CVEbaza.plSłownik CWECWE-656
Common Weakness Enumeration

CWE-656

Reliance on Security Through Obscurity

Kategoria: ClassCVE: 11
Opis

Produkt wykorzystuje mechanizm ochrony, którego siła w dużym stopniu zależy od jego utajnienia, tak że znajomość jego algorytmów lub kluczowych danych jest wystarczająca do jego przełamania. Tego typu podejście jest uważane za słabe, ponieważ bezpieczeństwo nie powinno opierać się wyłącznie na ukrywaniu szczegółów implementacji.

Description (EN)

The product uses a protection mechanism whose strength depends heavily on its obscurity, such that knowledge of its algorithms or key data is sufficient to defeat the mechanism.

Podatności CVE z CWE-656 (11)
9.3
CVSS
CRITICAL
CVE-2026-7161

GeoVision GV-IP Device Utility 9.0.5 przesyła poświadczenia administratora w pakietach UDP broadcast, szyfrując je symetrycznym kluczem dołączonym do tego samego pakietu. Atakujący w tej samej sieci LAN może przechwycić ruch broadcast i odszyfrować login oraz hasło do urządzenia.

pub. 2026-05-04
9.3
CVSS
CRITICAL
CVE-2026-42363

Podatność w narzędziu GeoVision GV-IP Device Utility 9.0.5 polega na niewystarczającym szyfrowaniu danych uwierzytelniających przesyłanych w pakietach broadcast UDP. Atakujący nasłuchujący ruch sieciowy w tej samej sieci LAN może przechwycić i odszyfrować login oraz hasło administratora urządzenia, uzyskując nad nim pełną kontrolę.

pub. 2026-04-27
9.2
CVSS
CRITICAL
CVE-2024-12297

Przełączniki sieciowe Moxa (seria EDS-508A oraz przełączniki PT) zawierają podatność umożliwiającą obejście mechanizmu uwierzytelnienia. Błędy w implementacji weryfikacji po stronie klienta i serwera pozwalają atakującemu uzyskać nieautoryzowany dostęp do urządzenia.

pub. 2025-01-15
9.1
CVSS
CRITICAL
CVE-2020-10284

No authentication is required to control the robot inside the network, moreso the latest available user manual shows an option that lets the user to add a password to the robot but as in xarm_studio 1.3.0 the option is missing from the menu. Assuming manual control, even by forcefully removing the current operator from an active session.

pub. 2020-07-15
8.8
CVSS
HIGH
CVE-2020-10286

the main user account has restricted privileges but is in the sudoers group and there is not any mechanism in place to prevent sudo su or sudo -i to be run gaining unrestricted access to sensible files, encryption, or issue orders that disrupt robot operation.

pub. 2020-07-15
8.6
CVSS
HIGH
CVE-2024-9138

Moxa’s cellular routers, secure routers, and network security appliances are affected by a high-severity vulnerability, CVE-2024-9138. This vulnerability involves hard-coded credentials, enabling an authenticated user to escalate privileges and gain root-level access to the system, posing a significant security risk.

pub. 2025-01-03
8.5
CVSS
HIGH
CVE-2025-59093

Exos 9300 instances are using a randomly generated database password to connect to the configured MSSQL server. The password is derived from static random values, which are concatenated to the hostname and a random string that can be read by every user from the registry. This allows an attacker to derive the database password and get authenticated access to the central exos 9300 database as the user Exos9300Common. The user has the roles ExosDialog and ExosDialogDotNet assigned, which are able to read most tables of the database as well as update and insert into many tables.

pub. 2026-01-26
6.4
CVSS
MEDIUM
CVE-2020-10277

There is no mechanism in place to prevent a bad operator to boot from a live OS image, this can lead to extraction of sensible files (such as the shadow file) or privilege escalation by manually adding a new user with sudo privileges on the machine.

pub. 2020-06-24
5.1
CVSS
MEDIUM
CVE-2025-7020

An incorrect encryption implementation vulnerability exists in the system log dump feature of BYD's DiLink 3.0 OS (e.g. in the model ATTO3). An attacker with physical access to the vehicle can bypass the encryption of log dumps on the In-Vehicle Infotainment (IVI) unit's storage. This allows the attacker to access and read system logs containing sensitive data, including personally identifiable information (PII) and location data. This vulnerability was introduced in a patch intended to fix CVE-2024-54728.

pub. 2025-08-09
4.2
CVSS
MEDIUM
CVE-2024-5244

TP-Link Omada ER605 Reliance on Security Through Obscurity Vulnerability. This vulnerability allows network-adjacent attackers to access or spoof DDNS messages on affected installations of TP-Link Omada ER605 routers. Authentication is not required to exploit this vulnerability. However, devices are vulnerable only if configured to use the Comexe DDNS service. The specific flaw exists within the cmxddnsd executable. The issue results from reliance on obscurity to secure network data. An attacker can leverage this in conjunction with other vulnerabilities to execute arbitrary code in the context of root. Was ZDI-CAN-22439.

pub. 2024-05-23
3.4
CVSS
LOW
CVE-2025-25983

An issue in Macro-video Technologies Co.,Ltd V380 Pro android application 2.1.44 and V380 Pro android application 2.1.64 allows an attacker to obtain sensitive information via the QE code based sharing component.

pub. 2025-04-18
Informacje
ID: CWE-656
Typ: Class
Podatności: 11
MITRE CWE ↗
← Słownik CWE
CWE-656 — Poleganie na Bezpieczeństwie Poprzez Niejawność | Słownik CWE | CVEbaza.pl