Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-1333
CWE-1333: Inefficient Regular Expression Complexity
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2022-06393 | Уязвимость операционной системы для тонких клиентов Dell Wyse ThinOS, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-00674 | Уязвимость функции Cookie.parse() библиотеки CookieJar, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01007 | Уязвимость функции _hss_attval_style модуля для удаления сценариев из HTML документа HTML-StripScripts, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01109 | Уязвимость программного обеспечения управления списком рассылки Discourse, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-02020 | Уязвимость библиотеки Time интерпретатора Ruby, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-03345 | Уязвимость функционала форматирования модуля парсера SQL для Python Sqlparse, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-03870 | Уязвимость компонента URI языка программирования Ruby, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-04393 | Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживани... |
| BDU:2023-04481 | Уязвимость компонентов EmailValidator и URLValidator программной платформы для веб-приложений Django, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-04957 | Уязвимость функций DH_check(), DH_check_ex() или EVP_PKEY_param_check() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-04976 | Уязвимость пакета SemVer пакетного менеджера NPM, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05195 | Уязвимость функции angular.copy() среды проектирования приложений и платформы разработки одностраничных приложений Аngular, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05196 | Уязвимость функции inputurl среды проектирования приложений и платформы разработки одностраничных приложений Аngular, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05197 | Уязвимость службы $resource среды проектирования приложений и платформы разработки одностраничных приложений Аngular, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05201 | Уязвимость модуля word-wrap программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05239 | Уязвимость службы $resource среды проектирования приложений и платформы разработки одностраничных приложений Аngular, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в о... |
| BDU:2023-06026 | Уязвимость функции sanitize_html программное обеспечения обработки текстовых данных на языке Ruby Redcloth, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07321 | Уязвимость программной платформы для веб-приложений Django, связанная c неэффективной сложностью регулярных выражений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07520 | Уязвимость анализатора и компилятора уценки Marked, связанная с некорректной обработкой регулярного выражения, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07521 | Уязвимость анализатора и компилятора уценки Marked, связанная с некорректной обработкой регулярного выражения, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07555 | Уязвимость компилятора для разбора Markdown Marked, связанная с некорректной обработкой регулярных выражений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08268 | Уязвимость CSS-парсера для Node.js css-tools, связанная с недостаточной проверкой входных данных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08815 | Уязвимость CSS-парсера для Node.js css-tools, связанная с недостаточной проверкой входных данных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-00198 | Уязвимость компонентов rfc2396_parser.rb и rfc3986_parser.rb языка программирования Ruby, позволяющее нарушителю вызвать отказ в обслуживании |
