Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-203
Observable Discrepancy
The product behaves differently or sends different responses under different circumstances in a way that is observable to an unauthorized actor, which exposes security-relevant information about the state of the product, such as whether a particular operation was successful or not.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-01378 | Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность защищаемой информации |
| BDU:2015-08184 | Уязвимости операционной системы Red Hat Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08187 | Уязвимости операционной системы Red Hat Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08190 | Уязвимости операционной системы Red Hat Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08193 | Уязвимости операционной системы Red Hat Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08196 | Уязвимости операционной системы Red Hat Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2018-00002 | Уязвимость процессоров Intel, ARM и AMD, связанная с особенностями функционирования модуля прогнозирования ветвлений, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2018-00003 | Уязвимость процессоров Intel, ARM и AMD, связанная с особенностями функционирования модуля прогнозирования ветвлений, позволяющая нарушителю получить доступ к защищенной памяти из программы |
| BDU:2019-00126 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров Schneider Electric Modicon, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить информацию о состоянии безопасности продукта |
| BDU:2019-00768 | Уязвимость процессоров Intel и ARM, связанная с использованием спекулятивного выполнения и чтения из памяти до возврата адресов предыдущих операций записи в память, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-01957 | Уязвимость процессоров Intel, связанная с микроархитектурной выборкой данных некэшируемой памяти (MDSUM), позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-01958 | Уязвимость порта загрузки MLPDS микропрограммного обеспечения Intel, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2019-01959 | Уязвимость процессоров Intel, связанная с восстановлением содержимого буферов заполнения (MFBDS), позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-01960 | Уязвимость буфера данных MSBDS микропрограммного обеспечения Intel, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2020-05216 | Уязвимость средства удалённого администрирования серверов Cisco Integrated Management Controller, связанная с раскрытием информации через несоответствие, позволяющая нарушителю определить все существующие имена пользователей |
| BDU:2020-05274 | Уязвимость обработчика сеанса TLS микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD) и Cisco Adaptive Security Appliance (ASA), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05700 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2021-00099 | Уязвимость подписи DSA веб-браузеров программного обеспечения Firefox, Firefox-esr и Thunderbird, связанная с раскрытием информации в результате расхождений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-01507 | Уязвимость реализации режима Scroll-To-Text браузера Google Chrome, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-01865 | Уязвимость файла kernel/bpf/verifier.c ядра операционной системы Linux, позволяющая нарушителю получить получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03383 | Уязвимость микропрограммного обеспечения процессоров Intel, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-04259 | Уязвимость реализации класса ScramServer (org.wildfly.security.mechanism.scram.ScramServer) среды безопасности WildFly Elytron, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04357 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04837 | Уязвимость параметров NF_SYSCTL_CT_MAX, NF_SYSCTL_CT_EXPECT_MAX, и NF_SYSCTL_CT_BUCKETS компонента net/netfilter/nf_conntrack_standalone.c ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-04840 | Уязвимость ядра операционной системы Linux , связанная с раскрытием информации через несоответствие, позволяющая нарушителю прочитать часть памяти ядра |
| BDU:2021-04845 | Уязвимость ядра операционной системы Linux , связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить конфиденциальную информацию |
