CVEbaza.plSłownik CWECWE-256
Common Weakness Enumeration

CWE-256

Plaintext Storage of a Password

Kategoria: BaseCVE: 210
Opis

Produkt przechowuje hasło w postaci zwykłego tekstu w zasobach takich jak pamięć lub pliki. Stanowi to poważne zagrożenie bezpieczeństwa, umożliwiając nieautoryzowany dostęp do wrażliwych informacji.

Description (EN)

The product stores a password in plaintext within resources such as memory or files.

Podatności CVE z CWE-256 (210)
10.0
CVSS
CRITICAL
CVE-2020-6961

In ApexPro Telemetry Server, Versions 4.2 and prior, CARESCAPE Telemetry Server v4.2 & prior, Clinical Information Center (CIC) Versions 4.X and 5.X, CARESCAPE Telemetry Server Version 4.3, CARESCAPE Central Station (CSCS) Versions 1.X, a vulnerability exists in the affected products that could allow an attacker to obtain access to the SSH private key in configuration files.

pub. 2020-01-24
9.8
CVSS
CRITICAL
CVE-2024-55026

Podatność w urządzeniu Weintek cMT-3072XH2 z oprogramowaniem easyweb v2.1.53 umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych za pośrednictwem endpointu reset_pj.cgi. Krytyczny poziom zagrożenia wynika z braku wymagania jakiegokolwiek uwierzytelnienia oraz możliwości pełnego przejęcia kontroli nad urządzeniem.

pub. 2026-03-03
9.8
CVSS
CRITICAL
CVE-2025-6561

Hybrydowe rejestratory DVR firmy Hunt Electronic (modele HBF-09KD i HBF-16NK) są podatne na ujawnienie wrażliwych informacji. Nieuwierzytelniony atakujący zdalnie może uzyskać dostęp do pliku konfiguracyjnego systemu i odczytać hasło administratora w postaci jawnego tekstu.

pub. 2025-06-26
9.8
CVSS
CRITICAL
CVE-2025-27656

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia odczyt hasła z listy procesów systemowych bez uwierzytelnienia. Jest to podatność krytyczna (CVSS 9.8) polegająca na niezabezpieczonym przechowywaniu poświadczeń, co może prowadzić do pełnego przejęcia systemu.

pub. 2025-03-05
9.8
CVSS
CRITICAL
CVE-2025-27662

Vasion Print (dawniej PrinterLogic) w wersjach przed Virtual Appliance Host 22.0.843 / Application 20.0.1923 ujawnia hasła w adresie URL (CWE-256). Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika i może być wykorzystana zdalnie przez sieć.

pub. 2025-03-05
9.8
CVSS
CRITICAL
CVE-2024-5960

Elizsoftware Panel przechowuje hasła użytkowników w postaci niezaszyfrowanej (plaintext), co umożliwia atakującemu uzyskanie dostępu do poświadczeń. Podatność otrzymała ocenę krytyczną CVSS 9.8, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika.

pub. 2024-09-18
9.8
CVSS
CRITICAL
CVE-2024-33375

Router LB-LINK BL-W1210M w wersji 2.0 przechowuje dane uwierzytelniające użytkowników w postaci niezaszyfrowanej (plaintext) w firmware urządzenia. Jest to krytyczna podatność, ponieważ umożliwia odczytanie haseł przez każdego, kto uzyska dostęp do pamięci routera lub jego firmware.

pub. 2024-06-14
9.8
CVSS
CRITICAL
CVE-2024-36081

Urządzenia Westermo EDW-100 umożliwiają nieuwierzytelnionemu użytkownikowi pobranie pliku konfiguracyjnego zawierającego hasło zapisane w postaci jawnego tekstu (cleartext). Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika, a jej wykorzystanie może prowadzić do pełnego przejęcia kontroli nad urządzeniem.

pub. 2024-05-19
9.8
CVSS
CRITICAL
CVE-2024-23486

Routery bezprzewodowe Buffalo z serii WSR-2533DHP przechowują hasła w postaci niezaszyfrowanej (plaintext). Osoba nieuprawniona mająca dostęp sieciowy do strony logowania urządzenia może pozyskać skonfigurowane dane uwierzytelniające.

pub. 2024-04-15
9.8
CVSS
CRITICAL
CVE-2017-16714

In Ice Qube Thermal Management Center versions prior to version 4.13, passwords are stored in plaintext in a file that is accessible without authentication.

