Nextcloud/Cloud - это приложение-календарь для Nextcloud. Злоумышленник может получить доступ к трассировке стека и внутренним путям сервер…
Nextcloud/Cloud - это приложение-календарь для Nextcloud. Злоумышленник может получить доступ к трассировке стека и внутренним путям сервера при создании исключения во время редактирования встречи в календаре. Рекомендуется обновить приложение Nextcloud Calendar до версии 4.5.3.
Аппаратное обеспечение не выполняет полную очистку чувствительных с точки зрения безопасности значений, таких как ключи и промежуточные значения в криптографических операциях, при входе в режим отладки.
https://cwe.mitre.org/data/definitions/1258.html →Открыть в коллекции CWE →Злоумышленник исследует целевую систему для поиска конфиденциальных данных, встроенных в неё. Эта информация может раскрывать конфиденциальные сведения, такие как номера счетов или отдельные ключи/учётные данные, которые могут использоваться в качестве промежуточного шага в более масштабной атаке.
https://capec.mitre.org/data/definitions/37.html →Открыть в коллекции CAPEC →Злоумышленник использует хорошо известные расположения ресурсов с целью подрыва безопасности цели. В большинстве систем файлы и ресурсы организованы в стандартную древовидную структуру. Это удобно для злоумышленников, поскольку они нередко знают, где искать ресурсы или файлы, необходимые для проведения атак. Даже если точное расположение целевого ресурса неизвестно, соглашения об именовании могут указывать на небольшую область дерева файлов целевой машины, в которой обычно расположены ресурсы. Например, конфигурационные файлы в системах Unix, как правило, хранятся в каталоге /etc. Злоумышленники могут использовать это для проведения атак других типов.
https://capec.mitre.org/data/definitions/150.html →Открыть в коллекции CAPEC →Злоумышленник исследует кэш целевого приложения или кэш браузера на предмет конфиденциальных сведений. Многие приложения, взаимодействующие с удалёнными объектами или выполняющие ресурсоёмкие вычисления, используют кэши для повышения эффективности. Однако если приложение вычисляет или получает конфиденциальную информацию, а кэш должным образом не защищён, злоумышленник может просматривать кэш и извлекать эту информацию. В результате возможно раскрытие конфиденциальных сведений.
https://capec.mitre.org/data/definitions/204.html →Открыть в коллекции CAPEC →Злоумышленник, авторизованный или имеющий возможность выполнять поиск по известным системным ресурсам, делает это с целью сбора полезной информации. Системные ресурсы включают файлы, память и другие аспекты целевой системы. При данном шаблоне атаки злоумышленник не обязательно знает заранее, что именно он обнаружит в ходе извлечения данных. Это отличает данный шаблон от CAPEC-150, где злоумышленник знает, что именно ищет, благодаря общеизвестному расположению данных.
https://capec.mitre.org/data/definitions/545.html →Открыть в коллекции CAPEC →