CVEbaza.plSłownik CWECWE-201
Common Weakness Enumeration

CWE-201

Insertion of Sensitive Information Into Sent Data

Kategoria: BaseCVE: 352
Opis

Kod transmituje dane do innego podmiotu, jednak część tych danych zawiera poufne informacje, które nie powinny być dla niego dostępne. Błąd polega na nieumyślnym ujawnieniu wrażliwych danych podczas komunikacji z niezaufanym lub ograniczonym podmiotem.

Description (EN)

The code transmits data to another actor, but a portion of the data includes sensitive information that should not be accessible to that actor.

Podatności CVE z CWE-201 (352)
10.0
CVSS
CRITICAL
CVE-2025-49408

Wtyczka Templately dla WordPress w wersjach do 3.2.7 włącznie zawiera podatność polegającą na umieszczaniu wrażliwych informacji w przesyłanych danych (CWE-201). Luka umożliwia nieuwierzytelnionemu atakującemu zdalne odczytanie osadzonych wrażliwych danych, co przy ocenie CVSS 10.0 czyni ją krytyczną.

pub. 2025-08-20
9.9
CVSS
CRITICAL
CVE-2020-26085

Multiple vulnerabilities in Cisco Jabber for Windows, Jabber for MacOS, and Jabber for mobile platforms could allow an attacker to execute arbitrary programs on the underlying operating system (OS) with elevated privileges or gain access to sensitive information. For more information about these vulnerabilities, see the Details section of this advisory.

pub. 2021-01-07
9.9
CVSS
CRITICAL
CVE-2020-27127

Multiple vulnerabilities in Cisco Jabber for Windows, Jabber for MacOS, and Jabber for mobile platforms could allow an attacker to execute arbitrary programs on the underlying operating system (OS) with elevated privileges or gain access to sensitive information. For more information about these vulnerabilities, see the Details section of this advisory.

pub. 2020-12-11
9.9
CVSS
CRITICAL
CVE-2020-27132

Multiple vulnerabilities in Cisco Jabber for Windows, Jabber for MacOS, and Jabber for mobile platforms could allow an attacker to execute arbitrary programs on the underlying operating system (OS) with elevated privileges or gain access to sensitive information. For more information about these vulnerabilities, see the Details section of this advisory.

pub. 2020-12-11
9.9
CVSS
CRITICAL
CVE-2020-27133

Multiple vulnerabilities in Cisco Jabber for Windows, Jabber for MacOS, and Jabber for mobile platforms could allow an attacker to execute arbitrary programs on the underlying operating system (OS) with elevated privileges or gain access to sensitive information. For more information about these vulnerabilities, see the Details section of this advisory.

pub. 2020-12-11
9.9
CVSS
CRITICAL
CVE-2020-27134

Multiple vulnerabilities in Cisco Jabber for Windows, Jabber for MacOS, and Jabber for mobile platforms could allow an attacker to execute arbitrary programs on the underlying operating system (OS) with elevated privileges or gain access to sensitive information. For more information about these vulnerabilities, see the Details section of this advisory.

pub. 2020-12-11
9.8
CVSS
CRITICAL
CVE-2018-17245

Kibana versions 4.0 to 4.6, 5.0 to 5.6.12, and 6.0 to 6.4.2 contain an error in the way authorization credentials are used when generating PDF reports. If a report requests external resources plaintext credentials are included in the HTTP request that could be recovered by an external resource provider.

pub. 2018-12-20
9.6
CVSS
CRITICAL
CVE-2026-42880

W narzędziu Argo CD wykryto lukę umożliwiającą nieautoryzowany dostęp do poufnych danych. Atakujący posiadający jedynie uprawnienia do odczytu może wyciągnąć niezaszyfrowane dane z obiektów Kubernetes Secret przechowywanych w etcd.

pub. 2026-05-07
9.4
CVSS
CRITICAL
CVE-2024-7205

Podatność w module strony głównej usługi eWeLink Cloud Service (wersje przed 2.19.0) umożliwia użytkownikowi pomocniczemu przejęcie urządzenia i uzyskanie uprawnień użytkownika podstawowego. Problem wynika z ujawniania nadmiarowych, wrażliwych informacji o urządzeniu podczas procesu udostępniania.

pub. 2024-07-31
9.1
CVSS
CRITICAL
CVE-2025-41118

Grafana Pyroscope skonfigurowane z backendem Tencent Cloud Object Storage (COS) umożliwia nieuwierzytelnionemu atakującemu odczytanie wartości secret_key z API. Jest to podatność krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika, a ujawnienie klucza sekretnego prowadzi do utraty kontroli nad przechowywanymi danymi.

pub. 2026-04-15
9.1
CVSS
CRITICAL
CVE-2026-39912

V2Board w wersjach 1.6.1–1.7.4 oraz Xboard do wersji 0.1.9 ujawniają pełny token uwierzytelniający w treści odpowiedzi HTTP endpointu loginWithMailLink, gdy aktywna jest funkcja login_with_mail_link_enable. Podatność umożliwia nieuwierzytelnionemu atakującemu przejęcie dowolnego konta, w tym konta administratora.