| BDU:2024-00590 | Уязвимость метода url2 плагина проверки форм jQuery Validation Plugin (jquery-validation), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-00984 | Уязвимость файла Cargo.toml программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-01715 | Уязвимость модуля Rack интерпретатора языка программирования Ruby, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-01716 | Уязвимость модуля Rack интерпретатора языка программирования Ruby, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-02397 | Уязвимость функции lines_with_leading_tabs_expanded() файла strings.py программного средства форматирования Python-кода Black, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-02582 | Уязвимость модульного интерфейса между веб-серверами и веб-приложениями Rack, связанная с неэффективной сложностью регулярных выражений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-04308 | Уязвимость компонента ng-srcset среды проектирования приложений и платформы разработки одностраничных приложений Аngular, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-05256 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-06514 | Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer, связанная с неэффективной сложностью регулярных выражений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-06603 | Уязвимость библиотеки проверки данных Pydantic, связанная с неэффективной сложностью регулярных выражений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-07015 | Уязвимость программы для чтения и записи ini-файлов configobj, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-07779 | Уязвимость HTTP-маршрутизатора Find my Way, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании (ReDos) |
| BDU:2024-08257 | Уязвимость JavaScript-библиотеки для безопасной очистки и защиты HTML-кода DOMPurify, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2024-08618 | Уязвимость библиотеки http.cookies интерпретатора языка программирования Python, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-08943 | Уязвимость модуля tarfile интерпретатора языка программирования Python (CPython), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-08963 | Уязвимость программного средства управления проектами и задачами JetBrains YouTrac, связана с использованием регулярного выражения с неэффективной вычислительной сложностью, позволяющая вызвать отказ в обслуживании |
| BDU:2024-09380 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-09421 | Уязвимость библиотеки micromatch, связанная с неэффективной сложностью регулярных выражений, позволяющая нарушителю получить вызвать отказ в обслуживании |
| BDU:2024-09429 | Уязвимость компонента Action Controller расширения Action Pack интерпретатора Ruby, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-09435 | Уязвимость функции block_format расширения Action Text интерпретатора Ruby, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-09437 | Уязвимость функции plain_text_for_blockquote_node расширения Action Text интерпретатора Ruby, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-09876 | Уязвимость набора инструментов XML для Ruby REXML, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю выполнить атаку типа "отказ в обслуживании" |
| BDU:2024-10861 | Уязвимость компонента Ruby Syntax Detector программного средства управления проектами и задачами JetBrains YouTrack, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-11495 | Уязвимость пакета cross-spawn программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00348 | Уязвимость программного обеспечения для автоматизации создания, публикации и распространения отчетности и документов IBM Engineering Lifecycle Optimization - Publishing (PUB), связанная с использованием регулярного выражения с неэффективной вычислите... |
| BDU:2025-01435 | Уязвимость потокового многокомпонентного парсера python-multipart, связанная с неэффективной сложностью регулярных выражений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02662 | Уязвимость приложения для извлечения информации из базы данных Active Directory Splunk Supporting Add-on for Active Directory, связанная с использованием регулярного выражения с неэффективной вычислительной сложностью, позволяющая вызвать отказ в обс... |
