CVEbaza.plSłownik CWECWE-312
Common Weakness Enumeration

CWE-312

Cleartext Storage of Sensitive Information

Kategoria: BaseCVE: 936
Opis

Produkt przechowuje poufne informacje w tekście jawnym w zasobie, który może być dostępny z innej sfery kontroli. Stanowi to zagrożenie bezpieczeństwa, umożliwiając nieautoryzowany dostęp do wrażliwych danych.

Description (EN)

The product stores sensitive information in cleartext within a resource that might be accessible to another control sphere.

Podatności CVE z CWE-312 (936)
10.0
CVSS
CRITICAL
CVE-2026-22240

Platforma BLUVOYIX firmy Blusparkglobal przechowuje hasła użytkowników w postaci jawnej (plaintext) i udostępnia je przez nieuwierzytelnione API. Atakujący bez żadnych uprawnień może pobrać hasła wszystkich użytkowników, w tym administratorów, i przejąć pełną kontrolę nad platformą.

pub. 2026-01-14
10.0
CVSS
CRITICAL
CVE-2025-34216

Vasion Print (dawniej PrinterLogic) Virtual Appliance udostępnia nieuwierzytelnione endpointy REST API, które zwracają pliki konfiguracyjne z hasłami w postaci jawnego tekstu oraz klucz kryptograficzny APP_KEY aplikacji Laravel. Uzyskanie tego klucza pozwala atakującemu na zdalne wykonanie kodu (RCE) na urządzeniu bez jakiejkolwiek autoryzacji, co czyni tę podatność krytyczną.

pub. 2025-09-29
9.9
CVSS
CRITICAL
CVE-2022-43757

A Cleartext Storage of Sensitive Information vulnerability in SUSE Rancher allows users on managed clusters to gain access to credentials. The impact depends on the credentials exposed This issue affects: SUSE Rancher Rancher versions prior to 2.5.17; Rancher versions prior to 2.6.10; Rancher versions prior to 2.7.1.

pub. 2023-02-07
9.9
CVSS
CRITICAL
CVE-2021-36782

A Cleartext Storage of Sensitive Information vulnerability in SUSE Rancher allows authenticated Cluster Owners, Cluster Members, Project Owners, Project Members and User Base to use the Kubernetes API to retrieve plaintext version of sensitive data. This issue affects: SUSE Rancher Rancher versions prior to 2.5.16; Rancher versions prior to 2.6.7.

pub. 2022-09-07
9.9
CVSS
CRITICAL
CVE-2020-9045

During installation or upgrade to Software House C•CURE 9000 v2.70 and American Dynamics victor Video Management System v5.2, the credentials of the user used to perform the installation or upgrade are logged in a file. The install log file persists after the installation.

pub. 2020-05-21
9.8
CVSS
CRITICAL
CVE-2026-43992

Platforma agentic AI JunoClaw (oparta na Juno Network) przed wersją 0.x.y-security-1 przekazywała mnemonik BIP-39 (seed wallet) jako jawny parametr tekstowy w wywołaniach narzędzi MCP. Oznacza to, że klucz kryptograficzny do portfela był zapisywany w logach, telemetrii i ruchu sieciowym pomiędzy dostawcą LLM a procesem MCP.

pub. 2026-05-12
9.8
CVSS
CRITICAL
CVE-2025-65826

Aplikacja mobilna Meatmeet zawiera zakodowane na stałe dane uwierzytelniające (credentials) do sieci Wi-Fi producenta. Podatność może umożliwić nieautoryzowany dostęp do sieci Wi-Fi vendora lub przeprowadzenie ataku typu evil twin access point.

pub. 2025-12-10
9.8
CVSS
CRITICAL
CVE-2025-30124

Kamera samochodowa Marbella KR8s Dashcam FF w wersji 2.0.8 automatycznie zapisuje hasło urządzenia w postaci niezaszyfrowanej (cleartext) na nowo włożonej karcie SD. Atakujący z chwilowym fizycznym dostępem do urządzenia może podmienić kartę SD i w ten sposób wykraść hasło.

