Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-1021
Improper Restriction of Rendered UI Layers or Frames
The web application does not restrict or incorrectly restricts frame objects or UI layers that belong to another application or domain, which can lead to user confusion about which interface the user is interacting with.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2020-05629 | Уязвимость функции совместного использования экрана веб-браузера Google Chrome, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2020-05630 | Уязвимость реализации протокола WebUSB веб-браузера Google Chrome, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2021-00200 | Уязвимость веб-интерфейса браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2021-00860 | Уязвимость изолированной среды iframe веб-браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2021-00865 | Уязвимость набора инструментов DevTools веб-браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2021-04029 | Уязвимость менеджера для серверов Cockpit, связанная с ошибками при отображении пользовательского интерфейса или фреймов, позволяющая нарушителю внедрить вредоносный код |
| BDU:2021-04329 | Уязвимость микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 RTU, связанная с ошибками представления информации пользовательским интерфейсом, позволяющая нарушителю выпо... |
| BDU:2021-05703 | Уязвимость браузера Mozilla Firefox, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю проводить атаки с использованием спуфинга |
| BDU:2021-05708 | Уязвимость браузера Mozilla Firefox, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю проводить атаки с использованием спуфинга |
| BDU:2022-00056 | Уязвимость пользовательского интерфейса браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности с помощью специально созданной HTML страницы |
| BDU:2022-00287 | Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, связанная с неверным ограничением визуализируемых слоев или фреймов пользовательского интерфейса из-за состояния гонки при вызове reportValidity, позволяющая нарушителю обойти... |
| BDU:2022-00288 | Уязвимость изолированной среды iframe почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю использовать неверное ограничение визуализируемых слоев или фреймов пользовательского интерфейса |
| BDU:2022-00290 | Уязвимость пользовательского интерфейса почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, связанная с неверным ограничением визуализируемых слоев или фреймов, позволяющая нарушителю использовать неверное ограничение визуализируемых слое... |
| BDU:2022-03073 | Уязвимость уведомлений пользовательского интерфейса поноэкранного режима (Fullscreen UI) веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-03075 | Уязвимость изолированной среды iframe веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-04154 | Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, связанная с неправильной обработкой события изменения размера всплывающего окна, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2022-04317 | Уязвимость микропрограммного обеспечения устройства связи и мониторинга Schneider Electric Conext ComBox, связанная с неверным ограничением визуализируемых слоев или фреймов пользовательского интерфейса, позволяющая нарушителю оказать воздействие на... |
| BDU:2022-04383 | Уязвимость реализации полноэкранного режима браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-04818 | Уязвимость веб-интерфейса программного обеспечения веб-конференцсвязи Cisco Webex Meetings, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-05497 | Уязвимость реализации технологии XSLT (eXtensible Stylesheet Language Transformations) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-05722 | Уязвимость модуля отображения веб-страниц WebKitGTK, связанная с некорректным ограничением визуализируемых слоев пользовательского интерфейса, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-05941 | Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с неверным ограничением визуализируемых слоев или фреймов пользовательского интерфейса, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-06108 | Уязвимость браузера Mozilla Firefox, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2022-06143 | Уязвимость веб-сервера микропрограммного обеспечения программируемых логических контроллеров Micrologix 1100 и 1400, позволяющая нарушителю выполнить атаки с использованием кликджекинга |
