CVEbaza.plSłownik CWECWE-319
Common Weakness Enumeration

CWE-319

Cleartext Transmission of Sensitive Information

Kategoria: BaseCVE: 1074
Opis

Produkt transmituje wrażliwe lub krytyczne pod względem bezpieczeństwa dane w postaci zwykłego tekstu przez kanał komunikacyjny, który może być podsłuchiwany przez nieuprawnionych użytkowników. Nieposzyfrowskie przesyłanie danych umożliwia ich przechwycenie i odczytanie przez osoby trzecie.

Description (EN)

The product transmits sensitive or security-critical data in cleartext in a communication channel that can be sniffed by unauthorized actors.

Podatności CVE z CWE-319 (1074)
10.0
CVSS
CRITICAL
CVE-2025-61481

MikroTik RouterOS v.7.14.2 oraz SwOS v.2.18 domyślnie udostępniają interfejs zarządzania WebFig przez niezaszyfrowany protokół HTTP, co umożliwia atakującemu znajdującemu się na ścieżce sieciowej przechwycenie danych uwierzytelniających oraz wykonanie wstrzykniętego kodu JavaScript w przeglądarce administratora. Podatność posiada najwyższy możliwy wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla każdej sieci korzystającej z urządzeń MikroTik.

pub. 2025-10-27
10.0
CVSS
CRITICAL
CVE-2025-4378

Aplikacja mobilna ATA-AOF Ataturk University zawiera zakodowane na stałe poświadczenia (hard-coded credentials) oraz przesyła wrażliwe dane w postaci niezaszyfrowanej (cleartext). Połączenie tych dwóch wad umożliwia nieuwierzytelnionemu atakującemu zdalne ominięcie mechanizmów uwierzytelniania.

pub. 2025-06-24
10.0
CVSS
CRITICAL
CVE-2025-47419

Urządzenie Crestron Automate VX udostępnia interfejs Web UI oraz API przez niezaszyfrowane porty sieciowe, co umożliwia przechwycenie wrażliwych danych, w tym haseł użytkowników. Podatność uzyskała maksymalną ocenę CVSS 10.0, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika, a jej eksploatacja jest możliwa zdalnie.

pub. 2025-05-06
10.0
CVSS
CRITICAL
CVE-2023-6248

Bramka telematyczna Digitalcomtech Syrus 4G IoT korzysta z niezabezpieczonego serwera MQTT, który umożliwia zdalnym, nieuwierzytelnionym atakującym wykonanie dowolnego kodu na urządzeniu. Podatność jest krytyczna, ponieważ nie wymaga żadnych poświadczeń ani interakcji ze strony użytkownika, a skutki mogą obejmować fizyczną ingerencję w pojazd.

pub. 2023-11-21
10.0
CVSS
CRITICAL
CVE-2015-0987

Omron CX-One CX-Programmer before 9.6, CJ2M PLC devices before 2.1, and CJ2H PLC devices before 1.5 rely on cleartext password transmission, which allows remote attackers to obtain sensitive information by sniffing the network during a PLC unlock request.

pub. 2015-10-06
9.8
CVSS
CRITICAL
CVE-2026-48902

Podatność w Joomla! powoduje generowanie linków resetowania hasła i nazwy użytkownika z użyciem niezaszyfrowanego protokołu HTTP, nawet gdy witryna działa przez HTTPS. Stanowi to poważne zagrożenie, ponieważ linki zawierające wrażliwe tokeny mogą zostać przechwycone przez atakującego.

pub. 2026-05-26
9.8
CVSS
CRITICAL
CVE-2025-56447

TM2 Monitoring w wersji 3.04 zawiera krytyczną podatność umożliwiającą ominięcie mechanizmu uwierzytelnienia oraz ujawnienie danych uwierzytelniających przesyłanych w postaci jawnego tekstu. Podatność jest dostępna zdalnie bez jakichkolwiek uprawnień, co czyni ją wyjątkowo niebezpieczną.

pub. 2025-10-22
9.8
CVSS
CRITICAL
CVE-2025-32880

Zegarek sportowy COROS PACE 3 pobiera aktualizacje firmware przez niezaszyfrowane połączenie HTTP, co umożliwia podsłuch transmisji oraz ataki typu machine-in-the-middle. Podatność jest krytyczna, ponieważ atakujący w tej samej sieci WLAN może podmienić firmware na złośliwy.

pub. 2025-06-20
9.8
CVSS
CRITICAL
CVE-2025-26199

CloudClassroom-PHP-Project v1.0 przesyła hasła użytkowników w sposób niezaszyfrowany (czysty tekst HTTP) podczas procesu logowania. Atakujący z dostępem do tej samej sieci może przechwycić dane uwierzytelniające i potencjalnie uzyskać pełną kontrolę nad serwerem.

