この製品では、システムレベルの機密情報が、製品にアクセスするのと同じレベルのアクセス権を持たない権限のない行為者によってアクセスされることを適切に防止できません。
ウェブ・アプリケーションのようなネットワーク・ベースの製品は、多くの場合、オペレーテ ィング・システムや同様の環境の上で実行される。 製品が外部と通信するとき、データファイルのパス名、他の OS ユーザー、インストールされているパッケージ、アプリケーション環境など、基盤となるシステムに関する詳細は隠されたままであることが期待されます。このようなシステム情報は、製品自体から提供されることもあれば、診断メッセージやデバッグメッセージの中に埋もれることもあります。デバッグ情報は、敵がシステムについて学習し、攻撃計画を立てるのに役立ちます。
情報漏えいは、システム・データやデバッグ情報が出力ストリームやロギング機能を通じてプログラムから漏れることで、無許可の関係者がアクセスできるようになることで発生します。これらのエラーに対する応答は、他の影響とともに、詳細なシステム情報を明らかにすることができます。 攻撃者は、技術、オペレーティング・システム、および製品のバージョンを明らかにするメッセージを使用して、これらの技術における既知の脆弱性に対する攻撃を調整することができます。製品は、エラー処理メカニズムの一部として、スタックトレースなどの重要な実装の詳細を提供する診断方法を使用することができます。
The product does not properly prevent sensitive system-level information from being accessed by unauthorized actors who do not have the same level of access to the underlying system as the product does.
Network-based products, such as web applications, often run on top of an operating system or similar environment. When the product communicates with outside parties, details about the underlying system are expected to remain hidden, such as path names for data files, other OS users, installed packages, the application environment, etc. This system information may be provided by the product itself, or buried within diagnostic or debugging messages. Debugging information helps an adversary learn about the system and form an attack plan.
An information exposure occurs when system data or debugging information leaves the program through an output stream or logging function that makes it accessible to unauthorized parties. Using other weaknesses, an attacker could cause errors to occur; the response to these errors can reveal detailed system information, along with other impacts. An attacker can use messages that reveal technologies, operating systems, and product versions to tune the attack against known vulnerabilities in these technologies. A product may use diagnostic methods that provide significant implementation details such as stack traces as part of its error handling mechanism.