| BDU:2025-05132 | Уязвимость программного средства cgi gem, связанная с использованием регулярного выражения с неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08270 | Уязвимость средства анализа сетевого трафика, сетевого обнаружения и реагирования fastapi-guard, связанная с использованием регулярного выражения с неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-09999 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/CE, связанная с использованием регулярного выражения с неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-10860 | Уязвимость PHP-библиотеки TCPDF, связанная с неэффективной сложностью регулярных выражений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-10861 | Уязвимость PHP-библиотеки TCPDF, связанная с неэффективной сложностью регулярных выражений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-11082 | Уязвимость модуля html.parser.HTMLParser интерпретатора языка программирования Python, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12549 | Уязвимость функции normalize_numbers() библиотеки Hugging Face Transformers, позволяющая нарушителю вызвать отказ в обслуживании (ReDos) |
| BDU:2025-12552 | Уязвимость функции SubWordJapaneseTokenizer библиотеки Hugging Face Transformers, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16434 | Уязвимость модуля Content Search средства мониторинга, анализа и создания отчетов ManageEngine Exchange Reporter Plus, позволяющая нарушителю вызвать отказ в обслуживании |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2015-10005 | markdown-it html_re.js redos |
| CVE-2017-20162 | vercel ms index.js parse redos |
| CVE-2017-20165 | debug-js debug node.js useColors redos |
| CVE-2018-25049 | email-existence index.js redos |
| CVE-2018-25061 | rgb2hex redos |
| CVE-2018-25074 | Prestaul skeemas base.js redos |
| CVE-2018-25077 | melnaron mel-spintax spintax.js redos |
| CVE-2018-25079 | Segmentio is-url index.js redos |
| CVE-2018-25110 | Regular Expression Denial of Service (ReDoS) in markedjs/marked |
| CVE-2019-25102 | simple-markdown simple-markdown.js redos |
| CVE-2019-25103 | simple-markdown simple-markdown.js redos |
| CVE-2020-1920 | A regular expression denial of service (ReDoS) vulnerability in the validateBaseUrl function can cause the application to use... |
| CVE-2020-26303 | GHSL-2020-289: Regular Expression Denial of Service (ReDoS) in insane |
| CVE-2020-26304 | GHSL-2020-290: Regular Expression Denial of Service (ReDoS) in foundation-sites |
| CVE-2020-26305 | GHSL-2020-291: Regular Expression Denial of Service (ReDoS) in CommonRegexJS |
| CVE-2020-26306 | GHSL-2020-296: Regular Expression Denial of Service (ReDoS) in Knwl.js |
| CVE-2020-26307 | GHSL-2020-301: Regular Expression Denial of Service (ReDoS) in HTML2Markdown |
| CVE-2020-26308 | GHSL-2020-302: Regular Expression Denial of Service (ReDoS) in validate.js |
| CVE-2020-26309 | GHSL-2020-303: Regular Expression Denial of Service (ReDoS) in nope-validator |
| CVE-2020-26310 | GHSL-2020-305: Regular Expression Denial of Service (ReDoS) in Pure JavaScript HTML5 Parser |
| CVE-2020-26311 | GHSL-2020-312: Regular Expression Denial of Service (ReDoS) in useragent |
| CVE-2020-36649 | mholt PapaParse papaparse.js redos |
| CVE-2020-36661 | Kong lua-multipart multipart.lua is_header redos |
| CVE-2020-36830 | nescalante urlregex Backtracking index.js redos |
| CVE-2021-32837 | mechanize vulnerable to ReDoS |
| CVE-2021-3649 | Inefficient Regular Expression Complexity in chatwoot/chatwoot |
| CVE-2021-3749 | Inefficient Regular Expression Complexity in axios/axios |
| CVE-2021-3765 | Inefficient Regular Expression Complexity in validatorjs/validator.js |
| CVE-2021-3777 | Inefficient Regular Expression Complexity in daaku/nodejs-tmpl |
| CVE-2021-3794 | Inefficient Regular Expression Complexity in vuelidate/vuelidate |
| CVE-2021-3795 | Inefficient Regular Expression Complexity in sindresorhus/semver-regex |
| CVE-2021-3801 | Inefficient Regular Expression Complexity in prismjs/prism |
| CVE-2021-3803 | Inefficient Regular Expression Complexity in fb55/nth-check |
| CVE-2021-3804 | Inefficient Regular Expression Complexity in nervjs/taro |
