Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-201
CWE-201 Insertion of Sensitive Information Into Sent Data
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-10326 | Уязвимость операционной системы Windows, позволяющая злоумышленнику получить аутентификационную информацию пользователя |
| BDU:2019-00225 | Уязвимость класса StaxParserUtil программного обеспечения Picketlink для управления безопасностью и идентификацией приложений Java, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-01723 | Уязвимость компонента "Центр управления безопасностью" средства антивирусной защиты Dr.Web Enterprise Security Suite, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2019-02596 | Уязвимость криптоконтейнеров Sn5CrPack и Sn5Crypto системы защиты информации Secret Net Studio, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-02601 | Уязвимость драйвера Sn5Crypto.sys системы защиты информации Secret Net Studio, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-04292 | Уязвимость функций шифрования Secure/Multipurpose Internet Mail Extentions (S/MIME) и PGP почтового клиента Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-04798 | Уязвимость компонента net/bluetooth/a2mp.c ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00588 | Уязвимость компонента API системы обеспечения безопасности электронной почты Cisco Email Security Appliance, системы управления защитой контента Cisco Content Security Management Appliance, интернет-шлюзов Cisco Web Security Appliance, позволяющая на... |
| BDU:2021-00713 | Уязвимость интерфейса командной строки (CLI) операционной системы Cisco IOS XR, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01261 | Уязвимость веб-интерфейса программного обеспечения Cisco AsyncOS для систем обеспечения безопасности электронной почты Cisco Email Security Appliance, системы управления защитой контента Cisco Content Security Management Appliance, позволяющая наруши... |
| BDU:2021-01609 | Уязвимость программной платформы Cisco Jabber for Windows, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю повысить свои привилегии, получить доступ к конфиденциальной информации, перехватить защищенный сетевой трафик или... |
| BDU:2021-03190 | Уязвимость реализации стека Bluetooth в ядре операционной системы Red Hat Enterprise Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04739 | Уязвимость операционной системы Cisco IOS XR, связанная с отсутствием защиты служебных данных, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2021-06316 | Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060 и Adam-6050 D, связанная с недостаточной проверкой входных данных, позволяющая нарушителю определить используемые устройства в сети |
| BDU:2022-03178 | Уязвимость утилиты командной строки cURL, связанная с ошибкой установки файлов cookie для доменов верхнего уровня (TLD), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-06213 | Уязвимость файла systemd.txt платформы мониторинга и управления приложениями NGINX Controller, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-02004 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с раскрытием информации при передаче данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-02420 | Уязвимость утилиты командной строки cURL, связанная с отсутствием защиты служебных данных, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2024-04271 | Уязвимость компонента Object-Store Profiler Command Handler операционной системы для систем хранения данных Clustered Data ONTAP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-08616 | Уязвимость программного обеспечения для создания отчетов о сбоях в режиме реального времени Sentry, связанная с вставкой конфиденциальной информации в отправляемые данные, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-11288 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/ CE , связанная с раскрытием информации при передаче данных, позволяющая нарушителю получить несанкционированных доступ к защищенной информации |
