CWE-200 信息暴露类漏洞列表 2750

CWE-200 信息暴露类弱点 2750 条 CVE 漏洞汇总，含 AI 中文分析。

CWE-200 指产品向未授权主体暴露敏感信息，属于信息泄露类漏洞。攻击者常通过未加密通信、错误日志记录或调试接口获取密钥、用户数据等机密内容。开发者应避免在日志中记录敏感字段，实施最小权限原则，对传输数据进行加密，并严格限制调试模式的访问权限，从而有效防止信息被非法窃取。

MITRE CWE 官方描述

CWE：CWE-200 向未授权主体（Unauthorized Actor）暴露敏感信息英文：产品向未明确授权访问该信息的主体（Actor）暴露了敏感信息。导致信息暴露（Information Exposures）的错误种类繁多。错误的严重程度差异很大，具体取决于产品运行的上下文、所泄露的敏感信息类型以及其可能为攻击者带来的收益。某些类型的敏感信息包括： * 私人、个人信息，例如个人消息、财务数据、健康记录、地理位置或联系方式 * 系统状态和环境，例如操作系统和已安装的软件包 * 商业机密和知识产权 * 网络状态和配置 * 产品自身的代码或内部状态 * 元数据（Metadata），例如连接日志或消息头 * 间接信息，例如外部人员可观察到的两个内部操作之间的差异信息对不同方而言可能具有敏感性，各方对于信息是否应受到保护可能有各自的期望。这些方包括： * 产品自身的用户 * 其信息由产品创建或使用的个人或组织，即使他们不是产品的直接用户 * 产品的管理员，包括产品所运行的系统（Systems）和/或网络的管理员 * 开发者信息暴露可以通过不同方式发生： * 代码显式地将敏感信息插入到资源或消息中，这些资源或消息有意对未授权主体（Unauthorized Actors）可访问，但不应包含该信息——即，该信息本应被“清除”（Scrubbed）或“消毒”（Sanitized）。 * 不同的弱点或错误间接地将敏感信息插入到资源中，例如 Web 脚本错误揭示了程序的完整系统路径。 * 代码管理包含敏感信息的资源，但这些资源无意中对未授权主体（Unauthorized Actors）可访问。在这种情况下，信息暴露是结果性的——即，不同的弱点首先使得对该信息的访问成为可能。将任何机密性（Confidentiality）丧失描述为“信息暴露”是常见做法，但这可能导致在 CWE 映射中过度使用 CWE-200。从 CWE 的角度来看，机密性丧失是一种技术影响，可能由数十种不同的弱点引起，例如不安全的文件权限或越界读取（Out-of-bounds Read）。CWE-200 及其低层级后代旨在涵盖在显式管理、存储、传输或清理敏感信息的行为中发生的错误。

常见影响 (1)

ConfidentialityRead Application Data

缓解措施 (1)

Architecture and DesignCompartmentalize the system to have "safe" areas where trust boundaries can be unambiguously drawn. Do not allow sensitive data to go outside of the trust boundary and always be careful when interfacing with a compartment outside of the safe area. Ensure that appropriate compartmentalization is built into the system design, and the compartmentalization allows for and reinforces privilege separatio…

代码示例 (2)

The following code checks validity of the supplied username and password and notifies the user of a successful or failed login.

my $username=param('username'); my $password=param('password'); if (IsValidUsername($username) == 1) { if (IsValidPassword($username, $password) == 1) { print "Login Successful"; } else { print "Login Failed - incorrect password"; } } else { print "Login Failed - unknown username"; }

Bad · Perl

"Login Failed - incorrect username or password"

Result

This code tries to open a database connection, and prints any exceptions that occur.

try { openDbConnection(); } //print exception message that includes exception message and configuration file location catch (Exception $e) { echo 'Caught exception: ', $e->getMessage(), '\n'; echo 'Check credentials in config file at: ', $Mysql_config_location, '\n'; }