| CVE-2021-3807 | Inefficient Regular Expression Complexity in chalk/ansi-regex |
| CVE-2021-3810 | Inefficient Regular Expression Complexity in cdr/code-server |
| CVE-2021-3820 | Inefficient Regular Expression Complexity in pksunkara/inflect |
| CVE-2021-3822 | Inefficient Regular Expression Complexity in josdejong/jsoneditor |
| CVE-2021-3828 | Inefficient Regular Expression Complexity in nltk/nltk |
| CVE-2021-3842 | Inefficient Regular Expression Complexity in nltk/nltk |
| CVE-2021-41115 | Regular expression denial-of-service in Zulip |
| CVE-2021-4299 | cronvel string-kit naturalSort.js naturalSort redos |
| CVE-2021-4305 | Woorank robots-txt-guard patterns.js makePathPattern redos |
| CVE-2021-4306 | cronvel terminal-kit redos |
| CVE-2021-43306 | Exponential ReDoS in jquery-validation |
| CVE-2021-43307 | Exponential ReDoS in semver-regex |
| CVE-2021-43308 | Exponential ReDoS in markdown-link-extractor |
| CVE-2021-43309 | ReDoS in uri-template-lite URI.expand function |
| CVE-2021-43805 | ReDos vulnerability on guest checkout email validation |
| CVE-2021-43843 | Insufficient patch for Regular Expression Denial of Service (ReDoS) to jsx-slack v4.5.1 |
| CVE-2021-4437 | dbartholomae lambda-middleware frameguard JSON Mime-Type JsonDeserializer.ts redos |
| CVE-2022-1929 | Exponential ReDoS in devcert |
| CVE-2022-1930 | ReDoS in eth-account encode_structured_data function |
| CVE-2022-21680 | Cubic catastrophic backtracking (ReDoS) in marked |
| CVE-2022-21681 | Exponential catastrophic backtracking (ReDoS) in marked |
| CVE-2022-23514 | Inefficient Regular Expression Complexity in Loofah |
| CVE-2022-23517 | Inefficient Regular Expression Complexity in rails-html-sanitizer |
| CVE-2022-23548 | Discourse is an option source discussion platform. Prior to version 2.8.14 on the `stable` branch and version 2.9.0.beta16 on... |
| CVE-2022-24836 | Inefficient Regular Expression Complexity in Nokogiri |
| CVE-2022-25598 | Apache DolphinScheduler user registration is vulnerable to ReDoS attacks |
| CVE-2022-2596 | Inefficient Regular Expression Complexity in node-fetch/node-fetch |
| CVE-2022-26650 | Apache ShenYu (incubating) Regular expression denial of service |
| CVE-2022-29158 | Regular Expression Denial of Service (ReDoS) vulnerability in Apache OFBiz |
| CVE-2022-31147 | jquery-validation ReDoS in url2 due to incomplete fix of CVE-2021-43306 |
| CVE-2022-31781 | Regular Expression Denial of Service (ReDoS) in ContentType.java. (GHSL-2022-022) |
| CVE-2022-34402 | Dell Wyse ThinOS 2205 contains a Regular Expression Denial of Service Vulnerability in UI. An admin privilege attacker could... |
| CVE-2022-34428 | Dell Hybrid Client prior to version 1.8 contains a Regular Expression Denial of Service Vulnerability in the UI. An adversary... |
| CVE-2022-36034 | Possible Regular Expression Denial of Service (ReDoS) used on uncontrolled data in nitrado.js |
| CVE-2022-36064 | Shescape Inefficient Regular Expression Complexity vulnerability |
| CVE-2022-42964 | Exponential ReDoS in pymatgen leads to denial of service |
| CVE-2022-42965 | Exponential ReDoS in snowflake-connector-python leads to denial of service |
| CVE-2022-42966 | Exponential ReDoS in cleo leads to denial of service |
| CVE-2022-4891 | Sisimai string.rb to_plain redos |
| CVE-2023-0632 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-22467 | luxon.js inefficient regular expression complexity vulnerability |
| CVE-2023-23621 | Discourse vulnerable to ReDoS in user agent parsing |
| CVE-2023-23925 | Switcher Client contains Regular Expression Denial of Service (ReDoS) |
| CVE-2023-25166 | Regular Expression Denial of Service (ReDoS) Vulnerability |
| CVE-2023-25167 | Regular expression denial of service via installing themes via git in discourse |
| CVE-2023-30608 | Parser contains an inefficient regular expression in sqlparse |
| CVE-2023-30858 | Denosaurs emoji has ReDoS vulnerability in `replace` function |