| BDU:2021-05266 | Уязвимость компонентов SysController и MailHandlerController веб-приложения для управления проектами и задачами Redmine, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-00254 | Уязвимость кроссплатформенного гипервизора Xen, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01830 | Уязвимость функций mbedtls_ecp_check_pub_priv, mbedtls_pk_parse_key, mbedtls_pk_parse_keyfile, mbedtls_ecp_mul, mbedtls_ecp_mul_restartable реализации протоколов TLS и SSL Mbed TLS, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01852 | Уязвимость реализации протоколов TLS и SSL Mbed TLS, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02083 | Уязвимость реализации протоколов TLS и SSL Mbed TLS, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02235 | Уязвимость библиотеки SSL/TLS WolfSSL, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02236 | Уязвимость реализации протоколов TLS и SSL Mbed TLS, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02977 | Уязвимость почтового клиента Mozilla Thunderbird, связанная с некорректной обработкой вводимых пользователем данных при обработке подписанных и зашифрованных вложенных сообщений, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-03136 | Уязвимость криптографической библиотеки Libgcrypt, связанная с использованием слабого криптографического алгоритма. позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2022-03602 | Уязвимость реализации технологии динамического масштабирования напряжения и частоты (Dynamic Voltage and Frequency Scaling (DVFS)) микропрограммного обеспечения процессоров AMD, позволяющая нарушителю получить несанкционированный доступ к защищаемой... |
| BDU:2022-03603 | Уязвимость реализации технологии динамического масштабирования напряжения и частоты (Dynamic Voltage and Frequency Scaling (DVFS)) микропрограммного обеспечения процессоров Intel, позволяющая нарушителю осуществить атаку по сторонним каналам и раскры... |
| BDU:2022-03883 | Уязвимость микропрограммного обеспечения модулей станций автоматизации помещений Desigo DXR2, PXC3, PXC4 и PXC5, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информаци... |
| BDU:2022-03913 | Уязвимость микропрограммного обеспечения коммутаторов Zyxel серии GS1200, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-03921 | Уязвимость ядра операционной системы Linux, связанная с недостаточной энтропией, позволяющая нарушителю идентифицировать клиентов |
| BDU:2022-04494 | Уязвимость реализации Realm сервера приложений Apache Tomcat, связанная с раскрытием информации через несоответствие, позволяющая нарушителю определить все существующие имена пользователей |
| BDU:2022-04941 | Уязвимость функции обработки ключей RSA микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вычислять закрытые ключи RSA |
| BDU:2022-05181 | Уязвимость микропрограммного обеспечения процессоров Intel, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05428 | Уязвимость браузеров Google Chrome и Microsoft Edge, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-07080 | Уязвимость реализации протокола TLS микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-07363 | Уязвимость реализации SAE клиента защищённого доступа Wi-Fi WPA Supplicant, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-07364 | Уязвимость реализации EAP-pwd клиента защищённого доступа Wi-Fi WPA Supplicant, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-00001 | Уязвимость ядра операционной системы Linux, позволяющая нарушителю получить базовый адрес Kernel ASLR и получить доступ к памяти ядра |
| BDU:2023-02115 | Уязвимость функции prctl ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2023-02341 | Уязвимость реализации сценариев api_jsonrpc.php и index.php универсальной системы мониторинга Zabbix, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02515 | Уязвимость функции do_prlimit() ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02532 | Уязвимость функции _copy_from_user() в модуле lib/usercopy.c ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-02645 | Уязвимость аутентификации сервера службы каталогов 389 Directory Server, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-03962 | Уязвимость функции init_cea_offsets() в модуле /arch/x86/mm/cpu_entry_area.c подсистемы управления памятью ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации и повысить свои привилегии |
| BDU:2023-04607 | Уязвимость микропрограммного обеспечения процессоров AMD, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2023-04625 | Уязвимость микропрограммного обеспечения процессоров AMD, связанная с отсутствием защиты служебных данных, позволяющая нарушителю определить содержимое памяти процессов других пользователей |
| BDU:2023-04663 | Уязвимость микропрограммного обеспечения процессоров Intel, связанная с утечкой информации из векторных регистров, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2023-05092 | Уязвимость компонента JSSE программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-06970 | Уязвимость функции "Забытого пароля" (Forgot Password) программной платформы развертывания и проверки программных приложений Mendix, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2023-07001 | Уязвимость криптографической библиотеки транспортного уровня GnuTLS, связанная с различием времени ответа при обработке шифротекста RSA в сообщении ClientKeyExchange с корректным и некорректным добавочным заполнением PKCS1, позволяющая нарушителю вос... |