| BDU:2022-06198 | Уязвимость реализации конфигурации CSP: base-uri браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2022-06253 | Уязвимость реализации механизма FeaturePolicy браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2023-00482 | Уязвимость программного средства IBM Robotic Process Automation, связанная с ошибками представления информации пользовательским интерфейсом, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2023-01064 | Уязвимость реализации функции GOT Mobile программного обеспечения для графических панелей управления Mitsubishi Electric серии GOT2000 моделей GT27 и GT25 и HMI-платформы GT SoftGOT2000, позволяющая нарушителю провести атаку типа "захват клика" |
| BDU:2023-01068 | Уязвимость операционной системы PowerScale OneFS, связанная с недостатками безопасности интерфейса пользователя, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-01265 | Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR, почтового клиента Mozilla Thunderbird, связанная с неправильным ограничением отображаемых слоев или фреймов пользовательского интерфейса, позволяющая нарушителю получить доступ к конфиденциал... |
| BDU:2023-03051 | Уязвимость программного средства для управления производственными процессами ABB eSOMS, позволяющая нарушителю раскрыть учетные данные для аутентификации и проводить clickjacking-атаки |
| BDU:2023-03196 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с неверным ограничением визуализируемых слоев пользовательского интерфейса, позволяющая нарушителю провести атаку типа clickjacking ("захват клика") |
| BDU:2023-03403 | Уязвимость микропрограммного обеспечения программно-аппаратного средства мониторинга и обеспечения безопасности IT-инфраструктуры от реализации физических угроз NetBotz 4, связанная с неверным ограничением визуализируемых слоев или фреймов пользовате... |
| BDU:2023-03430 | Уязвимость программного обеспечения парковочных зарядных станций EcoStruxure EV Charging Expert, позволяющая нарушителю изменять настройки системы или учетные записи пользователей |
| BDU:2023-04460 | Уязвимость окна запроса разрешения браузера Mozilla Firefox, позволяющая нарушителю выполнить спуфинговую атаку |
| BDU:2023-04964 | Уязвимость веб-сервера программируемого логического контроллера ioLogik, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2023-07274 | Уязвимость полноэкранного режима браузера Firefox, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2023-07278 | Уязвимость реализации прикладного программного интерфейса для 3D-графики WebGL браузеров Firefox и Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07280 | Уязвимость браузеров Firefox и Firefox ESR и почтового клиента Thunderbird, связанная с ошибками представления информации пользовательским интерфейсом, позволяющая нарушителю провести атаку типа clickjacking ("захват клика") |
| BDU:2023-07284 | Уязвимость полноэкранного режима браузеров Firefox и Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2023-08087 | Уязвимость полноэкранного режима браузеров Firefox и Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю провести атаку типа clickjacking ("захват клика") |
| BDU:2023-08088 | Уязвимость системы графического отображения X11 браузеров Firefox и Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2024-00372 | Уязвимость микропрограммного обеспечения промышленного LTE-модема серии Moxa OnCell G3150A-LTE, связанная с неправильным ограничением отображаемых слоев или фреймов пользовательского интерфейса, позволяющая нарушителю провести атаку типа clickjacking... |
| BDU:2024-00426 | Уязвимость программного обеспечения для загрузки файлов pyload, связанная с неправильным ограничением отображаемых слоев или фреймов пользовательского интерфейса, позволяющая нарушителю провести атаку типа clickjacking ("захват клика") |
| BDU:2024-01076 | Уязвимость веб-интерфейса микропрограммного обеспечения поточных газоанализаторов Emerson Rosemount X-STREAM Enhanced, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-01659 | Уязвимость полноэкранного режима браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2024-01660 | Уязвимость реализации отображения курсора браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю получить произвольные разрешения на веб-сайте без согласия пользователя |
| BDU:2024-01661 | Уязвимость реализации прикладного программного интерфейса браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю отобразить alertdialog на другом веб-сайте |