| BDU:2025-00386 | Уязвимость модуля REST Views CMS-системы Drupal, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00694 | Уязвимость модуля File Entity CMS-системы Drupal, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-00840 | Уязвимость модуля Image Sizes CMS-системы Drupal, связанная с вставкой конфиденциальной информации в отправляемые данные, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-01126 | Уязвимость модуля Advanced Varnish CMS-системы Drupal, связанная с недостаточной защитой служебных данных, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-01209 | Уязвимость программного обеспечения для развертывания и управления облачной корпоративной системой на основе контейнеров IBM Cloud Pak System, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-02041 | Уязвимость контроллера МИР КТ-51, связанная с раскрытием информации при передаче данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-02658 | Уязвимость операционных систем Fortinet FortiOS, связанная с раскрытием информации при передаче данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06176 | Уязвимость оркестратора приложений Nomad, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06371 | Уязвимость программного обеспечение для хранения и защиты данных Dell PowerProtect Cyber Recovery, связанная с раскрытием информации при передаче данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-11169 | Уязвимость встроенного программного обеспечения ПЛК Fastwel, связанная с раскрытием информации при передаче данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-11355 | Уязвимость платформы создания совместных веб-приложений XWiki Platform, связанная с раскрытием информации при передаче данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-12405 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с раскрытием информации при передаче данных, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации |
| BDU:2025-12710 | Уязвимость компонента REST API платформы управления сетевыми ресурсами Cisco Nexus Dashboard Fabric Controller (NDFC), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13138 | Уязвимость системы управления содержимым сайта WordPress, связанная с раскрытием информации при передаче данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13628 | Уязвимость компонента Storage браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-14162 | Уязвимость компонента Windows Speech Recognition операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-14465 | Уязвимость интерфейса GraphQL API программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации |
| BDU:2025-14468 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с раскрытием информации при передаче данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15438 | Уязвимость пакета офисных программ Apache OpenOffice, связанная с отсутствием авторизации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-15635 | Уязвимость модуля mod_cgid веб-сервера Apache HTTP Server, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-15958 | Уязвимость инструмента блокировки несанкционированного исходящего трафика в рабочих процессах GitHub Bullfrog, связанная с раскрытием информации при передаче данных, позволяющая нарушителю обойти защитный механизм песочницы |
| BDU:2026-00075 | Уязвимость программного обеспечения для интеграции данных PI Integrator for Business Analytics, связанная с раскрытием информации при передаче данных, позволяющая нарушителю получить несанкционированный доступ к защищенной информации |
| BDU:2026-00085 | Уязвимость платформы для управления бизнесом ConnectWise PSA, связанная с раскрытием информации при передаче данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или повысить свои привилегии |