pub. 2025-06-18
9.8
CVSS
CRITICAL
CVE-2023-39245

Dell Enterprise Storage Integrator (ESI) for SAP LAMA w wersji 10.0 zawiera podatność na ujawnienie informacji w komponencie EHAC, polegającą na przesyłaniu poufnych danych przez niezaszyfrowany kanał. Zdalny, nieuwierzytelniony atakujący może przechwycić ruch sieciowy i uzyskać dane uwierzytelniające na poziomie administratora.

pub. 2024-02-15
9.8
CVSS
CRITICAL
CVE-2023-31410

A remote unprivileged attacker can intercept the communication via e.g. Man-In-The-Middle, due to the absence of Transport Layer Security (TLS) in the SICK EventCam App. This lack of encryption in the communication channel can lead to the unauthorized disclosure of sensitive information. The attacker can exploit this weakness to eavesdrop on the communication between the EventCam App and the Client, and potentially manipulate the data being transmitted.

pub. 2023-06-19
9.8
CVSS
CRITICAL
CVE-2023-33730

Privilege Escalation in the "GetUserCurrentPwd" function in Microworld Technologies eScan Management Console 14.0.1400.2281 allows any remote attacker to retrieve password of any admin or normal user in plain text format.

pub. 2023-05-31
9.8
CVSS
CRITICAL
CVE-2023-30354

Shenzen Tenda Technology IP Camera CP3 V11.10.00.2211041355 does not defend against physical access to U-Boot via the UART: the Wi-Fi password is shown, and the hardcoded boot password can be inserted for console access.

pub. 2023-05-10
9.8
CVSS
CRITICAL
CVE-2022-47714

Last Yard 22.09.8-1 does not enforce HSTS headers

pub. 2023-02-01
9.8
CVSS
CRITICAL
CVE-2022-43724

A vulnerability has been identified in SICAM PAS/PQS (All versions < V7.0). Affected software transmits the database credentials for the inbuilt SQL server in cleartext. In combination with the by default enabled xp_cmdshell feature unauthenticated remote attackers could execute custom OS commands. At the time of assigning the CVE, the affected firmware version of the component has already been superseded by succeeding mainline versions.

pub. 2022-12-13
9.8
CVSS
CRITICAL
CVE-2022-33321

Cleartext Transmission of Sensitive Information vulnerability due to the use of Basic Authentication for HTTP connections in Mitsubishi Electric consumer electronics products (PHOTOVOLTAIC COLOR MONITOR ECO-GUIDE, HEMS adapter, Wi-Fi Interface, Air Conditioning, Induction hob, Mitsubishi Electric HEMS Energy Measurement Unit, Refrigerator, Remote control with Wi-Fi Interface, BATHROOM THERMO VENTILATOR, Rice cooker, Mitsubishi Electric HEMS control adapter, Energy Recovery Ventilator, Smart Switch, Ventilating Fan, Range hood fan, Energy Measurement Unit and Air Purifier) allows a remote unauthenticated attacker to disclose information in the products or cause a denial of service (DoS) condition as a result by sniffing credential information (username and password). The wide range of models/versions of Mitsubishi Electric consumer electronics products are affected by this vulnerability. As for the affected product models/versions, see the Mitsubishi Electric's advisory which is listed in [References] section.

pub. 2022-11-08
9.8
CVSS
CRITICAL
CVE-2022-21829

Concrete CMS Versions 9.0.0 through 9.0.2 and 8.5.7 and below can download zip files over HTTP and execute code from those zip files which could lead to an RCE. Fixed by enforcing ‘concrete_secure’ instead of ‘concrete’. Concrete now only makes requests over https even a request comes in via http. Concrete CMS security team ranked this 8 with CVSS v3.1 vector: AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H Credit goes to Anna for reporting HackerOne 1482520.

pub. 2022-06-24
9.8
CVSS
CRITICAL
CVE-2021-4161

The affected products contain vulnerable firmware, which could allow an attacker to sniff the traffic and decrypt login credential details. This could give an attacker admin rights through the HTTP web server.

pub. 2021-12-27
9.8
CVSS
CRITICAL
CVE-2021-20623

Video Insight VMS versions prior to 7.8 allows a remote attacker to execute arbitrary code with the system user privilege by sending a specially crafted request.

pub. 2021-02-05
9.8
CVSS
CRITICAL
CVE-2020-5426

Scheduler for TAS prior to version 1.4.0 was permitting plaintext transmission of UAA client token by sending it over a non-TLS connection. This also depended on the configuration of the MySQL server which is used to cache a UAA client token used by the service. If intercepted the token can give an attacker admin level access in the cloud controller.

pub. 2020-11-11
Pokazano 20 z 1074 podatności
Informacje
ID: CWE-319
Typ: Base
Podatności: 1074
MITRE CWE ↗
← Słownik CWE