CVEbaza.plSłownik CWECWE-522
Common Weakness Enumeration

CWE-522

Insufficiently Protected Credentials

Kategoria: ClassCVE: 1560
Opis

Produkt przesyła lub przechowuje poświadczenia uwierzytelniające, ale używa niezabezpieczonej metody podatnej na nieautoryzowaną przechwycenie i/lub uzyskanie dostępu. To zagrożenie umożliwia atakującym odzyskanie wrażliwych danych logowania poprzez exploitowanie słabych mechanizmów ochrony.

Description (EN)

The product transmits or stores authentication credentials, but it uses an insecure method that is susceptible to unauthorized interception and/or retrieval.

Podatności CVE z CWE-522 (1560)
10.0
CVSS
CRITICAL
CVE-2026-7312

Podatność w Progress Sitefinity (CWE-522) umożliwia zdalnemu, nieuwierzytelnionemu atakującemu pozyskanie danych uwierzytelniających w postaci jawnego tekstu, używanych do połączenia z usługą Sitefinity Insight. Ocena CVSS 10.0 (CRITICAL) wskazuje na krytyczny poziom zagrożenia.

pub. 2026-06-02
10.0
CVSS
CRITICAL
CVE-2026-42869

SOCFortress CoPilot przed wersją 0.1.57 zawiera zakodowany na stałe (hardcoded) sekret podpisywania tokenów JWT, który jest publicznie znany. Nieuwierzytelniony atakujący może sfałszować dowolny token JWT z uprawnieniami administratora i przejąć pełną kontrolę nad aplikacją oraz wszystkimi zarządzanymi przez nią narzędziami bezpieczeństwa.

pub. 2026-05-11
10.0
CVSS
CRITICAL
CVE-2026-22240

Platforma BLUVOYIX firmy Blusparkglobal przechowuje hasła użytkowników w postaci jawnej (plaintext) i udostępnia je przez nieuwierzytelnione API. Atakujący bez żadnych uprawnień może pobrać hasła wszystkich użytkowników, w tym administratorów, i przejąć pełną kontrolę nad platformą.

pub. 2026-01-14
10.0
CVSS
CRITICAL
CVE-2025-54863

Radiometrics VizAir ujawnia klucz API REST systemu w publicznie dostępnym pliku konfiguracyjnym, co umożliwia nieautoryzowanym atakującym zdalny dostęp do systemu bez żadnego uwierzytelnienia. Podatność jest krytyczna, ponieważ dotyczy systemów monitorowania pogody lotniczej stosowanych na lotniskach, a jej wykorzystanie może bezpośrednio wpłynąć na bezpieczeństwo operacji lotniczych.

pub. 2025-11-04
10.0
CVSS
CRITICAL
CVE-2024-12799

Podatność CWE-522 (Insufficiently Protected Credentials) w OpenText Identity Manager Advanced Edition umożliwia uwierzytelnionemu użytkownikowi uzyskanie wrażliwych informacji należących do kont o wyższych uprawnieniach. Ocena CVSS 10.0 wskazuje na krytyczny wpływ zarówno na poufność, integralność, jak i dostępność systemu oraz jego otoczenia.

pub. 2025-03-05
10.0
CVSS
CRITICAL
CVE-2023-1778

This vulnerability exists in GajShield Data Security Firewall firmware versions prior to v4.28 (except v4.21) due to insecure default credentials which allows remote attacker to login as superuser by using default username/password via web-based management interface and/or exposed SSH port thereby enabling remote attackers to execute arbitrary commands with administrative/superuser privileges on the targeted systems. The vulnerability has been addressed by forcing the user to change their default password to a new non-default password.

pub. 2023-04-27
10.0
CVSS
CRITICAL
CVE-2021-30116

Kaseya VSA before 9.5.7 allows credential disclosure, as exploited in the wild in July 2021. By default Kaseya VSA on premise offers a download page where the clients for the installation can be downloaded. The default URL for this page is https://x.x.x.x/dl.asp When an attacker download a client for Windows and installs it, the file KaseyaD.ini is generated (C:\Program Files (x86)\Kaseya\XXXXXXXXXX\KaseyaD.ini) which contains an Agent_Guid and AgentPassword This Agent_Guid and AgentPassword can be used to log in on dl.asp (https://x.x.x.x/dl.asp?un=840997037507813&pw=113cc622839a4077a84837485ced6b93e440bf66d44057713cb2f95e503a06d9) This request authenticates the client and returns a sessionId cookie that can be used in subsequent attacks to bypass authentication. Security issues discovered --- * Unauthenticated download page leaks credentials * Credentials of agent software can be used to obtain a sessionId (cookie) that can be used for services not intended for use by agents * dl.asp accepts credentials via a GET request * Access to KaseyaD.ini gives an attacker access to sufficient information to penetrate the Kaseya installation and its clients. Impact --- Via the page /dl.asp enough information can be obtained to give an attacker a sessionId that can be used to execute further (semi-authenticated) attacks against the system.

pub. 2021-07-09🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2020-6961

In ApexPro Telemetry Server, Versions 4.2 and prior, CARESCAPE Telemetry Server v4.2 & prior, Clinical Information Center (CIC) Versions 4.X and 5.X, CARESCAPE Telemetry Server Version 4.3, CARESCAPE Central Station (CSCS) Versions 1.X, a vulnerability exists in the affected products that could allow an attacker to obtain access to the SSH private key in configuration files.