| BDU:2026-00244 | Уязвимость набор продуктов для упрощения приема факсимильных сообщений MICI Network NetFax Server, связанная с раскрытием информации при передаче данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2016-10518 | A vulnerability was found in the ping functionality of the ws module before 1.0.0 which allowed clients to allocate memory by... |
| CVE-2016-10519 | A security issue was found in bittorrent-dht before 5.1.3 that allows someone to send a specific series of messages to a list... |
| CVE-2017-16026 | Request is an http client. If a request is made using ```multipart```, and the body type is a ```number```, then the specifie... |
| CVE-2017-2582 | It was found that while parsing the SAML messages the StaxParserUtil class of keycloak before 2.5.1 replaces special strings... |
| CVE-2018-17245 | Kibana versions 4.0 to 4.6, 5.0 to 5.6.12, and 6.0 to 6.4.2 contain an error in the way authorization credentials are used wh... |
| CVE-2019-14849 | A vulnerability was found in 3scale before version 2.6, did not set the HTTPOnly attribute on the user session cookie. An att... |
| CVE-2019-15580 | An information exposure vulnerability exists in gitlab.com <v12.3.2, <v12.2.6, and <v12.1.10 when using the blocking merge re... |
| CVE-2020-13597 | Calico nodes IPv6 traffic redirection from route advertisment |
| CVE-2020-14514 | Trailer Power Line Communications vulnerability |
| CVE-2020-1770 | Information disclosure in support bundle files |
| CVE-2020-1774 | Information disclosure |
| CVE-2020-25703 | The participants table download in Moodle always included user emails, but should have only done so when users' emails are no... |
| CVE-2020-26085 | Cisco Jabber Desktop and Mobile Client Software Vulnerabilities |
| CVE-2020-27127 | Cisco Jabber Desktop and Mobile Client Software Vulnerabilities |
| CVE-2020-27132 | Cisco Jabber Desktop and Mobile Client Software Vulnerabilities |
| CVE-2020-27133 | Cisco Jabber Desktop and Mobile Client Software Vulnerabilities |
| CVE-2020-27134 | Cisco Jabber Desktop and Mobile Client Software Vulnerabilities |
| CVE-2020-27748 | A flaw was found in the xdg-email component of xdg-utils-1.1.0-rc1 and newer. When handling mailto: URIs, xdg-email allows at... |
| CVE-2020-27784 | A vulnerability was found in the Linux kernel, where accessing a deallocated instance in printer_ioctl() printer_ioctl() trie... |
| CVE-2020-5364 | Dell EMC Isilon OneFS versions 8.2.2 and earlier contain an SNMPv2 vulnerability. The SNMPv2 services is enabled, by default,... |
| CVE-2020-8975 | ZGR TPS200 NG Information Exposure |
| CVE-2021-1128 | Cisco IOS XR Software Unauthorized Information Disclosure Vulnerability |
| CVE-2021-1129 | Cisco Email Security Appliance, Cisco Content Security Management Appliance, and Cisco Web Security Appliance Information Dis... |
| CVE-2021-1425 | Cisco Cisco Email Security Appliance and Content Security Management Appliance Information Disclosure Vulnerability |
| CVE-2021-23019 | The NGINX Controller 2.0.0 thru 2.9.0 and 3.x before 3.15.0 Administrator password may be exposed in the systemd.txt file tha... |
| CVE-2021-26566 | Insertion of sensitive information into sent data vulnerability in synorelayd in Synology DiskStation Manager (DSM) before 6.... |
| CVE-2021-32653 | Default settings leak federated cloud ID to lookup server of all users |
| CVE-2021-34771 | Cisco IOS XR Software Unauthorized Information Disclosure Vulnerability |
| CVE-2022-0018 | GlobalProtect App: Information Exposure Vulnerability When Connecting to GlobalProtect Portal With Single Sign-On Enabled |
| CVE-2022-23488 | BigBlueButton vulnerable to Insertion of Sensitive Information Into Sent Data |
| CVE-2022-27671 | A CSRF token visible in the URL may possibly lead to information disclosure vulnerability. |
| CVE-2022-27779 | libcurl wrongly allows cookies to be set for Top Level Domains (TLDs) if thehost name is provided with a trailing dot.curl ca... |
| CVE-2022-28224 | Calico and Calico Enterprise may be vulnerable to route hijacking with the floating IP feature |