| BDU:2024-02638 | Уязвимость браузера Mozilla Firefox, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2024-02709 | Уязвимость пользовательского интерфейса браузера Google Chrome, позволяющая нарушителю выполнить подмену пользовательского интерфейса |
| BDU:2024-03100 | Уязвимость браузера Microsoft Edge, связанная с неправильным ограничением отображаемых слоев или фреймов пользовательского интерфейса, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2024-03310 | Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с некорректным ограничением визуализируемых слоев пользовательского интерфейса, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-03960 | Уязвимость компонента Downloads (Загрузки) браузера Google Chrome, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2024-06291 | Уязвимость полноэкранного режима уведомлений браузеров Mozilla Firefox, Mozilla Firefox ESR, почтового клиента Mozilla Thunderbird, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2024-06482 | Уязвимость функции Date Picker ("Выбор даты") браузеров Mozilla Firefox, Firefox ESR, позволяющая нарушителю предоставить произвольные разрешения и получить несанкционированный доступ к данным или функциям |
| BDU:2024-06571 | Уязвимость браузера Mozilla Firefox, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2024-06701 | Уязвимость браузера Mozilla Firefox, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2024-06880 | Уязвимость веб-браузера Firefox, связанная с некорректным ограничением визуализируемых слоев пользовательского интерфейса, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2024-06948 | Уязвимость службы Service Workers режима приватного просмотра веб-браузера Firefox, связанная с некорректным ограничением визуализируемых слоев пользовательского интерфейса, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-07339 | Уязвимость модулей отображения веб-страниц WebKitGTK и WPE WebKit, связанная с некорректным ограничением визуализируемых слоев пользовательского интерфейса, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2024-07566 | Уязвимость пользовательского интерфейса (UI) браузера Google Chrome, позволяющая нарушителю осуществить подмену пользовательского интерфейса |
| BDU:2024-07568 | Уязвимость функции автозаполнения Autofill браузера Google Chrome, позволяющая нарушителю осуществить подмену пользовательского интерфейса |
| BDU:2024-07569 | Уязвимость компонента Compositing браузера Google Chrome, позволяющая нарушителю осуществить подмену пользовательского интерфейса |
| BDU:2024-08242 | Уязвимость элемента управления Разрешения (Permissions) браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю осуществить подмену пользовательского интерфейса |
| BDU:2024-08244 | Уязвимость компонента Payments браузеров Microsoft Edge и Google Chrome, позволяющая нарушителю выполнить подмену пользовательского интерфейса |
| BDU:2024-09026 | Уязвимость страницы создания скриншотов веб-браузера Firefox, связанная с некорректным ограничением визуализируемых слоев пользовательского интерфейса, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-09264 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю провести атаку типа clickjacking ("захват клика") |
| BDU:2024-09292 | Уязвимость полноэкранного режима (Full Screen Mode) браузера Mozilla Firefox Focus операционных систем Android, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2024-10299 | Уязвимость реализации протокола Device OAuth программной платформы на базе git для совместной работы над кодом GitLab EE/ CE, позволяющая нарушителю получить несанкционированный доступ к API |
| BDU:2024-10454 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2024-10456 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2024-10457 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2024-10620 | Уязвимость программного обеспечения для управления зданиями Desigo Insight, связанная с некорректным ограничением визуализируемых слоев пользовательского интерфейса, позволяющая нарушителю перенаправить пользователя на произвольный сайт |
| BDU:2024-10865 | Уязвимость браузера Mozilla Firefox операционных систем iOS, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2024-11513 | Уязвимость браузера Firefox, связанная с неправильным ограничением отображаемых слоев или фреймов пользовательского интерфейса, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2025-00199 | Уязвимость браузера Mozilla Firefox и почтового клиента Thunderbird операционных систем Android, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю выполнить атаку типа tapjacking |
