CVEbaza.plSłownik CWECWE-922
Common Weakness Enumeration

CWE-922

Insecure Storage of Sensitive Information

Kategoria: ClassCVE: 424
Opis

Produkt przechowuje informacje wrażliwe bez odpowiedniego ograniczenia dostępu do odczytu lub zapisu przez nieautoryzowanych użytkowników. Brak właściwych kontroli dostępu pozwala na potencjalne ujawnienie lub zmianę poufnych danych.

Description (EN)

The product stores sensitive information without properly limiting read or write access by unauthorized actors.

Podatności CVE z CWE-922 (424)
10.0
CVSS
CRITICAL
CVE-2025-12539

Plugin TNC Toolbox: Web Performance dla WordPress przechowuje dane uwierzytelniające do cPanel API (hostname, nazwa użytkownika, klucz API) w plikach dostępnych publicznie przez sieć bez odpowiedniej ochrony. Umożliwia to nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad środowiskiem hostingowym.

pub. 2025-11-11
9.9
CVSS
CRITICAL
CVE-2023-32191

Rancher Kubernetes Engine (RKE) przechowuje stan klastra, w tym wrażliwe dane, w configmapie `full-cluster-state` dostępnej dla zwykłych użytkowników. Podatność umożliwia nieuprzywilejowanym użytkownikom uzyskanie pełnych uprawnień administratora klastra.

pub. 2024-10-16
9.8
CVSS
CRITICAL
CVE-2023-29727

The Call Blocker application 6.6.3 for Android allows unauthorized applications to use exposed components to delete data stored in its database that is related to user privacy settings and affects the implementation of the normal functionality of the application. An attacker can use this to cause an escalation of privilege attack.

pub. 2023-05-30
9.8
CVSS
CRITICAL
CVE-2021-42371

lpar2rrd is a hardcoded system account in XoruX LPAR2RRD and STOR2RRD before 7.30.

pub. 2021-11-08
9.8
CVSS
CRITICAL
CVE-2021-27170

An issue was discovered on FiberHome HG6245D devices through RP2613. By default, there are no firewall rules for IPv6 connectivity, exposing the internal management interfaces to the Internet.

pub. 2021-02-10
9.8
CVSS
CRITICAL
CVE-2020-8481

For ABB products ABB Ability™ System 800xA and related system extensions versions 5.1, 6.0 and 6.1, Compact HMI versions 5.1 and 6.0, Control Builder Safe 1.0, 1.1 and 2.0, Symphony Plus -S+ Operations 3.0 to 3.2 Symphony Plus -S+ Engineering 1.1 to 2.2, Composer Harmony 5.1, 6.0 and 6.1, Melody Composer 5.3, 6.1/6.2 and SPE for Melody 1.0SPx (Composer 6.3), Harmony OPC Server (HAOPC) Standalone 6.0, 6.1 and 7.0, ABB Ability™ System 800xA/ Advant® OCS Control Builder A 1.3 and 1.4, Advant® OCS AC100 OPC Server 5.1, 6.0 and 6.1, Composer CTK 6.1 and 6.2, AdvaBuild 3.7 SP1 and SP2, OPCServer for MOD 300 (non-800xA) 1.4, OPC Data Link 2.1 and 2.2, Knowledge Manager 8.0, 9.0 and 9.1, Manufacturing Operations Management 1812 and 1909, confidential data is written in an unprotected file. An attacker who successfully exploited this vulnerability could take full control of the computer.

pub. 2020-04-29
9.8
CVSS
CRITICAL
CVE-2017-5249

In version 6.1.0.19 and prior of Wink Labs's Wink - Smart Home Android app, the OAuth token used by the app to authorize user access is not stored in an encrypted and secure manner.

pub. 2018-02-22
9.8
CVSS
CRITICAL
CVE-2017-5250

In version 1.9.7 and prior of Insteon's Insteon for Hub Android app, the OAuth token used by the app to authorize user access is not stored in an encrypted and secure manner.

pub. 2018-02-22
9.6
CVSS
CRITICAL
CVE-2024-7569

Podatność typu information disclosure w Ivanti ITSM (on-prem) oraz Neurons for ITSM w wersjach 2023.4 i wcześniejszych umożliwia nieuwierzytelnionemu atakującemu pozyskanie sekretu klienta OIDC za pośrednictwem informacji debugowania. Przejęcie tego sekretu może prowadzić do obejścia mechanizmów uwierzytelniania i przejęcia kontroli nad sesją lub kontem.