| CVE-2023-1401 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2023-1825 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2023-1975 | Insertion of Sensitive Information Into Sent Data in answerdev/answer |
| CVE-2023-2620 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2023-28117 | Sentry SDK leaks sensitive session information when `sendDefaultPII` is set to `True` |
| CVE-2023-3102 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2023-32275 | An information disclosure vulnerability exists in the CtEnumCa() functionality of SoftEther VPN 4.41-9782-beta and 5.01.9674.... |
| CVE-2023-3299 | Nomad Caller ACL Token's Secret ID is Exposed to Sentinel |
| CVE-2023-3399 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2023-3413 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2023-34968 | Samba: spotlight server-side share path disclosure |
| CVE-2023-38013 | IBM Cloud Pak System information disclosure |
| CVE-2023-3949 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2023-4002 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2023-4378 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2023-48240 | XWiki Platform sends cookies to external images in rendered diff and is vulnerable to server side request forgery |
| CVE-2023-49261 | Sensitive authentication-related value accessible publicly |
| CVE-2023-49594 | An information disclosure vulnerability exists in the challenge functionality of instipod DuoUniversalKeycloakAuthenticator 1... |
| CVE-2023-5831 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2023-6444 | Seriously Simple Podcasting < 3.0.0 - Unauthenticated Administrator Email Disclosure |
| CVE-2023-6916 | Information disclosure via audit records for OpenAPI requests in Guardian/CMC before 23.4.1 |
| CVE-2024-11638 | Gtbabel < 6.6.9 - Unauthenticated Admin Account Takeover |
| CVE-2024-13254 | REST Views - Moderately critical - Information Disclosure - SA-CONTRIB-2024-018 |
| CVE-2024-13259 | Image Sizes - Moderately critical - Access bypass - SA-CONTRIB-2024-023 |
| CVE-2024-13269 | Advanced Varnish - Moderately critical - Access bypass - SA-CONTRIB-2024-033 |
| CVE-2024-13276 | File Entity (fieldable files) - Moderately critical - Information Disclosure - SA-CONTRIB-2024-040 |
| CVE-2024-25148 | In Liferay Portal 7.2.0 through 7.4.1, and older unsupported versions, and Liferay DXP 7.3 before service pack 3, 7.2 before... |
| CVE-2024-25150 | Information disclosure vulnerability in the Control Panel in Liferay Portal 7.2.0 through 7.4.2, and older unsupported versio... |
| CVE-2024-26270 | The Account Settings page in Liferay Portal 7.4.3.76 through 7.4.3.99, and Liferay DXP 2023.Q3 before patch 5, and 7.4 update... |
| CVE-2024-31200 | A “CWE-201: Insertion of Sensitive Information Into Sent Data” affecting the administrative account allows an attacker with p... |
| CVE-2024-32028 | Sensitive query parameters logged by default in OpenTelemetry.Instrumentation http and AspNetCore |
| CVE-2024-3502 | Exposure of Sensitive Information in lunary-ai/lunary |
| CVE-2024-35189 | Sensitive Data Disclosure Vulnerability in Connection Configuration Endpoints in Fides |
| CVE-2024-38372 | Undici vulnerable to data leak when using response.arrayBuffer() |
| CVE-2024-39315 | Pomerium exposed OAuth2 access and ID tokens in user info endpoint response |
| CVE-2024-41931 | goTenna Pro ATAK Plugin Insertion of Sensitive Information Into Sent Data |
| CVE-2024-43814 | goTenna Pro ATAK Plugin Insertion of Sensitive Information Into Sent Data |
| CVE-2024-4536 | Eclipse EDC: OAuth2 Credential Exfiltration Vulnerability |
| CVE-2024-45653 | IBM Sterling Connect:Direct Web Services information disclosure |
| CVE-2024-46665 | An insertion of sensitive information into sent data vulnerability [CWE-201] in FortiOS 7.6.0, 7.4.0 through 7.4.4 may allow... |
| CVE-2024-47128 | Insertion of Sensitive Information Into Sent Data in goTenna Pro |