pub. 2020-01-24
10.0
CVSS
CRITICAL
CVE-2019-16649

On Supermicro H11, H12, M11, X9, X10, and X11 products, a combination of encryption and authentication problems in the virtual media service allows capture of BMC credentials and data transferred over virtual media devices. Attackers can use captured credentials to connect virtual USB devices to the server managed by the BMC.

pub. 2019-09-21
9.9
CVSS
CRITICAL
CVE-2025-64420

W Coolify (wersje do v4.0.0-beta.434 włącznie) użytkownicy o niskich uprawnieniach mogą odczytać prywatny klucz SSH root'a instancji. Pozwala to na zalogowanie się do serwera z pełnymi uprawnieniami administratora.

pub. 2026-01-05
9.9
CVSS
CRITICAL
CVE-2025-0867

Podatność w oprogramowaniu MEAC firmy SICK AG umożliwia zwykłemu użytkownikowi (EPC2) wykonywanie dowolnych poleceń z uprawnieniami administratora. Wynika to z niezabezpieczonego przechowywania danych uwierzytelniających administratora, co klasyfikuje ją jako krytyczne privilege escalation.

pub. 2025-02-14
9.9
CVSS
CRITICAL
CVE-2024-9014

pgAdmin w wersji 8.11 i wcześniejszych zawiera lukę w implementacji uwierzytelniania OAuth2, która umożliwia atakującemu przechwycenie identyfikatora klienta (client ID) oraz sekretu klienta (client secret). Podatność jest oceniona jako krytyczna i może prowadzić do nieautoryzowanego dostępu do danych użytkowników.

pub. 2024-09-23
9.9
CVSS
CRITICAL
CVE-2021-36783

A Insufficiently Protected Credentials vulnerability in SUSE Rancher allows authenticated Cluster Owners, Cluster Members, Project Owners and Project Members to read credentials, passwords and API tokens that have been stored in cleartext and exposed via API endpoints. This issue affects: SUSE Rancher Rancher versions prior to 2.6.4; Rancher versions prior to 2.5.13.

pub. 2022-09-07
9.9
CVSS
CRITICAL
CVE-2019-1384

A security feature bypass vulnerability exists where a NETLOGON message is able to obtain the session key and sign messages.To exploit this vulnerability, an attacker could send a specially crafted authentication request, aka 'Microsoft Windows Security Feature Bypass Vulnerability'.

pub. 2019-11-12
9.8
CVSS
CRITICAL
CVE-2026-43992

Platforma agentic AI JunoClaw (oparta na Juno Network) przed wersją 0.x.y-security-1 przekazywała mnemonik BIP-39 (seed wallet) jako jawny parametr tekstowy w wywołaniach narzędzi MCP. Oznacza to, że klucz kryptograficzny do portfela był zapisywany w logach, telemetrii i ruchu sieciowym pomiędzy dostawcą LLM a procesem MCP.

pub. 2026-05-12
9.8
CVSS
CRITICAL
CVE-2025-52095

Podatność w PDQ Smart Deploy V.3.0.2040 umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień poprzez błędy w procedurach szyfrowania danych uwierzytelniających w bibliotece SDCommon.dll. Mimo oceny CVSS 9.8 (CRITICAL), klasyfikacja CWE-522 wskazuje na niewystarczająco chronione dane uwierzytelniające.

pub. 2025-08-22
9.8
CVSS
CRITICAL
CVE-2025-55306

W platformie transakcyjnej GenX FX zidentyfikowano podatność polegającą na potencjalnym ujawnieniu kluczy API i tokenów uwierzytelniających wskutek błędnej konfiguracji zmiennych środowiskowych. Nieuprawnieni użytkownicy mogą uzyskać dostęp do zasobów w chmurze, takich jak Google Cloud, Firebase czy GitHub.

pub. 2025-08-19
9.8
CVSS
CRITICAL
CVE-2025-54428

W projekcie RevelaCode (wersje poniżej 1.0.1) dane uwierzytelniające do bazy danych MongoDB Atlas (login i hasło) zostały przypadkowo umieszczone w publicznym repozytorium kodu. Każda osoba mająca dostęp do repozytorium mogła uzyskać nieautoryzowany dostęp do produkcyjnej lub testowej bazy danych.

pub. 2025-07-28
9.8
CVSS
CRITICAL
CVE-2025-27648

Vasion Print (dawniej PrinterLogic) przed wersją Virtual Appliance Host 22.0.913 / Application 20.0.2253 zawiera podatność umożliwiającą nieautoryzowany dostęp do haseł należących do innych dzierżawców (tenantów) w środowisku wielodostępnym. Podatność posiada ocenę krytyczną CVSS 9.8, co czyni ją ekstremalnie niebezpieczną.

pub. 2025-03-05
9.8
CVSS
CRITICAL
CVE-2025-27650

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia nieautoryzowany dostęp do prywatnych kluczy kryptograficznych przechowywanych w warstwie Docker Overlay. Jest to podatność krytyczna (CVSS 9.8), ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika, a jej wykorzystanie może prowadzić do pełnego przejęcia systemu.

pub. 2025-03-05
Pokazano 20 z 1560 podatności
Informacje
ID: CWE-522
Typ: Class
Podatności: 1560
MITRE CWE ↗
← Słownik CWE
CWE-522 — Niewystarczająco Chronione Poświadczenia | Słownik CWE | CVEbaza.pl