| BDU:2025-01387 | Уязвимость компонента UI операционных систем visionOS, iOS, iPadOS, macOS и браузера Safari, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным |
| BDU:2025-02307 | Уязвимость браузера Mozilla Firefox и почтового клиента Thunderbird, связанная с неправильным ограничением отображаемых слоев или фреймов пользовательского интерфейса, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2025-02518 | Уязвимость компонента TCC операционных систем macOS, iOS и iPadOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02671 | Уязвимость браузера Google Chrome, связанная с ошибками представления информации пользовательским интерфейсом, позволяющая нарушителю осуществить подмену пользовательского интерфейса |
| BDU:2025-02672 | Уязвимость пользовательского интерфейса браузера Google Chrome, позволяющая нарушителю выполнить подмену пользовательского интерфейса |
| BDU:2025-03770 | Уязвимость микропрограммного обеспечения сенсорных панелей ViewJet C-more Series, связанная с ошибками представления информации пользовательским интерфейсом, позволяющая нарушителю осуществить подмену пользовательского интерфейса |
| BDU:2025-03859 | Уязвимость инструмента нагрузочного тестирования SIEM-систем Kraken Stress Testing Toolkit, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю нарушить целостность защищаемой информации |
| BDU:2025-04563 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-06229 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю провести атаку типа clickjacking ("захват клика") |
| BDU:2025-07647 | Уязвимость режима HTTPS-Only Mode браузера Mozilla Firefox, позволяющая нарушителю провести атаку типа clickjacking ("захват клика") |
| BDU:2025-08905 | Уязвимость веб-интерфейса управления микропрограммного обеспечения Wi-Fi роутера TP-Link Archer C1200, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2025-09102 | Уязвимость компонента DevTools браузеров Google Chrome, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-09157 | Уязвимость программного средства управления проектами и задачами JetBrains YouTrack, связанная с ошибками представления информации пользовательским интерфейсом, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-09840 | Уязвимость веб-клиента IBM Datacap Navigator программного обеспечения для сбора и обработки документов IBM Datacap, позволяющая нарушителю провести атаку типа clickjacking ("захват клика") |
| BDU:2025-11702 | Уязвимость микропрограммного обеспечения промышленного цифрового газоанализатора MEAC300-FNADE4, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю оказать воздействие на целостность защ... |
| BDU:2025-12473 | Уязвимость веб-браузера Firefox и почтового клиента Thunderbird, связанная с некорректным ограничением визуализируемых слоев пользовательского интерфейса, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2025-14851 | Уязвимость инструмента автоматизации на основе искусственного интеллекта IBM Concert Software, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю провести атаку типа clickjacking ("захва... |
| BDU:2026-00576 | Уязвимость компонента Digital Credentials браузера Google Chrome, позволяющая нарушителю вызвать оказать воздействие на целостность защищаемой информации |
| BDU:2026-02020 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю реализовать атаку типа CSS Injection |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2017-16775 | Improper restriction of rendered UI layers or frames vulnerability in SSOOauth.cgi in Synology SSO Server before 2.1.3-0129 a... |
| CVE-2017-20041 | Ucweb UC Browser HTML URL improper restriction of rendered ui layers |
| CVE-2018-19957 | Insufficient HTTP Security Headers in QTS, QuTS hero, and QuTScloud |
| CVE-2019-7393 | A UI redress vulnerability in the administrative user interface of CA Technologies CA Strong Authentication 9.0.x, 8.2.x, 8.1... |
| CVE-2020-13174 | The web server in the Teradici Managament console versions 20.04 and 20.01.1 did not properly set the X-Frame-Options HTTP he... |
| CVE-2020-15793 | A vulnerability has been identified in Desigo Insight (All versions). The device does not properly set the X-Frame-Options HT... |
| CVE-2020-28218 | A CWE-1021: Improper Restriction of Rendered UI Layers or Frames vulnerability exists in Easergy T300 (firmware 2.7 and older... |