| CVE-2024-47569 | A insertion of sensitive information into sent data in Fortinet FortiManager Cloud 7.4.1 through 7.4.3, FortiVoice 7.0.0 thro... |
| CVE-2024-49235 | WordPress Contact Forms, Live Support, CRM, Video Messages plugin <= 1.10.2 - Sensitive Data Exposure vulnerability |
| CVE-2024-50378 | Apache Airflow: Secrets not masked in UI when sensitive variables are set via Airflow cli |
| CVE-2024-50633 | A Broken Object Level Authorization (BOLA) vulnerability in Indico through 3.3.5 allows attackers to read information by send... |
| CVE-2024-5213 | Exposure of Sensitive Information in mintplex-labs/anything-llm |
| CVE-2024-53804 | WordPress WP Mailster plugin <= 1.8.16.0 - Sensitive Data Exposure vulnerability |
| CVE-2024-54309 | WordPress PostBox plugin <= 1.0.4 - Sensitive Data Exposure vulnerability |
| CVE-2024-56300 | WordPress Post/Page Copying Tool plugin <= 2.0.0 - Sensitive Data Exposure vulnerability |
| CVE-2024-6586 | Lightdash version 0.1024.6 allows users with the necessary permissions, such as Administrator or Editor, to create and share... |
| CVE-2024-6747 | Information leak in mknotifyd |
| CVE-2024-7205 | sharing unnecessary device-sensitive information allows Secondary user able to take over devices as primary user |
| CVE-2024-7698 | Phoenix Contact: Access to CSRF tokens of higher privileged users in MGUARD products |
| CVE-2024-7713 | AI Chatbot with ChatGPT by AYS <= 2.0.9 - Unauthenticated OpenAI Key Disclosure |
| CVE-2024-7872 | Sensetive Data Exposure in ExtremePACS' Extreme XDS |
| CVE-2024-8429 | Improper Authentication in Digital Operation Services' WiFiBurada |
| CVE-2024-8890 | Insertion of Sensitive Information Into Sent Data vulnerability on CIRCUTOR Q-SMT |
| CVE-2025-11025 | Information Disclosure in Vimeosoft Information Technologies' Vimesoft Corporate Messaging Platform |
| CVE-2025-20348 | Cisco Nexus Dashboard Unauthorized REST API Vulnerability |
| CVE-2025-22303 | WordPress WP Mailster plugin <= 1.8.17.0 - Sensitive Data Exposure vulnerability |
| CVE-2025-23774 | WordPress WPDB to Sql plugin <= 1.2 - Sensitive Data Exposure vulnerability |
| CVE-2025-23781 | WordPress WM Options Import Export plugin <= 1.0.1 - Sensitive Data Exposure vulnerability |
| CVE-2025-24567 | WordPress WP Mailster plugin <= 1.8.16.0 - Sensitive Data Exposure vulnerability |
| CVE-2025-24582 | WordPress 12 Step Meeting List plugin <= 3.16.5 - Sensitive Data Exposure vulnerability |
| CVE-2025-24597 | WordPress Barcode Generator for WooCommerce plugin <= 2.0.2 - Sensitive Data Exposure vulnerability |
| CVE-2025-24639 | WordPress Korea for WooCommerce plugin <= 1.1.11 - Sensitive Data Exposure vulnerability |
| CVE-2025-24858 | Develocity (formerly Gradle Enterprise) before 2024.3.1 allows an attacker who has network access to a Develocity server to o... |
| CVE-2025-2565 | The data exposure vulnerability in Liferay Portal 7.4.0 through 7.4.3.126, and Liferay DXP 2024.Q3.0, 2024.Q2.0 through 2024.... |
| CVE-2025-2615 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2025-26318 | hb.exe in TSplus Remote Access before 17.30 2024-10-30 allows remote attackers to retrieve a list of all domain accounts curr... |
| CVE-2025-26335 | Dell PowerProtect Cyber Recovery, versions prior to 19.18.0.2, contains an Insertion of Sensitive Information Into Sent Data... |
| CVE-2025-27001 | WordPress Shipmondo plugin <= 5.0.3 - Authenticated Arbitrary WordPress Option Disclosure vulnerability |
| CVE-2025-27244 | AssetView and AssetView CLOUD contain an issue with acquiring sensitive information from sent data to the developer. If explo... |
| CVE-2025-30609 | WordPress AppExperts – WordPress to Mobile App – WooCommerce to iOs and Android Apps - <= <= 1.4.3 Sensitive Data Exposure Vu... |
| CVE-2025-31134 | FreshRSS vulnerable to directory enumeration via ext.php |
| CVE-2025-31842 | WordPress Viral Loops WP Integration Plugin <= 3.4.0 - Sensitive Data Exposure vulnerability |