pub. 2025-07-28
9.8
CVSS
CRITICAL
CVE-2024-46340

Router TP-Link TL-WR845N przesyła dane uwierzytelniające użytkownika w postaci niezaszyfrowanej (plaintext) po wykonaniu resetu do ustawień fabrycznych. Podatność o ocenie CVSS 9.8 umożliwia przechwycenie danych logowania przez nieuwierzytelnionego atakującego sieciowego.

pub. 2024-12-10
9.8
CVSS
CRITICAL
CVE-2023-31069

An issue was discovered in TSplus Remote Access through 16.0.2.14. Credentials are stored as cleartext within the HTML source code of the login page.

pub. 2023-09-11
9.8
CVSS
CRITICAL
CVE-2023-33373

Connected IO v2.1.0 and prior keeps passwords and credentials in clear-text format, allowing attackers to exfiltrate the credentials and use them to impersonate the devices.

pub. 2023-08-04
9.8
CVSS
CRITICAL
CVE-2020-15332

Zyxel CloudCNM SecuManager 3.1.0 and 3.1.1 has weak /opt/axess/etc/default/axess permissions.

pub. 2022-09-29
9.8
CVSS
CRITICAL
CVE-2022-26148

An issue was discovered in Grafana through 7.3.4, when integrated with Zabbix. The Zabbix password can be found in the api_jsonrpc.php HTML source code. When the user logs in and allows the user to register, one can right click to view the source code and use Ctrl-F to search for password in api_jsonrpc.php to discover the Zabbix account password and URL address.

pub. 2022-03-21
9.8
CVSS
CRITICAL
CVE-2021-29954

Proxy functionality built into Hubs Cloud’s Reticulum software allowed access to internal URLs, including the metadata service. This vulnerability affects Hubs Cloud < mozillareality/reticulum/1.0.1/20210428201255.

pub. 2021-06-24
9.8
CVSS
CRITICAL
CVE-2019-18868

Blaauw Remote Kiln Control through v3.00r4 allows an unauthenticated attacker to access MySQL credentials in cleartext in /engine/db.inc, /lang/nl.bak, or /lang/en.bak.

pub. 2020-05-07
9.8
CVSS
CRITICAL
CVE-2020-5723

The UCM6200 series 1.0.20.22 and below stores unencrypted user passwords in an SQLite database. This could allow an attacker to retrieve all passwords and possibly gain elevated privileges.

pub. 2020-03-30
9.8
CVSS
CRITICAL
CVE-2019-19228

Fronius Solar Inverter devices before 3.14.1 (HM 1.12.1) allow attackers to bypass authentication because the password for the today account is stored in the /tmp/web_users.conf file.

pub. 2019-12-04
9.8
CVSS
CRITICAL
CVE-2019-13096

TronLink Wallet 2.2.0 stores user wallet keystore in plaintext and places them in insecure storage. An attacker can read and reuse the user keystore of a valid user via /data/data/com.tronlink.wallet/shared_prefs/<wallet-name>.xml to gain unauthorized access.

pub. 2019-07-22
9.8
CVSS
CRITICAL
CVE-2019-9823

In several JetBrains IntelliJ IDEA versions, creating remote run configurations of JavaEE application servers leads to saving a cleartext record of the server credentials in the IDE configuration files. The issue has been fixed in the following versions: 2018.3.5, 2018.2.8, 2018.1.8.

pub. 2019-07-03
9.8
CVSS
CRITICAL
CVE-2019-9873

In several versions of JetBrains IntelliJ IDEA Ultimate, creating Task Servers configurations leads to saving a cleartext unencrypted record of the server credentials in the IDE configuration files. The issue has been fixed in the following versions: 2019.1, 2018.3.5, 2018.2.8, and 2018.1.8.

pub. 2019-07-03
Pokazano 20 z 936 podatności
Informacje
ID: CWE-312
Typ: Base
Podatności: 936
MITRE CWE ↗
← Słownik CWE
CWE-312 — Przechowywanie Poufnych Informacji w Tekście Jawnym | Słownik CWE | CVEbaza.pl