. Манипулируя нужным полем, можно "создать деньги из воздуха" и использовать их для оплаты товаров [1]. Источники: - [1] https://r.sec-consult.com/kiosoft

CVE-2024-30896InfluxDB OSS 2.x - 2.7.11 хранит токен административным оператором под организацией по умолчанию, что позволяет авторизованным пользователям с доступом к средствам авторизации организации по умолчанию получить токен оператора. InfluxDB OSS 1.x, Enterprise, Cloud, Cloud Dedicated и Clustered не затрагиваются. Примечание: Исследователь утверждает, что InfluxDB позволяет администраторам всех Access получать все токены с помощью команды "всплывающего auth ls". Поставщик указывает, что функция организаций работает по назначению и что пользователи могут принять решение о добавлении пользователей к организациям, не являющимся не по умолчанию. Будущая версия InfluxDB 2.x удалит возможность извлечения токенов из API.

CVE-2024-10943В затронутом продукте существует уязвимость обхода аутентификации. Уязвимость существует из-за общих секретов между учетными записями и может позволить злоумышленнику выдавать себя за пользователя, если злоумышленник сможет перечислить дополнительную информацию, необходимую во время аутентификации.

CVE-2025-28244Уязвимость небезопасных разрешений в локальном хранилище Alteryx Server 2023.1.1.460 позволяет удаленным злоумышленникам получить действительные токены сеанса пользователя из localStorage, что приводит к захвату учетной записи [1]. Источники: - [1] https://gist.github.com/DylanGrl/2771afe86bdd2665b83f28c1ff5c12eb - [2] https://alteryx.com

CVE-2025-10971Небезопасное хранение уязвимостей чувственной информации в MeetMe на iOS, Android позволяет извлечь встроенные сенсорные данные. Эта проблема затрагивает MeetMe: через v2.2.5.