| CVE-2025-32594 | WordPress Simple WP Events plugin <= 1.8.17 - Sensitive Data Exposure vulnerability |
| CVE-2025-32635 | WordPress Hive Support plugin <= 1.2.2 - Sensitive Data Exposure vulnerability |
| CVE-2025-3529 | WordPress Simple PayPal Shopping Cart <= 5.1.2 - Unauthenticated Information Exposure via file_url Parameter |
| CVE-2025-39498 | WordPress Spotlight - Social Media Feeds (Premium) plugin <= 1.7.1 - Sensitive Data Exposure vulnerability |
| CVE-2025-41415 | AVEVA PI Integrator Insertion of Sensitive Information into Sent Data |
| CVE-2025-43768 | Liferay Portal 7.4.0 through 7.4.3.131, and Liferay DXP 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 through 2024.Q3.13, 2024.Q2.0... |
| CVE-2025-43814 | In Liferay Portal 7.4.0 through 7.4.3.112, and older unsupported versions, and Liferay DXP 2023.Q4.0 through 2023.Q4.8, 2023.... |
| CVE-2025-43825 | A vulnerability in Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.4, 2024.Q4.0 through 202... |
| CVE-2025-44017 | "Gunosy" App contains a vulnerability where sensitive information may be included in the application's outbound communication... |
| CVE-2025-47444 | WordPress GiveWP Plugin < 4.6.1 is vulnerable to Sensitive Data (PII) Exposure |
| CVE-2025-47541 | WordPress Mail Mint <= 1.17.7 - Sensitive Data Exposure Vulnerability |
| CVE-2025-47775 | Bullfrog's DNS over TCP bypasses domain filtering |
| CVE-2025-48045 | MICI Network Co. Ltd. NetFax Server Default Administrator Credentials Disclosure |
| CVE-2025-48219 | O2 UK before 2025-05-19 allows subscribers to determine the Cell ID of other subscribers by initiating an IMS (IP Multimedia... |
| CVE-2025-48261 | WordPress MultiVendorX <= 4.2.22 - Sensitive Data Exposure Vulnerability |
| CVE-2025-48331 | WordPress WooCommerce Orders & Customers Exporter <= 5.0 - Sensitive Data Exposure Vulnerability |
| CVE-2025-48361 | WordPress Hesabfa Accounting plugin <= 2.2.4 - Sensitive Data Exposure via Log File vulnerability |
| CVE-2025-48381 | CVAT has information disclosure via browsable API |
| CVE-2025-48934 | Deno.env.toObject() ignores the variables listed in --deny-env and returns all environment variables |
| CVE-2025-48996 | Unauthenticated Disclosure of PSU HAX CMS Site Listings via haxPsuUsage API Endpoint |
| CVE-2025-49294 | WordPress Crawlomatic Multisite Scraper Post Generator plugin <= 2.6.8.2 - Sensitive Data Exposure via Log Exposure vulnerabi... |
| CVE-2025-49408 | WordPress Templately Plugin <= 3.2.7 - Sensitive Data Exposure Vulnerability |
| CVE-2025-49584 | XWiki makes title of inaccessible pages available through the class property values REST API |
| CVE-2025-52639 | HCL Connections is vulnerable to sensitive information disclosure |
| CVE-2025-53196 | WordPress JetEngine <= 3.7.0 - Sensitive Data Exposure Vulnerability |
| CVE-2025-53218 | WordPress AppExperts plugin <= 1.4.5 - Sensitive Data Exposure vulnerability |
| CVE-2025-53232 | WordPress WP Gmail SMTP plugin <= 1.0.7 - Sensitive Data Exposure vulnerability |
| CVE-2025-53309 | WordPress Accept Stripe Payments Using Contact Form 7 plugin <= 3.0 - Sensitive Data Exposure Vulnerability |
| CVE-2025-53322 | WordPress Accept Authorize.NET Payments Using Contact Form 7 plugin <= 2.5 - Sensitive Data Exposure Vulnerability |
| CVE-2025-53983 | WordPress JetElements For Elementor <= 2.7.7 - Sensitive Data Exposure Vulnerability |
| CVE-2025-53985 | WordPress JetTabs <= 2.2.9 - Sensitive Data Exposure Vulnerability |
| CVE-2025-53987 | WordPress JetMenu <= 2.4.11.1 - Sensitive Data Exposure Vulnerability |
| CVE-2025-53988 | WordPress JetBlocks For Elementor <= 1.3.18 - Sensitive Data Exposure Vulnerability |
| CVE-2025-53992 | WordPress JetTricks <= 1.5.4.1 - Sensitive Data Exposure Vulnerability |
| CVE-2025-53993 | WordPress JetPopup <= 2.0.15 - Sensitive Data Exposure Vulnerability |
| CVE-2025-53998 | WordPress JetWooBuilder <= 2.1.20 - Sensitive Data Exposure Vulnerability |
| CVE-2025-54008 | WordPress JetSmartFilters <= 3.6.7 - Sensitive Data Exposure Vulnerability |