| CVE-2023-3205 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-3210 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-3364 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-33950 | Pattern Redirects in Liferay Portal 7.4.3.48 through 7.4.3.76, and Liferay DXP 7.4 update 48 through 76 allows regular expres... |
| CVE-2023-34104 | Regex Injection via Doctype Entities |
| CVE-2023-3424 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-36543 | Apache Airflow: ReDoS via dags function |
| CVE-2023-3909 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-3994 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-4316 | Zod 3.22.2 - Regular expression Denial of Service |
| CVE-2023-43646 | Inefficient Regular Expression Complexity in get-func-name |
| CVE-2023-45806 | Discourse vulnerable to DoS via Regexp Injection in Full Name |
| CVE-2023-45813 | Inefficient Regular Expression Complexity in TorBot |
| CVE-2023-6159 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-6489 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-6502 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-6678 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-6682 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-6688 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-6736 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2023-7279 | Secure Systems Engineering Connaisseur Delegation Name targets_schema.json redos |
| CVE-2024-10270 | Org.keycloak:keycloak-services: keycloak denial of service |
| CVE-2024-10549 | Denial of Service by ReDOS in h2oai/h2o-3 |
| CVE-2024-10550 | Denial of Service by ReDOS in h2oai/h2o-3 |
| CVE-2024-10624 | Regular Expression Denial of Service (ReDoS) in gradio-app/gradio |
| CVE-2024-10955 | ReDoS (Regular Expression Denial of Service) in gaizhenbiao/chuanhuchatgpt |
| CVE-2024-12388 | Regular Expression Denial of Service (ReDoS) in binary-husky/gpt_academic |
| CVE-2024-12391 | Regular Expression Denial of Service (ReDoS) in binary-husky/gpt_academic |
| CVE-2024-12720 | Regular Expression Denial of Service (ReDoS) in huggingface/transformers |
| CVE-2024-13896 | WP-GeSHi-Highlight <= 1.4.3 - Author+ ReDoS |
| CVE-2024-13926 | WP-Syntax <= 1.2 - Author+ Potential ReDoS |
| CVE-2024-1493 | Uncontrolled Resource Consumption in GitLab |
| CVE-2024-1495 | Uncontrolled Resource Consumption in GitLab |
| CVE-2024-1736 | Uncontrolled Resource Consumption in GitLab |
| CVE-2024-1892 | ReDoS Vulnerability in scrapy/scrapy's XMLFeedSpider |
| CVE-2024-1963 | Uncontrolled Resource Consumption in GitLab |
| CVE-2024-25126 | Rack ReDos in content type parsing (2nd degree polynomial) |
| CVE-2024-26142 | Rails possible ReDoS vulnerability in Accept header parsing in Action Dispatch |
| CVE-2024-26146 | Possible Denial of Service Vulnerability in Rack Header Parsing |
| CVE-2024-2651 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2024-27088 | es5-ext Regular Expression Denial of Service in `function#copy` and `function#toStringTokens` |
| CVE-2024-2800 | Uncontrolled Resource Consumption in GitLab |
| CVE-2024-2829 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2024-28864 | [TagAwareCipher] - Decryption Failure (Regex Match) |
| CVE-2024-28865 | django-wiki denial of service via regular expression |
| CVE-2024-3114 | Uncontrolled Resource Consumption in GitLab |
| CVE-2024-3651 | Denial of Service via Quadratic Complexity in kjd/idna |
| CVE-2024-3772 | Regular expression denial of service in Pydantic < 2.4.0 |
| CVE-2024-39316 | Rack ReDoS Vulnerability in HTTP Accept Headers Parsing |
| CVE-2024-39317 | Wagtail regular expression denial-of-service via search query parsing |
| CVE-2024-4025 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2024-4056 | Denial of service condition in M-Files Server |
| CVE-2024-4067 | Regular Expression Denial of Service in micromatch |
| CVE-2024-4148 | Redos (Regular Expression Denial of Service) in lunary-ai/lunary |
| CVE-2024-41655 | TF2 Item Format Regular Expression Denial of Service vulnerability |
| CVE-2024-41766 | IBM Engineering Lifecycle Optimization - Publishing denial of service |
| CVE-2024-45296 | path-to-regexp outputs backtracking regular expressions |