Bad · PHP

CVE ID	标题	CVSS	风险等级	Published
CVE-2026-42456	AnythingLLM 跨用户TTS音频泄露漏洞(IDOR) — anything-llm	4.3	Medium	2026-05-08
CVE-2026-41520	Cillium 敏感信息泄露漏洞 — cilium	7.9	High	2026-05-08
CVE-2026-25199	Apache CloudStack Proxmox扩展越权访问漏洞 — Apache CloudStack	-	-	2026-05-08
CVE-2026-43942	electerm 环境变量通过窗口对象泄露 — electerm	5.5	Medium	2026-05-08
CVE-2026-42880	ArgoCD ServerSideDiff 漏洞导致Kubernetes密钥泄露 — argo-cd	9.6	Critical	2026-05-07
CVE-2026-42826	Azure DevOps 信息泄露漏洞 — Azure DevOps	10.0	Critical	2026-05-07
CVE-2026-42047	Inngest TypeScript SDK 环境变量泄露漏洞 — inngest-js	8.6	High	2026-05-07
CVE-2026-41659	Admidio 成员分配盲注致配置文件字段值泄露漏洞 — admidio	2.7	Low	2026-05-07
CVE-2026-8033	PicoTronica e-Clinic ECHS响应头信息泄露漏洞 — e-Clinic Healthcare System ECHS	5.3	Medium	2026-05-06
CVE-2026-8028	FlowiseAI Endpoint 信息泄露漏洞 — Flowise	3.7	Low	2026-05-06
CVE-2025-31975	HCL BigFix SM 服务器横幅信息泄露漏洞 — BigFix Service Management (SM)	2.6	Low	2026-05-06
CVE-2025-52613	HCL BigFix SM 因使用漏洞组件导致远程代码执行 — BigFix Service Management (SM)	4.6	Medium	2026-05-06
CVE-2025-31976	HCL BigFix SM 凭据保护不足漏洞 — BigFix Service Management (SM)	4.8	Medium	2026-05-06
CVE-2025-31982	HCL BigFix SM 目录遍历漏洞 — BigFix Service Management (SM)	3.7	Low	2026-05-06
CVE-2025-31984	HCL BigFix SM缺少安全头导致配置错误漏洞 — BigFix Service Management (SM)	3.7	Low	2026-05-06
CVE-2026-8026	FlowiseAI Flowise API 登录信息泄露漏洞 — Flowise	3.7	Low	2026-05-06
CVE-2026-43646	Apache Wicket PackageResourceGuard 绕过漏洞 — Apache Wicket	-	-	2026-05-06
CVE-2026-4409	Subscribe To Comments Reloaded ≤ 240119 任意订阅管理漏洞 — Subscribe To Comments Reloaded	6.5	Medium	2026-05-05
CVE-2026-42223	nginx-ui Settings API 泄露受保护密钥 — nginx-ui	6.5	Medium	2026-05-04
CVE-2026-42220	nginx-ui 认证后设置泄露导致密钥暴露 — nginx-ui	6.5	Medium	2026-05-04
CVE-2026-42151	Prometheus Azure AD远程写入OAuth密钥泄露 — prometheus	7.5	High	2026-05-04
CVE-2026-42092	Titra 任意认证用户泄露敏感配置漏洞 — titra	6.5	Medium	2026-05-04
CVE-2026-3504	Dokan <=4.3.1 商店评论API未认证信息泄露漏洞 — Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy	5.3	Medium	2026-05-02
CVE-2025-14726	Social Photo Feed 1.8 插件设置未授权访问漏洞 — Widgets for Social Photo Feed	6.5	Medium	2026-05-02
CVE-2026-7382	MeWare软件PDKS信息泄露漏洞 — PDKS	6.5	Medium	2026-04-30
CVE-2026-7381	Plack::Middleware::XSendfile 信息泄露漏洞 — Plack::Middleware::XSendfile	7.5^AI	High^AI	2026-04-29
CVE-2026-7041	MiroFish 信息泄露漏洞 — MiroFish	3.7	Low	2026-04-26
CVE-2026-7021	SmythOS 信息泄露漏洞 — sre	3.5	Low	2026-04-26
CVE-2026-41492	Dgraph 信息泄露漏洞 — dgraph	9.8	Critical	2026-04-24
CVE-2026-21515	Microsoft Azure IOT Central 安全漏洞 — Azure IOT Central	9.9	Critical	2026-04-24

CWE-200（信息暴露）是常见的弱点类别，本平台收录该类弱点关联的 2750 条 CVE 漏洞。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CWE-200 信息暴露 类漏洞列表 2750

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CWE-200 信息暴露类漏洞列表 2750