この製品は、プライベートな文書や機密文書の検索インデックスを作成するが、インデックスへのアクセスを、元の情報を見る権限のある行為者に適切に制限していない。
ウェブサイトやその他の文書保管所は、検索を容易にするために、個人的な文書群に対してインデックス作成ルーチンを適用することがある。 もしインデックスの結果が、インデックスされた文書にアクセスできない関係者にも利用可能であれば、攻撃者は標的型検索を行い、その結果を読むことで、文書の一部を入手することができる。 検索結果に、検索クエリの一部ではない周囲のテキストが含まれている場合、このリスクは特に危険である。この問題は、隠されたままであるべき重要なファイルを無視するように設定(または実装)されていない検索エンジンに現れる可能性があります。これらのファイルを直接ダウンロードする権限がなくても、リモート・ユーザーはそれらを読むことができます。
The product creates a search index of private or sensitive documents, but it does not properly limit index access to actors who are authorized to see the original information.
Web sites and other document repositories may apply an indexing routine against a group of private documents to facilitate search. If the index's results are available to parties who do not have access to the documents being indexed, then attackers could obtain portions of the documents by conducting targeted searches and reading the results. The risk is especially dangerous if search results include surrounding text that was not part of the search query. This issue can appear in search engines that are not configured (or implemented) to ignore critical files that should remain hidden; even without permissions to download these files directly, the remote user could read them.