| CVE-2021-27467 | A vulnerability has been found in multiple revisions of Emerson Rosemount X-STREAM Gas Analyzer. The affected product’s web i... |
| CVE-2021-29827 | IBM InfoSphere Information Server clickjacking |
| CVE-2021-35237 | Clickjacking Vulnerability |
| CVE-2021-3660 | Cockpit (and its plugins) do not seem to protect itself against clickjacking. It is possible to render a page from a cockpit... |
| CVE-2021-3731 | Improper Restriction of Rendered UI Layers or Frames in ledgersmb/ledgersmb |
| CVE-2021-3734 | Improper Restriction of Rendered UI Layers or Frames in yourls/yourls |
| CVE-2021-3799 | Improper Restriction of Rendered UI Layers or Frames in getgrav/grav-plugin-admin |
| CVE-2021-38472 | InHand Networks IR615 Router |
| CVE-2022-1803 | Improper Restriction of Rendered UI Layers or Frames in polonel/trudesk |
| CVE-2022-20820 | Cisco Webex Meetings Web Interface Vulnerabilities |
| CVE-2022-20852 | Cisco Webex Meetings Web Interface Vulnerabilities |
| CVE-2022-2179 | ICSA-22-188-01 Rockwell Automation MicroLogix Improper Restriction of Rendered UI Layers or Frames |
| CVE-2022-22552 | Dell EMC AppSync versions 3.9 to 4.3 contain a clickjacking vulnerability in AppSync. A remote unauthenticated attacker could... |
| CVE-2022-22807 | A CWE-1021 Improper Restriction of Rendered UI Layers or Frames vulnerability exists that could cause unintended modification... |
| CVE-2022-24733 | Improper Restriction of Rendered UI Layers or Frames in Sylius |
| CVE-2022-2734 | Improper Restriction of Rendered UI Layers or Frames in openemr/openemr |
| CVE-2022-28649 | In JetBrains YouTrack before 2022.1.43563 it was possible to include an iframe from a third-party domain in the issue descrip... |
| CVE-2022-28889 | Clickjacking in the web console |
| CVE-2022-2965 | Improper Restriction of Rendered UI Layers or Frames in notrinos/notrinoserp |
| CVE-2022-3167 | Improper Restriction of Rendered UI Layers or Frames in ikus060/rdiffweb |
| CVE-2022-32517 | A CWE-1021: Improper Restriction of Rendered UI Layers or Frames vulnerability exists that could cause an adversary to trick... |
| CVE-2022-3260 | The response header has not enabled X-FRAME-OPTIONS, Which helps prevents against Clickjacking attack.. Some browsers would i... |
| CVE-2022-33723 | A vulnerable code in onCreate of BluetoothScanDialog prior to SMR Aug-2022 Release 1, allows attackers to trick the user to s... |
| CVE-2022-33727 | A vulnerable code in onCreate of SecDevicePickerDialog prior to SMR Aug-2022 Release 1, allows attackers to trick the user to... |
| CVE-2022-40268 | Improper Restriction of Rendered UI Layers or Frames vulnerability in Mitsubishi Electric Corporation GOT2000 Series GT27 mod... |
| CVE-2022-43378 | A CWE-1021: Improper Restriction of Rendered UI Layers or Frames vulnerability exists that could cause the user to be... |
| CVE-2023-0057 | Improper Restriction of Rendered UI Layers or Frames in pyload/pyload |
| CVE-2023-0654 | Spoofing User's Activity Loads in WARP Mobile Client (Android) |
| CVE-2023-0780 | Improper Restriction of Rendered UI Layers or Frames in cockpit-hq/cockpit |
| CVE-2023-1362 | Improper Restriction of Rendered UI Layers or Frames in unilogies/bumsys |
| CVE-2023-2265 | Improper restriction of rendered UI layers or frames could lead to clickjacking attack |
| CVE-2023-3140 | KNIME Hub Web Application is vulnerable to clickjacking |
| CVE-2023-36920 | Clickjacking vulnerability in SAP Enable Now |
| CVE-2023-41897 | Lack of XFO header allows clickjacking in Home Assistant Core |
| CVE-2023-42011 | IBM Sterling B2B Integrator Standard Edition tapjacking |
| CVE-2023-4229 | ioLogik 4000 Series: Session Headers Not Implemented |
| CVE-2023-47774 | WordPress Jetpack plugin < 12.7 - Auth. Iframe Injection vulnerability |
| CVE-2023-4956 | Quay: clickjacking on config-editor page severity |
| CVE-2023-4958 | Stackrox: missing http security headers allows for clickjacking in web ui |
| CVE-2023-5103 | Improper Restriction of Rendered UI Layers or Frames in RDT400 in SICK APU allows an unprivileged remote attacker to potentia... |
| CVE-2023-6093 | OnCell G3150A-LTE Series: Clickjacking Vulnerability |
| CVE-2024-0669 | Cross-Frame Scripting (XFS) on Plone CMS |
| CVE-2024-10454 | Clickjacking vulnerability in Clibo Manager |
| CVE-2024-13066 | iFrame Injection in Akinsoft's LimonDesk |