pub. 2026-04-09
9.1
CVSS
CRITICAL
CVE-2025-48749

Netwrix Directory Manager (dawniej Imanami GroupID) w wersji 11.0.0.0 i wcześniejszych oraz po wersji 11.1.25134.03 umieszcza wrażliwe informacje w wysyłanych danych sieciowych. Podatność otrzymała ocenę KRYTYCZNĄ (CVSS 9.1) ze względu na potencjalny wpływ na poufność, integralność i dostępność systemu.

pub. 2025-05-28
9.0
CVSS
CRITICAL
CVE-2023-48240

Funkcja rendered diff w XWiki Platform wysyła żądania po stronie serwera do wszystkich obrazów osadzonych w porównywanych wersjach stron, przesyłając jednocześnie ciasteczka sesji użytkownika przeglądającego diff. Umożliwia to atakującemu kradzież ciasteczek logowania oraz przeprowadzenie ataku SSRF, co w efekcie pozwala na przejęcie tożsamości ofiary.

pub. 2023-11-20
8.7
CVSS
HIGH
CVE-2026-27934

Discourse is an open-source discussion platform. Versions prior to 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 have a lack of visibility checks with a user action API endpoint that results in disclosure of the title and post excerpt to unauthorized users, leading to information disclosure. Versions 2026.3.0-latest.1, 2026.2.1, and 2026.1.2 contain a patch. No known workarounds are available.

pub. 2026-03-19
8.7
CVSS
HIGH
CVE-2025-11500

Tinycontrol devices such as tcPDU and LAN Controllers LK3.5, LK3.9 and LK4 have two separate authentication mechanisms - one solely for interface management and one for protecting all other server resources. When the latter is turned off (which is a default setting), an unauthenticated attacker on the local network can obtain usernames and encoded passwords for interface management portal by inspecting the HTTP response of the server when visiting the login page, which contains a JSON file with these details. Both normal and admin users credentials are exposed.  This issue has been fixed in firmware versions: 1.36 (for tcPDU), 1.67 (for LK3.5 - hardware versions: 3.5, 3.6, 3.7 and 3.8), 1.75 (for LK3.9 - hardware version 3.9) and 1.38 (for LK4 - hardware version 4.0).

pub. 2026-03-16
8.7
CVSS
HIGH
CVE-2020-37150

Edimax EW-7438RPn-v3 Mini 1.27 allows unauthenticated attackers to access the /wizard_reboot.asp page in unsetup mode, which discloses the Wi-Fi SSID and security key. Attackers can retrieve the wireless password by sending a GET request to this endpoint, exposing sensitive information without authentication.

pub. 2026-02-05
8.7
CVSS
HIGH
CVE-2020-37093

Netis E1+ 1.2.32533 contains an information disclosure vulnerability that allows unauthenticated attackers to retrieve WiFi passwords through the netcore_get.cgi endpoint. Attackers can send a GET request to the endpoint to extract sensitive network credentials including SSID and WiFi passwords in plain text.

pub. 2026-02-03
8.7
CVSS
HIGH
CVE-2026-24477

AnythingLLM is an application that turns pieces of content into context that any LLM can use as references during chatting. If AnythingLLM prior to version 1.10.0 is configured to use Qdrant as the vector database with an API key, this QdrantApiKey could be exposed in plain text to unauthenticated users via the `/api/setup-complete` endpoint. Leakage of QdrantApiKey allows an unauthenticated attacker full read/write access to the Qdrant vector database instance used by AnythingLLM. Since Qdrant often stores the core knowledge base for RAG in AnythingLLM, this can lead to complete compromise of the semantic search / retrieval functionality and indirect leakage of confidential uploaded documents. Version 1.10.0 patches the issue.

pub. 2026-01-27
8.7
CVSS
HIGH
CVE-2025-49584

XWiki is a generic wiki platform. In XWiki Platform versions 10.9 through 16.4.6, 16.5.0-rc-1 through 16.10.2, and 17.0.0-rc-1, the title of every single page whose reference is known can be accessed through the REST API as long as an XClass with a page property is accessible, this is the default for an XWiki installation. This allows an attacker to get titles of pages whose reference is known, one title per request. This doesn't affect fully private wikis as the REST endpoint checks access rights on the XClass definition. The impact on confidentiality depends on the strategy for page names. By default, page names match the title, so the impact should be low but if page names are intentionally obfuscated because the titles are sensitive, the impact could be high. This has been fixed in XWiki 16.4.7, 16.10.3 and 17.0.0 by adding access control checks before getting the title of any page.

pub. 2025-06-13
8.7
CVSS
HIGH
CVE-2025-48045

An unauthenticated HTTP GET request to the /client.php endpoint will disclose the default administrator user credentials.

pub. 2025-05-29
Pokazano 20 z 352 podatności
Informacje
ID: CWE-201
Typ: Base
Podatności: 352
MITRE CWE ↗
← Słownik CWE