CWE ID: 203
Name: Observable Discrepancy
Das Produkt verhält sich unter verschiedenen Umständen anders oder sendet abweichende Antworten, was für einen unautorisierten Akteur beobachtbar ist. Dies legt sicherheitsrelevante Informationen über den Zustand des Produkts offen, beispielsweise ob eine bestimmte Operation erfolgreich war oder nicht.
Abweichungen können vielfältige Formen annehmen, und Variationen können in der Timing, im Control Flow, in Kommunikationen wie Replies oder Requests oder im allgemeinen Verhalten erkennbar sein. Diese Discrepancies können Informationen über den Betrieb oder den internen Zustand des Produkts für einen unautorisierten Akteur preisgeben. In manchen Fällen können Discrepancies von Angreifern genutzt werden, um einen Side Channel zu bilden.
