CVEbaza.plSłownik CWECWE-209
Common Weakness Enumeration

CWE-209

Generation of Error Message Containing Sensitive Information

Kategoria: BaseCVE: 666
Opis

Produkt generuje komunikat błędu, który zawiera wrażliwe informacje o swoim środowisku, użytkownikach lub powiązanych danych. Takie ujawnienie może zostać wykorzystane przez atakujących do przeprowadzenia dalszych ataków lub uzyskania nieautoryzowanego dostępu.

Description (EN)

The product generates an error message that includes sensitive information about its environment, users, or associated data.

Podatności CVE z CWE-209 (666)
10.0
CVSS
CRITICAL
CVE-2025-62168

Squid w wersjach wcześniejszych niż 7.2 nie usuwa właściwie danych uwierzytelniających HTTP z komunikatów o błędach, co prowadzi do ujawnienia poufnych informacji. Podatność jest szczególnie groźna, ponieważ umożliwia skryptom obejście zabezpieczeń przeglądarki i przechwycenie tokenów lub haseł używanych przez zaufanych klientów.

pub. 2025-10-17
9.9
CVSS
CRITICAL
CVE-2025-68110

ChurchCRM w wersjach wcześniejszych niż 6.5.3 może ujawniać poufne informacje o bazie danych — w tym hosta, adres IP, nazwę użytkownika i hasło — w komunikatach o błędach. Podatność jest krytyczna, ponieważ umożliwia uwierzytelnionemu atakującemu uzyskanie pełnych danych dostępowych do bazy danych systemu.

pub. 2025-12-17
9.8
CVSS
CRITICAL
CVE-2026-22778

W silniku wnioskowania vLLM (wersje od 0.8.3 do przed 0.14.1) błędnie przetworzone żądanie z nieprawidłowym obrazem powoduje wyciek adresu sterty do klienta, skutecznie redukując ochronę ASLR. Podatność może być łączona z przepełnieniem sterty w dekoderze JPEG2000 (OpenCV/FFmpeg), co prowadzi do zdalnego wykonania kodu (RCE).

pub. 2026-02-02
9.8
CVSS
CRITICAL
CVE-2025-46658

W aplikacji ExonautWeb (4C Strategies Exonaut 21.6) wykryto podatność polegającą na generowaniu nadmiernie szczegółowych komunikatów błędów. Mimo iż CWE-209 typowo klasyfikowany jest jako problem ujawnienia informacji, podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co wskazuje na potencjalnie poważne konsekwencje dla poufności, integralności i dostępności systemu.

pub. 2025-08-05
9.8
CVSS
CRITICAL
CVE-2024-28285

Podatność typu Fault Injection w bibliotece Cryptopp Crypto++ 8.9 pozwala atakującemu współdzielącemu system z procesem ofiary na ujawnienie poufnych danych oraz eskalację uprawnień. Krytyczny poziom CVSS (9.8) wynika z możliwości pełnego naruszenia poufności, integralności i dostępności.

pub. 2024-05-14
9.8
CVSS
CRITICAL
CVE-2023-40757

User enumeration is found in PHPJabbers Food Delivery Script v3.1. This issue occurs during password recovery, where a difference in messages could allow an attacker to determine if the user is valid or not, enabling a brute force attack with valid users.

pub. 2023-08-28
9.8
CVSS
CRITICAL
CVE-2023-40758

User enumeration is found in PHPJabbers Document Creator v1.0. This issue occurs during password recovery, where a difference in messages could allow an attacker to determine if the user is valid or not, enabling a brute force attack with valid users.

pub. 2023-08-28
9.8
CVSS
CRITICAL
CVE-2023-40759

User enumeration is found in PHP Jabbers Restaurant Booking Script v3.0. This issue occurs during password recovery, where a difference in messages could allow an attacker to determine if the user is valid or not, enabling a brute force attack with valid users.

pub. 2023-08-28
9.8
CVSS
CRITICAL
CVE-2023-40760

User enumeration is found in PHP Jabbers Hotel Booking System v4.0. This issue occurs during password recovery, where a difference in messages could allow an attacker to determine if the user is valid or not, enabling a brute force attack with valid users.

pub. 2023-08-28
9.8
CVSS
CRITICAL
CVE-2023-40761

User enumeration is found in PHPJabbers Yacht Listing Script v2.0. This issue occurs during password recovery, where a difference in messages could allow an attacker to determine if the user is valid or not, enabling a brute force attack with valid users.

pub. 2023-08-28
9.8
CVSS
CRITICAL
CVE-2023-40762

User enumeration is found in PHPJabbers Fundraising Script v1.0. This issue occurs during password recovery, where a difference in messages could allow an attacker to determine if the user is valid or not, enabling a brute force attack with valid users.

pub. 2023-08-28
9.8
CVSS
CRITICAL
CVE-2023-40763

User enumeration is found in PHPJabbers Taxi Booking Script v2.0. This issue occurs during password recovery, where a difference in messages could allow an attacker to determine if the user is valid or not, enabling a brute force attack with valid users.

pub. 2023-08-28
9.8
CVSS
CRITICAL
CVE-2023-40764

User enumeration is found in PHP Jabbers Car Rental Script v3.0. This issue occurs during password recovery, where a difference in messages could allow an attacker to determine if the user is valid or not, enabling a brute force attack with valid users.

pub. 2023-08-28
9.8
CVSS
CRITICAL
CVE-2023-40765

User enumeration is found in PHPJabbers Event Booking Calendar v4.0. This issue occurs during password recovery, where a difference in messages could allow an attacker to determine if the user is valid or not, enabling a brute force attack with valid users.

pub. 2023-08-28
9.8
CVSS
CRITICAL
CVE-2023-40766

User enumeration is found in in PHPJabbers Ticket Support Script v3.2. This issue occurs during password recovery, where a difference in messages could allow an attacker to determine if the user is valid or not, enabling a brute force attack with valid users.

pub. 2023-08-28
9.8
CVSS
CRITICAL
CVE-2023-40767

User enumeration is found in in PHPJabbers Make an Offer Widget v1.0. This issue occurs during password recovery, where a difference in messages could allow an attacker to determine if the user is valid or not, enabling a brute force attack with valid users.

pub. 2023-08-28
9.8
CVSS
CRITICAL
CVE-2021-42777

Stimulsoft (aka Stimulsoft Reports) 2013.1.1600.0, when Compilation Mode is used, allows an attacker to execute arbitrary C# code on any machine that renders a report, including the application server or a user's local machine, as demonstrated by System.Diagnostics.Process.Start.

pub. 2022-10-29
9.8
CVSS
CRITICAL
CVE-2019-7644

Auth0 Auth0-WCF-Service-JWT before 1.0.4 leaks the expected JWT signature in an error message when it cannot successfully validate the JWT signature. If this error message is presented to an attacker, they can forge an arbitrary JWT token that will be accepted by the vulnerable application.

pub. 2019-04-11
9.8
CVSS
CRITICAL
CVE-2019-7612

A sensitive data disclosure flaw was found in the way Logstash versions before 5.6.15 and 6.6.1 logs malformed URLs. If a malformed URL is specified as part of the Logstash configuration, the credentials for the URL could be inadvertently logged as part of the error message.

pub. 2019-03-25
9.8
CVSS
CRITICAL
CVE-2018-14925

Matera Banco 1.0.0 mishandles Java errors in the backend, as demonstrated by a stack trace revealing use of net.sf.acegisecurity components.

pub. 2018-08-03
Pokazano 20 z 666 podatności
Informacje
ID: CWE-209
Typ: Base
Podatności: 666
MITRE CWE ↗
← Słownik CWE