Уязвимость недостаточно защищенных учетных данных в Sparx Systems Pty Ltd. Sparx Enterprise Architect. Клиент раскрывает секрет клиента OAuth2 в виде открытого текста.
Клиент Desktop декодирует секрет и использует секрет открытого текста для обмена его на токены доступа и идентификатора в рамках потока аутентификации OpenID.
Показать оригинальное описание (EN)
Insufficiently Protected Credentials vulnerability in Sparx Systems Pty Ltd. Sparx Enterprise Architect. Client reveals plaintext OAuth2 client secretDesktop client decodes the secret and uses the plaintext secret to exchange it into an access and id tokens as part of the OpenID authentication flow.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0