pub. 2024-08-13
9.6
CVSS
CRITICAL
CVE-2021-28813

A vulnerability involving insecure storage of sensitive information has been reported to affect QSW-M2116P-2T2S and QNAP switches running QuNetSwitch. If exploited, this vulnerability allows remote attackers to read sensitive information by accessing the unrestricted storage mechanism.We have already fixed this vulnerability in the following versions: QSW-M2116P-2T2S 1.0.6 build 210713 and later QGD-1600P: QuNetSwitch 1.0.6.1509 and later QGD-1602P: QuNetSwitch 1.0.6.1509 and later QGD-3014PT: QuNetSwitch 1.0.6.1519 and later

pub. 2021-09-10
9.1
CVSS
CRITICAL
CVE-2025-8699

Rozwiązania płatnicze KioSoft z serii 'Stored Value' przechowują saldo konta użytkownika na kartach NFC MiFare Classic w sposób niewystarczająco zabezpieczony. Atakujący może odczytać i zmodyfikować zawartość karty, aby dowolnie zwiększyć jej saldo i opłacać towary bez rzeczywistej płatności.

pub. 2025-09-12
9.1
CVSS
CRITICAL
CVE-2024-53931

Aplikacja com.glitter.caller.screen (iCaller, Caller Theme & Dialer) w wersji do 1.1 dla Android umożliwia dowolnej innej aplikacji (bez żadnych uprawnień) wykonywanie połączeń telefonicznych bez wiedzy i zgody użytkownika. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień po stronie atakującej aplikacji ani interakcji użytkownika.

pub. 2025-01-06
9.1
CVSS
CRITICAL
CVE-2024-53932

Aplikacja Color Phone: Call Screen Theme na platformę Android umożliwia dowolnej innej aplikacji (bez żadnych uprawnień) inicjowanie połączeń telefonicznych bez wiedzy i interakcji użytkownika. Podatność jest krytyczna, ponieważ może prowadzić do nadużyć finansowych oraz naruszenia prywatności.

pub. 2025-01-06
9.1
CVSS
CRITICAL
CVE-2024-4995

Wapro ERP Desktop jest podatny na wymuszony downgrade protokołu MS SQL przez serwer, co skutkuje przesyłaniem danych w formie niezaszyfrowanej. Umożliwia to przechwycenie i modyfikację wrażliwych danych biznesowych przez atakującego.

pub. 2024-12-18
9.1
CVSS
CRITICAL
CVE-2024-30896

InfluxDB OSS w wersjach 2.x do 2.7.11 przechowuje administracyjny token operatora w domyślnej organizacji w sposób umożliwiający jego odczyt przez nieupoważnionych użytkowników. Zagrożenie jest poważne, ponieważ token operatora zapewnia pełny dostęp administracyjny do instancji InfluxDB.

pub. 2024-11-21
9.1
CVSS
CRITICAL
CVE-2024-10943

W produkcie firmy Rockwell Automation odkryto krytyczną podatność umożliwiającą ominięcie mechanizmu uwierzytelnienia (authentication bypass). Atakujący, który pozyska dodatkowe informacje wymagane podczas logowania, może podszyć się pod dowolnego użytkownika systemu.

pub. 2024-11-12
8.8
CVSS
HIGH
CVE-2025-10971

Insecure Storage of Sensitive Information vulnerability in MeetMe on iOS, Android allows Retrieve Embedded Sensitive Data. This issue affects MeetMe: through v2.2.5.

pub. 2025-12-02
8.8
CVSS
HIGH
CVE-2025-28244

Insecure Permissions vulnerability in the Local Storage in Alteryx Server 2023.1.1.460 allows remote attackers to obtain valid user session tokens from localStorage, leading to account takeover

pub. 2025-07-10
8.8
CVSS
HIGH
CVE-2023-42913

This issue was addressed through improved state management. This issue is fixed in macOS Sonoma 14.2. Remote Login sessions may be able to obtain full disk access permissions.

pub. 2024-03-28
8.8
CVSS
HIGH
CVE-2023-43631

On boot, the Pillar eve container checks for the existence and content of “/config/authorized_keys”. If the file is present, and contains a supported public key, the container will go on to open port 22 and enable sshd with the given keys as the authorized keys for root login. An attacker could easily add their own keys and gain full control over the system without triggering the “measured boot” mechanism implemented by EVE OS, and without marking the device as “UUD” (“Unknown Update Detected”). This is because the “/config” partition is not protected by “measured boot”, it is mutable, and it is not encrypted in any way. An attacker can gain full control over the device without changing the PCR values, thus not triggering the “measured boot” mechanism, and having full access to the vault. Note: This issue was partially fixed in these commits (after disclosure to Zededa), where the config partition measurement was added to PCR13: • aa3501d6c57206ced222c33aea15a9169d629141 • 5fef4d92e75838cc78010edaed5247dfbdae1889. This issue was made viable in version 9.0.0 when the calculation was moved to PCR14 but it was not included in the measured boot.

pub. 2023-09-21
Pokazano 20 z 424 podatności
Informacje
ID: CWE-922
Typ: Class
Podatności: 424
MITRE CWE ↗
← Słownik CWE
CWE-922 — Niezabezpieczone przechowywanie informacji wrażliwych | Słownik CWE | CVEbaza.pl