| CVE-2025-54685 | WordPress SureDash Plugin <= 1.1.0 - Sensitive Data Exposure Vulnerability |
| CVE-2025-55155 | MantisBT: Authentication bypass for some passwords due to PHP type juggling |
| CVE-2025-5519 | Information Disclosure in ArgusTech's BILGER |
| CVE-2025-55710 | WordPress TaxoPress Plugin <= 3.37.2 - Sensitive Data Exposure Vulnerability |
| CVE-2025-55715 | WordPress Otter - Gutenberg Block Plugin <= 3.1.0 - Sensitive Data Exposure Vulnerability |
| CVE-2025-55750 | Gitpod Classic Affected by Bitbucket OAuth Token Exposure via Redirect Fragment |
| CVE-2025-5733 | Modern Events Calendar <= 7.21.9 - Information Exposure |
| CVE-2025-57922 | WordPress Envíos Coordinadora Woocommerce Plugin <= 1.1.31 - Sensitive Data Exposure Vulnerability |
| CVE-2025-57923 | WordPress UK Address Postcode Validation Plugin <= 3.9.2 - Sensitive Data Exposure Vulnerability |
| CVE-2025-58098 | Apache HTTP Server: Server Side Includes adds query string to #exec cmd=... |
| CVE-2025-58226 | WordPress 3D FlipBook – PDF Flipbook Viewer, Flipbook Image Gallery Plugin <= 1.16.16 - Sensitive Data Exposure Vulnerability |
| CVE-2025-58246 | WordPress <= 6.8.2 - (Contributor+) Sensitive Data Exposure Vulnerability |
| CVE-2025-58249 | WordPress Qubely Plugin <= 1.8.14 - Sensitive Data Exposure Vulnerability |
| CVE-2025-58252 | WordPress Getwid Plugin <= 2.1.2 - Sensitive Data Exposure Vulnerability |
| CVE-2025-58649 | WordPress All In One SEO Pack Plugin <= 4.8.7 - Sensitive Data Exposure Vulnerability |
| CVE-2025-58872 | WordPress Simple Price Calculator Plugin <= 1.3 - Broken Access Control Vulnerability |
| CVE-2025-59003 | WordPress Black Rider theme <= 1.2.3 - Sensitive Data Exposure vulnerability |
| CVE-2025-59010 | WordPress Permalink Manager Lite Plugin <= 2.5.1.3 - Sensitive Data Exposure Vulnerability |
| CVE-2025-59136 | WordPress Gerencianet Oficial plugin <= 3.1.3 - Sensitive Data Exposure vulnerability |
| CVE-2025-5920 | Sharable Password Protected Posts < 1.1.1 - Unauthenticated Password Protect Post Access |
| CVE-2025-59268 | BIG-IP Configuration utility vulnerability |
| CVE-2025-59509 | Windows Speech Recognition Information Disclosure Vulnerability |
| CVE-2025-59578 | WordPress ShopMagic plugin <= 4.5.6 - Sensitive Data Exposure vulnerability |
| CVE-2025-59579 | WordPress Simple Job Board plugin <= 2.13.7 - Sensitive Data Exposure vulnerability |
| CVE-2025-59955 | Coolify leaksensitive information `email_change_code` in `/api/v1/teams/{team_id | current}/members` API endpoint |
| CVE-2025-60095 | WordPress Stackable Plugin <= 3.18.1 - Sensitive Data Exposure Vulnerability |
| CVE-2025-60125 | WordPress FoodBook Plugin <= 4.7.1 - Sensitive Data Exposure Vulnerability |
| CVE-2025-60140 | WordPress The Tribal Plugin <= 1.3.3 - Sensitive Data Exposure Vulnerability |
| CVE-2025-60188 | WordPress Atarim plugin <= 4.2 - Sensitive Data Exposure vulnerability |
| CVE-2025-62026 | WordPress Blockspare plugin <= 3.2.13.2 - Sensitive Data Exposure vulnerability |
| CVE-2025-62038 | WordPress MeetingHub plugin <= 1.23.9 - Sensitive Data Exposure vulnerability |
| CVE-2025-62039 | WordPress AI ChatBot with ChatGPT and Content Generator by AYS plugin <= 2.6.6 - Sensitive Data Exposure vulnerability |
| CVE-2025-62062 | WordPress Easy Post Submission plugin <= 1.7.0 - Sensitive Data Exposure vulnerability |
| CVE-2025-62109 | WordPress Geo Controller plugin <= 8.9.4 - Sensitive Data Exposure vulnerability |
| CVE-2025-62126 | WordPress Varnish/Nginx Proxy Caching plugin <= 1.8.3 - Sensitive Data Exposure vulnerability |
| CVE-2025-62139 | WordPress Terms descriptions plugin <= 3.4.9 - Sensitive Data Exposure vulnerability |
| CVE-2025-62895 | WordPress Atarim plugin <= 4.2 - Sensitive Data Exposure vulnerability |
| CVE-2025-62947 | WordPress Publitio plugin <= 2.2.3 - Sensitive Data Exposure vulnerability |