| CVE-2024-45801 | Tampering by prototype polution in DOMPurify |
| CVE-2024-45813 | ReDoS vulnerability in multiparametric routes in find-my-way |
| CVE-2024-47887 | Action Controller has possible ReDoS vulnerability in HTTP Token authentication |
| CVE-2024-47888 | Action Text has possible ReDoS vulnerability in plain_text_for_blockquote_node |
| CVE-2024-47889 | Action Mailer has possible ReDoS vulnerability in block_format |
| CVE-2024-49761 | REXML ReDoS vulnerability |
| CVE-2024-52524 | ReDoS in Giskard Scan text perturbation |
| CVE-2024-52798 | path-to-regexp Unpatched `path-to-regexp` ReDoS in 0.1.x |
| CVE-2024-54170 | IBM EntireX denial of service |
| CVE-2024-5552 | ReDoS in kubeflow/kubeflow |
| CVE-2024-6038 | ReDoS Vulnerability in gaizhenbiao/chuanhuchatgpt |
| CVE-2024-6232 | Regular-expression DoS when parsing TarFile headers |
| CVE-2024-7779 | ReDoS (Regular Expression Denial of Service) in danswer-ai/danswer |
| CVE-2024-8124 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2024-8763 | Regular Expression Denial of Service (ReDoS) in lunary-ai/lunary |
| CVE-2024-8764 | Improper Authorization in lunary-ai/lunary |
| CVE-2024-8789 | Regular Expression Denial of Service (ReDoS) in lunary-ai/lunary |
| CVE-2024-8998 | Regular Expression Denial of Service (ReDoS) in lunary-ai/lunary |
| CVE-2024-9277 | Langflow HTTP POST Request utils.py redos |
| CVE-2024-9506 | Regular Expression Denial of Service (ReDoS) |
| CVE-2025-0367 | Regular Expression Denial of Service (ReDoS) in Splunk Supporting Add-on for Active Directory (SA-ldapsearch) |
| CVE-2025-1194 | Regular Expression Denial of Service (ReDoS) in huggingface/transformers |
| CVE-2025-2099 | Regular Expression Denial of Service (ReDoS) in huggingface/transformers |
| CVE-2025-24026 | iTop Inefficient Regular Expression Complexity vulnerability |
| CVE-2025-25200 | Koa has Inefficient Regular Expression Complexity |
| CVE-2025-25283 | parse-duraton vulnerable to Regex Denial of Service that results in event loop delay and out of memory |
| CVE-2025-25285 | @octokit/endpoint has a Regular Expression in parse that Leads to ReDoS Vulnerability Due to Catastrophic Backtracking |
| CVE-2025-25288 | @octokit/plugin-paginate-rest has a Regular Expression in iterator that Leads to ReDoS Vulnerability Due to Catastrophic Back... |
| CVE-2025-25289 | @octokit/request-error has a Regular Expression in index that Leads to ReDoS Vulnerability Due to Catastrophic Backtracking |
| CVE-2025-25290 | @octokit/request has a Regular Expression in fetchWrapper that Leads to ReDoS Vulnerability Due to Catastrophic Backtracking |
| CVE-2025-27220 | In the CGI gem before 0.4.2 for Ruby, a Regular Expression Denial of Service (ReDoS) vulnerability exists in the Util#escapeE... |
| CVE-2025-27789 | Inefficient RexExp complexity in generated code with .replace when transpiling named capturing groups |
| CVE-2025-2811 | GL.iNet GL-A1300 Slate Plus API redos |
| CVE-2025-2833 | zhangyd-c OneBlog HTTP Header redos |
| CVE-2025-2937 | Inefficient Regular Expression Complexity in GitLab |
| CVE-2025-3262 | Regular Expression Denial of Service (ReDoS) in huggingface/transformers |
| CVE-2025-3263 | Regular Expression Denial of Service (ReDoS) in huggingface/transformers |
| CVE-2025-3264 | Regular Expression Denial of Service (ReDoS) in huggingface/transformers |
| CVE-2025-33090 | IBM Concert Software denial of service |
| CVE-2025-3933 | Regular Expression Denial of Service (ReDoS) in huggingface/transformers |
| CVE-2025-3985 | Apereo CAS ResponseEntity redos |
| CVE-2025-3986 | Apereo CAS CasConfigurationMetadataServerController.java redos |
| CVE-2025-4215 | gorhill uBlock Origin UI 1p-filters.js currentStateChanged redos |
| CVE-2025-43764 | Self-ReDoS (Regular expression Denial of Service) exists with Role Name search field of Kaleo Designer portlet JavaScript in... |
| CVE-2025-43880 | Inefficient regular expression complexity issue exists in GROWI prior to v7.1.6. If exploited, a logged-in user may cause a d... |
