Exécuter une analyse statique (SAST) sur le code source à la recherche du motif non sécurisé dans le flux de données.
CWE-210 Base Brouillon
Self-generated Error Message Containing Sensitive Information
This vulnerability occurs when an application detects a problem and generates its own error messages that accidentally expose sensitive system or user data.
Définition
What is CWE-210?
This vulnerability occurs when an application detects a problem and generates its own error messages that accidentally expose sensitive system or user data.
Instead of using generic, safe error messages, the application crafts detailed responses that can reveal internal information. This might include database structure, server paths, configuration secrets, user credentials, or personal data, giving attackers valuable clues for further exploitation.
Developers often create these verbose errors during debugging and forget to replace them before release. To prevent this, always use a centralized, secure logging and error-handling system that separates detailed diagnostic information (for internal logs) from benign, user-facing messages. Never let internal exception details or system information leak to end-users, APIs, or client-side code.
Impact réel
Real-world CVEs caused by CWE-210
-
Infoleak of sensitive information in error message (physical access required).
Comment les attaquants l'exploitent
Parcours de l'attaquant étape par étape
- 1
Identifier un chemin de code qui traite des entrées non fiables sans validation.
- 2
Élaborer une charge utile qui exploite le comportement non sécurisé — injection, traversal, débordement ou abus de logique.
- 3
Délivrer la charge utile via une requête normale et observer la réaction de l'application.
- 4
Itérer jusqu'à ce que la réponse divulgue des données, exécute le code de l'attaquant ou élève les privilèges.
Exemple de code vulnérable
Vulnerable Perl
The following code uses custom configuration files for each user in the application. It checks to see if the file exists on the system before attempting to open and use the file. If the configuration file does not exist, then an error is generated, and the application exits.
$uname = GetUserInput("username");
```
# avoid CWE-22, CWE-78, others.*
if ($uname !~ /^\w+$/)
{
```
ExitError("Bad hacker!") ;
}
$filename = "/home/myprog/config/" . $uname . ".txt";
if (!(-e $filename))
{
ExitError("Error: $filename does not exist");
} Exemple de code sécurisé
Secure pseudo
// Validate, sanitize, or use a safe API before reaching the sink.
function handleRequest(input) {
const safe = validateAndEscape(input);
return executeWithGuards(safe);
} What changed: the unsafe sink is replaced (or the input is validated/escaped) so the same payload no longer triggers the weakness.
Liste de contrôle de prévention
How to prevent CWE-210
- Implementation / Build and Compilation Debugging information should not make its way into a production release.
- Implementation / Build and Compilation Debugging information should not make its way into a production release.
Signaux de détection
How to detect CWE-210
Exécuter des tests de sécurité applicative dynamique (DAST) contre le point de terminaison en ligne.
Surveiller les journaux runtime pour détecter des traces d'exception inhabituelles, des entrées malformées ou des tentatives de contournement d'autorisation.
Revue de code : signaler tout nouveau code qui traite les entrées de cette surface sans utiliser les helpers du framework validés.
Plexicus détecte automatiquement CWE-210 et ouvre une PR de correction en moins de 60 secondes.
Codex Remedium analyse chaque commit, identifie cette faiblesse précise et livre une pull request prête à être relue avec le correctif. Pas de tickets. Pas de transferts.
Questions fréquentes Qu'est-ce que CWE-210 ?
Quelle est la gravité de CWE-210 ?
Quels langages ou plateformes sont affectés par CWE-210 ?
Comment puis-je prévenir CWE-210 ?
Comment Plexicus détecte et corrige CWE-210 ?
Où puis-je en savoir plus sur CWE-210 ?
Frequently asked questions
Qu'est-ce que CWE-210 ?
This vulnerability occurs when an application detects a problem and generates its own error messages that accidentally expose sensitive system or user data.
Quelle est la gravité de CWE-210 ?
MITRE n'a pas publié de note de probabilité d'exploitation pour cette faiblesse. Traitez-la comme un impact moyen jusqu'à ce que votre modèle de menace prouve le contraire.
Quels langages ou plateformes sont affectés par CWE-210 ?
MITRE n'a pas spécifié les plateformes affectées pour ce CWE — il peut s'appliquer à la plupart des stacks applicatives.
Comment puis-je prévenir CWE-210 ?
Debugging information should not make its way into a production release. Debugging information should not make its way into a production release.
Comment Plexicus détecte et corrige CWE-210 ?
Le moteur SAST de Plexicus reconnaît la signature de flux de données de CWE-210 à chaque commit. Lorsqu'une correspondance est trouvée, notre agent Codex Remedium ouvre une PR de correction avec le code corrigé, les tests et un résumé d'une ligne pour le relecteur.
Où puis-je en savoir plus sur CWE-210 ?
MITRE publie la définition canonique à https://cwe.mitre.org/data/definitions/210.html. Vous pouvez également consulter la documentation OWASP et NIST pour des conseils adjacents.
Faiblesses associées
Weaknesses related to CWE-210
CWE-209 Parent
Generation of Error Message Containing Sensitive Information
This vulnerability occurs when an application reveals sensitive details about its internal systems, user data, or environment within error…
CWE-211 Frère
Externally-Generated Error Message Containing Sensitive Information
This vulnerability occurs when an application triggers an error message from an external component—like a database, interpreter, or…
CWE-550 Frère
Server-generated Error Message Containing Sensitive Information
This vulnerability occurs when a web application or server returns detailed error messages that reveal sensitive internal information…
Prêt quand vous l'êtes
Arrêtez de payer par développeur.
Commencez à fermer la boucle.
Plexicus est l'ASPM natif IA qui scanne, filtre, corrige, penteste et explique — de façon autonome. Développeurs illimités, dépôts illimités, actions IA à usage équitable. Vrai niveau gratuit, €269/mo annuel quand vous êtes prêt.