| CVE-2025-62979 | WordPress ACF to REST API plugin <= 3.3.4 - Sensitive Data Exposure vulnerability |
| CVE-2025-62994 | WordPress WP AI CoPilot plugin <= 1.2.7 - Sensitive Data Exposure vulnerability |
| CVE-2025-62997 | WordPress WP EasyCart plugin <= 5.8.11 - Sensitive Data Exposure vulnerability |
| CVE-2025-62998 | WordPress WP AI CoPilot plugin <= 1.2.7 - Sensitive Data Exposure vulnerability |
| CVE-2025-63007 | WordPress EventPrime plugin <= 4.2.4.1 - Sensitive Data Exposure vulnerability |
| CVE-2025-63071 | WordPress Shortcodes and extra features for Phlox theme plugin <= 2.17.12 - Sensitive Data Exposure vulnerability |
| CVE-2025-64213 | WordPress MasterStudy LMS Pro plugin < 4.7.16 - Sensitive Data Exposure vulnerability |
| CVE-2025-64218 | WordPress Passster plugin <= 4.2.19 - Sensitive Data Exposure vulnerability |
| CVE-2025-64295 | WordPress All In One SEO Pack plugin <= 4.8.6.1 - Sensitive Data Exposure vulnerability |
| CVE-2025-64299 | LogStare Collector improperly handles the password hash data. An administrative user may obtain the other users' password has... |
| CVE-2025-64351 | WordPress Rank Math SEO plugin <= 1.0.252.1 - Sensitive Data Exposure vulnerability |
| CVE-2025-64407 | Apache OpenOffice: URL fetching can be used to exfiltrate arbitrary INI file values and environment variables |
| CVE-2025-64502 | Parse Server allows public `explain` queries which may expose sensitive database performance information and schema details |
| CVE-2025-64748 | Directus's conceal fields are searchable if read permissions enabled |
| CVE-2025-65944 | Sentry-Javascript deals with leaked sensitive headers when `sendDefaultPii` is set to `true` |
| CVE-2025-66035 | Angular HTTP Client Has XSRF Token Leakage via Protocol-Relative URLs |
| CVE-2025-66116 | WordPress Ultimate Member Widgets for Elementor plugin <= 2.3 - Sensitive Data Exposure vulnerability |
| CVE-2025-66125 | WordPress Ultimate Auction plugin <= 4.3.2 - Sensitive Data Exposure vulnerability |
| CVE-2025-66126 | WordPress Fix Media Library plugin <= 2.0 - Sensitive Data Exposure vulnerability |
| CVE-2025-66304 | Grav Exposes Password Hashes Leading to privilege escalation |
| CVE-2025-66388 | Apache Airflow: Secrets in rendered templates not redacted properly and exposed in the UI |
| CVE-2025-66566 | yawkat LZ4 Java has a possible information leak in Java safe decompressor |
| CVE-2025-67721 | Aircompressor's Snappy and LZ4 Java-based decompressor implementation can leak information from reused output buffer |
| CVE-2025-67931 | WordPress BulletProof Security plugin <= 6.9 - Sensitive Data Exposure vulnerability |
| CVE-2025-68014 | WordPress AweBooking plugin <= 3.2.26 - Sensitive Data Exposure vulnerability |
| CVE-2025-68029 | WordPress Wallet System for WooCommerce plugin <= 2.7.2 - Sensitive Data Exposure vulnerability |
| CVE-2025-68033 | WordPress Custom Related Posts plugin <= 1.8.0 - Sensitive Data Exposure vulnerability |
| CVE-2025-68040 | WordPress WP Project Manager plugin <= 3.0.1 - Sensitive Data Exposure vulnerability |
| CVE-2025-68516 | WordPress Tablesome plugin <= 1.1.35.1 - Sensitive Data Exposure vulnerability |
| CVE-2025-68989 | WordPress Contact Form 7 Extension For Mailchimp plugin <= 0.9.49 - Sensitive Data Exposure vulnerability |
| CVE-2025-7000 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2025-7204 | Exposure of password hashes via API responses in ConnectWise PSA |
| CVE-2025-8862 | YugabyteDB has been collecting diagnostics information from YugabyteDB servers, which may include sensitive gflag configurati... |
| CVE-2025-9958 | Insertion of Sensitive Information Into Sent Data in GitLab |
| CVE-2026-22246 | Local Mastodon users can enumerate and access severed relationships of every other local user |
| CVE-2026-22539 | INFORMATION DISCLOSURE VIA CURL REQUESTS (OCPP) |
| CVE-2026-23878 | HotCRP vulnerable to exposure of submitted documents |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.