CWE-798 è la categoria di debolezza per le credenziali hard-coded: nomi utente, password, token o chiavi inseriti direttamente nel software invece di essere impostati in modo sicuro al momento della distribuzione. Questi valori compaiono spesso nel codice sorgente, nei modelli predefiniti, nei file di configurazione o nella logica di inizializzazione, e diventano pericolosi quando non vengono mai modificati o sono facili da recuperare.
Nel campo della sicurezza informatica, le credenziali hard-coded sono importanti perché possono aggirare del tutto l’autenticazione normale. Gli aggressori le cercano nel firmware, nei portali di amministrazione, nelle app mobili e nei sistemi embedded, dove un accesso predefinito nascosto può esporre un’interfaccia privilegiata. I difensori considerano CWE-798 un problema di progettazione e di operazioni: rimuovere i segreti incorporati, richiedere credenziali uniche al primo utilizzo, archiviare i segreti in vault protetti e analizzare codice e binari alla ricerca di valori predefiniti prima del rilascio. Se un sistema deve essere distribuito con una credenziale iniziale, questa dovrebbe essere casuale, documentata solo per la configurazione e forzata a scadere immediatamente.