pub. 2018-09-06
9.8
CVSS
CRITICAL
CVE-2018-8851

Echelon SmartServer 1 all versions, SmartServer 2 all versions prior to release 4.11.007, i.LON 100 all versions, and i.LON 600 all versions. The devices store passwords in plaintext, which may allow an attacker with access to the configuration file to log into the SmartServer web user interface.

pub. 2018-07-24
9.8
CVSS
CRITICAL
CVE-2018-7510

In the web application in BeaconMedaes TotalAlert Scroll Medical Air Systems running software versions prior to 4107600010.23, passwords are presented in plaintext in a file that is accessible without authentication.

pub. 2018-06-06
9.8
CVSS
CRITICAL
CVE-2017-7913

A Plaintext Storage of a Password issue was discovered in Moxa OnCell G3110-HSPA Version 1.3 build 15082117 and previous versions, OnCell G3110-HSDPA Version 1.2 Build 09123015 and previous versions, OnCell G3150-HSDPA Version 1.4 Build 11051315 and previous versions, OnCell 5104-HSDPA, OnCell 5104-HSPA, and OnCell 5004-HSPA. The application's configuration file contains parameters that represent passwords in plaintext.

pub. 2017-05-29
9.4
CVSS
CRITICAL
CVE-2025-34210

Vasion Print (dawniej PrinterLogic) Virtual Appliance przechowuje liczne wrażliwe poświadczenia — w tym hasła do baz danych, hasło root MySQL, klucze SaaS oraz hasło administratora Portainer — w plikach tekstowych odczytywanych przez wszystkich użytkowników systemu. Dowolny lokalny użytkownik lub proces mogący odczytać system plików hosta może pozyskać wszystkie te sekrety w formie jawnej, co prowadzi do pełnego przejęcia urządzenia.

pub. 2025-10-02
9.3
CVSS
CRITICAL
CVE-2025-15624

Sparx Pro Cloud Server przechowuje lokalnie wygenerowane hasła użytkowników w postaci niezaszyfrowanego tekstu jawnego (plaintext), gdy jako podstawowa metoda uwierzytelniania skonfigurowano OpenID. Jest to podatność klasy CWE-256, która naraża dane uwierzytelniające na ujawnienie w przypadku uzyskania dostępu do systemu.

pub. 2026-04-17
9.3
CVSS
CRITICAL
CVE-2025-15113

Ksenia Security Lares Home Automation w wersji 1.6 (model legacy) zawiera niezabezpieczony endpoint umożliwiający uwierzytelnionym atakującym przesyłanie binarnych obrazów systemu plików MPFS. Podatność jest krytyczna, gdyż pozwala na nadpisanie pamięci flash i potencjalne wykonanie dowolnego kodu na serwerze webowym systemu automatyki domowej.

pub. 2025-12-30
9.3
CVSS
CRITICAL
CVE-2025-6560

Wiele modeli routerów bezprzewodowych firmy Sapido zawiera podatność umożliwiającą nieuwierzytelnionemu atakującemu zdalne pobranie pliku konfiguracyjnego systemu zawierającego dane logowania administratora w postaci jawnego tekstu. Podatność jest szczególnie groźna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2025-06-24
9.3
CVSS
CRITICAL
CVE-2025-5893

System zarządzania parkingami Smart Parking Management System firmy Honding Technology zawiera podatność ujawnienia wrażliwych informacji, umożliwiającą nieuwierzytelnionemu atakującemu zdalne pobranie danych logowania administratora w postaci jawnego tekstu. Podatność jest krytyczna ze względu na brak jakichkolwiek barier autoryzacyjnych.

pub. 2025-06-09
9.3
CVSS
CRITICAL
CVE-2024-6118

Podatność w funkcji ebooknote aplikacji Hamastar MeetingHub Paperless Meetings 2021 powoduje przechowywanie haseł użytkowników w postaci niezaszyfrowanej (plaintext) w plikach XML. Zdalny atakujący może odczytać dane uwierzytelniające innych użytkowników i przejąć dostęp do systemu.

pub. 2024-08-05
9.2
CVSS
CRITICAL
CVE-2026-35556

OpenPLC V3 przechowuje hasła w postaci niezaszyfrowanego, jawnego tekstu, co umożliwia atakującemu odzyskanie danych uwierzytelniających i uzyskanie dostępu do wrażliwych informacji. Podatność jest szczególnie groźna w środowiskach przemysłowych (ICS/OT), gdzie kompromitacja sterownika PLC może mieć poważne konsekwencje operacyjne.

pub. 2026-04-09
Pokazano 20 z 210 podatności
Informacje
ID: CWE-256
Typ: Base
Podatności: 210
MITRE CWE ↗
← Słownik CWE