CWE ID: 612
Name: Improper Authorization of Index Containing Sensitive Information
Das Produkt erstellt einen Suchindex für private oder sensible Dokumente, limitiert den Indexzugriff jedoch nicht angemessen auf actors, die berechtigt sind, die ursprünglichen Informationen einzusehen.
Websites und andere Dokumenten-Repositories können eine Indexierungsroutine gegen eine Gruppe privater Dokumente anwenden, um die Suche zu erleichtern. Wenn die Ergebnisse des Index für Parteien zugänglich sind, die keinen Zugriff auf die indexierten Dokumente haben, könnten Angreifer durch gezielte Suchanfragen und der Auswertung der Ergebnisse Teile der Dokumente extrahieren. Dieses Risiko ist besonders gefährlich, wenn die Suchergebnisse umgebenden Text enthalten, der nicht Teil der Suchanfrage war. Dieses Problem kann in Suchmaschinen auftreten, die nicht so konfiguriert (oder implementiert) sind, dass kritische Dateien, die verborgen bleiben sollten, ignoriert werden; selbst ohne Berechtigungen zum direkten Herunterladen dieser Dateien könnte ein Remote-Nutzer diese einsehen.