| CVE-2024-1890 | Clickjacking vulnerability in Sunny Webbox |
| CVE-2024-2177 | Improper Restriction of Rendered UI Layers or Frames in GitLab |
| CVE-2024-2383 | Clickjacking Vulnerability in zenml-io/zenml |
| CVE-2024-26167 | Microsoft Edge for Android Spoofing Vulnerability |
| CVE-2024-28196 | Clickjacking in your_spotify |
| CVE-2024-29981 | Microsoft Edge (Chromium-based) Spoofing Vulnerability |
| CVE-2024-30109 | Lack of Clickjacking Protection vulnerability affects DRYiCE AEX v10 |
| CVE-2024-3911 | Welotec: Clickjacking Vulnerability in WebUI |
| CVE-2024-39320 | Discourse allows iframe injection though default site setting |
| CVE-2024-49796 | IBM ApplinX Clickjacking |
| CVE-2024-54110 | Cross-process screen stack vulnerability in the UIExtension module Impact: Successful exploitation of this vulnerability may... |
| CVE-2024-54112 | Cross-process screen stack vulnerability in the UIExtension module Impact: Successful exploitation of this vulnerability may... |
| CVE-2024-55888 | Content Security Policy appears to be missing in software and production setup |
| CVE-2024-56435 | Cross-process screen stack vulnerability in the UIExtension module Impact: Successful exploitation of this vulnerability may... |
| CVE-2024-56436 | Cross-process screen stack vulnerability in the UIExtension module Impact: Successful exploitation of this vulnerability may... |
| CVE-2024-6466 | NEC Corporation's WebSAM DeploymentManager v6.0 to v6.80 allows an attacker to reset configurations or restart products via n... |
| CVE-2024-7404 | Improper Restriction of Rendered UI Layers or Frames in GitLab |
| CVE-2025-0362 | Improper Restriction of Rendered UI Layers or Frames in GitLab |
| CVE-2025-0546 | XSS in Mevzuattr Software's MevzuatTR |
| CVE-2025-1494 | IBM Cognos Command Center clickjacking |
| CVE-2025-24310 | Improper restriction of rendered UI layers or frames issue exists in HMI ViewJet C-more series, which may allow a remote unau... |
| CVE-2025-24874 | Missing Defense in Depth Against Clickjacking in SAP Commerce Backoffice |
| CVE-2025-25213 | Improper restriction of rendered UI layers or frames issue exists in Wi-Fi AP UNIT 'AC-WPS-11ac series'. If a user views and... |
| CVE-2025-27455 | CVE-2025-27455 |
| CVE-2025-30191 | Malicious content from E-Mail can be used to perform a redressing attack. Users can be tricked to perform unintended actions... |
| CVE-2025-31138 | tarteaucitron.js allows UI manipulation via unrestricted CSS injection |
| CVE-2025-32385 | EspoCRM allows unrestricted Embedding in Iframe dashlet |
| CVE-2025-36027 | IBM Datacap clickjacking |
| CVE-2025-41000 | Cross-Frame Scripting (XFS) in BoomCMS |
| CVE-2025-43854 | DIFY vulnerable to Clickjacking Attack |
| CVE-2025-49139 | @haxtheweb/haxcms-nodejs Iframe Phishing vulnerability |
| CVE-2025-49191 | Dashboards and iFrames can link malicious web content |
| CVE-2025-49192 | Clickjacking |
| CVE-2025-53096 | Sunshine clickjacking in the UI leads to unauthorized actions being performed |
| CVE-2025-54139 | HAX CMS' application pages are vulnerable to clickjacking |
| CVE-2025-57769 | FressRSS: Clickjacking can lead to XSS and/or privilege escalation |
| CVE-2025-59479 | CHOCO TEI WATCHER mini (IB-MCT001) contains an issue with improper restriction of rendered UI layers or frames. If a user cli... |
| CVE-2025-59849 | HCL BigFix Remote Control is vulnerable to an insecure CSP configuration |
| CVE-2025-59950 | FreshRSS: Double clickjacking can lead to privilege escalation |
| CVE-2025-64387 | CLICKJACKING |
| CVE-2025-6983 | Clickjacking vulnerability on the management web application of TP-LINK Archer C1200 |
| CVE-2025-7903 | yangzongzhuan RuoYi Image Source ui layer |
| CVE-2025-9108 | Portabilis i-Diario Login Page ui layer |
| CVE-2026-22918 | An attacker may exploit missing protection against clickjacking by tricking users into performing unintended actions through... |
| CVE-2026-23731 | WeGIA Clickjacking Vulnerability |
| CVE-2026-24839 | Dokploy has a clickjacking vulnerability - Missing X-Frame-Options and CSP frame-ancestors headers |
| CVE-2026-26000 | XWiki Platform affected by click-jacking through CSS injection in comments |
| CVE-2026-27511 | Tenda F3 Clickjacking in Web Management Interface |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20251031-60 | 31.10.2025 | Получение конфиденциальной информации в Mozilla Firefox |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.