| CVE-2025-46560 | vLLM phi4mm: Quadratic Time Complexity in Input Token Processing leads to denial of service |
| CVE-2025-4690 | AngularJS 'linky' filter ReDoS |
| CVE-2025-4727 | Meteor livedata_server.js Object.assign redos |
| CVE-2025-48058 | PowSyBl Core contains Polynomial REDoS’es |
| CVE-2025-48059 | PowSyBl Core Contains a Polynomial ReDoS in RegexCriterion |
| CVE-2025-48887 | vLLM has a Regular Expression Denial of Service (ReDoS, Exponential Complexity) Vulnerability in `pythonic_tool_parser.py` |
| CVE-2025-5197 | Regular Expression Denial of Service (ReDoS) in huggingface/transformers |
| CVE-2025-53539 | ReDoS in fastapi-guard's penetration attempts detector |
| CVE-2025-54363 | Microsoft Knack 0.12.0 allows Regular expression Denial of Service (ReDoS) in the knack.introspection module. extract_full_su... |
| CVE-2025-54364 | Microsoft Knack 0.12.0 allows Regular expression Denial of Service (ReDoS) in the knack.introspection module. option_descript... |
| CVE-2025-54796 | Copyparty is vulnerable to Regex Denial of Service (ReDoS) attacks through "Recent Uploads" page |
| CVE-2025-55152 | oak: ReDoS in x-forwarded-proto and x-forwarded-for headers |
| CVE-2025-58451 | Cattown Vulnerable to Inefficient Regular Expression Complexity and Uncontrolled Resource Consumption |
| CVE-2025-5889 | juliangruber brace-expansion index.js expand redos |
| CVE-2025-5890 | actions toolkit glob internal-pattern.ts globEscape redos |
| CVE-2025-5891 | Unitech pm2 Config.js redos |
| CVE-2025-5892 | RocketChat parseMessage.js parseMessage redos |
| CVE-2025-5895 | Metabase dom.js parseDataUri redos |
| CVE-2025-5896 | tarojs taro index.js redos |
| CVE-2025-5897 | vuejs vue-cli Markdown Code HtmlPwaPlugin.js HtmlPwaPlugin redos |
| CVE-2025-6051 | Regular Expression Denial of Service (ReDoS) in huggingface/transformers |
| CVE-2025-6069 | HTMLParser quadratic complexity when processing malformed inputs |
| CVE-2025-61581 | Apache Traffic Control: ReDoS issue in Traffic Router configuration |
| CVE-2025-61921 | Sinatra has ReDoS vulnerability in ETag header value generation |
| CVE-2025-62484 | Zoom Workplace Clients - Inefficient Regular Expression Complexity |
| CVE-2025-6492 | MarkText index.js getRecommendTitleFromMarkdownString redos |
| CVE-2025-6493 | CodeMirror Markdown Mode markdown.js redos |
| CVE-2025-66020 | Valibot has a ReDoS vulnerability in `EMOJI_REGEX` |
| CVE-2025-6638 | Regular Expression Denial of Service (ReDoS) in huggingface/transformers |
| CVE-2025-68142 | PyMdown Extensions has ReDOS bug in Figure Capture extension |
| CVE-2025-68475 | Fedify has ReDoS Vulnerability in HTML Parsing Regex |
| CVE-2025-6998 | Calibre Web 0.6.24 & Autocaliweb 0.7.0 - ReDoS |
| CVE-2025-7074 | vercel hyper rimraf-standalone.js ignoreMap redos |
| CVE-2025-7579 | chinese-poetry server.js redos |
| CVE-2025-8262 | yarnpkg Yarn hosted-git-resolver.js explodeHostedGitFragment redos |
| CVE-2025-9308 | yarnpkg Yarn request-manager.js setOptions redos |
| CVE-2025-9670 | mixmark-io turndown commonmark-rules.js redos |
| CVE-2026-0621 | MCP TypeScript SDK UriTemplate Exploded Array Pattern ReDoS |
| CVE-2026-0668 | VisualData extension: Regular Expression Denial of Service (ReDoS) via crafted user input |
| CVE-2026-21868 | Flag Forge has ReDoS Vulnerability in User Profile Lookup API |
| CVE-2026-22691 | pypdf has possible long runtimes for malformed startxref |
| CVE-2026-22809 | tarteaucitron.js has Regular Expression Denial of Service (ReDoS) vulnerability |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20250618-29 | 18.06.2025 | Отказ в обслуживании в Dell Storage Resource Manager (SRM) and Dell Storage Monitoring and Reporting (SMR) |
| VULN:20251112-10 | 12.11.2025 | Отказ в обслуживании в Apple macOS Sonoma |
| VULN:20251112-24 | 12.11.2025 | Отказ в обслуживании в macOS Sequoia |
| VULN:20251112-41 | 12.11.2025 | Отказ в обслуживании в Apple macOS Tahoe |
| VULN:20251124-40 | 24.11.2025 | Уязвимость в Zoom Workplace clients |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.