| BDU:2023-09056 | Уязвимость службы сетевой безопасности NSS браузера Mozilla Firefox, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-00046 | Уязвимость диспетчера сообщений Apache Kafka, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-00329 | Уязвимость библиотек для генерации биткоин-адресов и приватных ключей PyCryptodome и PyCryptodomeX, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-00707 | Уязвимость криптографической библиотеки транспортного уровня GnuTLS, связанная с различием времени ответа при обработке шифротекста RSA в сообщении ClientKeyExchange с корректным и некорректным добавочным заполнением PKCS1, позволяющая нарушителю пол... |
| BDU:2024-00774 | Уязвимость реализации стандарта PKCS1 v1.5 криптографической библиотеки jsrsasign, позволяющая нарушителю реализовать атаку Блейхенбахера (Bleichenbacher) или атаку Марвина (Marvin) |
| BDU:2024-01033 | Уязвимость компонента Kernel Samepage Merging (KSM) ядра операционной системы Linux, позволяющая нарушителю получить доступ к странице пользователя |
| BDU:2024-01188 | Уязвимость подсистемы криптографии ядра операционной системы Linux, позволяющая нарушителю получить доступ или оказать воздействие на защищаемую информацию |
| BDU:2024-01340 | Уязвимость программного обеспечения Mbed TLS, существующая из-за временного бокового канала в частных операциях RSA, позволяющая нарушителю реализовать атаку Марвина (Marvin) и получить доступ к конфиденциальной информации |
| BDU:2024-01500 | Уязвимость библиотеки безопасности транспортного уровня GnuTLS, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-02324 | Уязвимость библиотеки SSL/TLS wolfSSL, связанная с раскрытием информации через несоответствие, позволяющая нарушителю расшифровывать зашифрованные тексты и подделывать подписи |
| BDU:2024-02839 | Уязвимость пакета opencryptoki, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03301 | Уязвимость панели управления Linux-сервера 1Panel, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-03433 | Уязвимость компонента saslJaasServerRoleTokenSignerSecretPath облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, позволяющая нарушителю подделать ролевой токен SASL и оказать воздействие на конфиденциальност... |
| BDU:2024-04114 | Уязвимость компонента RSA Key Exchange Handler набора инструментов шифрования и SSL для Python m2crypto, позволяющая нарушителю раскрыть конфиденциальные данных. |
| BDU:2024-04115 | Уязвимость компонента RSA Key Exchange Handler пакета python-cryptography языка программирования python, позволяющая нарушителю раскрыть конфиденциальные данных |
| BDU:2024-04921 | Уязвимость компонента lxc-user-nic системы виртуализации LXC, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05718 | Уязвимость пакета perl-Crypt-OpenSSL-RSA операционных систем Red Hat Enterprise Linux, позволяющая нарушителю реализовать атаку Блейхенбахера (Bleichenbacher) |
| BDU:2024-05945 | Уязвимость операционной системы IBM i, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-06009 | Уязвимость конечной точки прикладного программного интерфейса приложения двухфакторной аутентификации на основе генерации токенов безопасности Twilio Authy, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-06520 | Уязвимость функции openssl_private_decrypt() компонента PKCS1 Padding Handler интерпретатора языка программирования PHP, позволяющая нарушителю реализовать атаку Марвина |
| BDU:2024-06977 | Уязвимость интерпретатора языка программирования Erlang, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-07281 | Уязвимость функции wc_ecc_sign_hash() библиотеки SSL/TLS WolfSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-07894 | Уязвимость функции ObscureKeystrokeTiming() SSH-клиента средства криптографической защиты OpenSSH, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-08066 | Уязвимость криптографических служб операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-08651 | Уязвимость интерфейса RAPL Interface микропрограммного обеспечения процессоров Intel, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-09311 | Уязвимость функции Window.open() браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-09444 | Уязвимость компонента lib/utils/donna128.h криптографической библиотеки Botan, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-09445 | Уязвимость компонента lib/utils/ghash/ghash.cpp криптографической библиотеки Botan, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-10411 | Уязвимость пакета драйверов Intel QuickAssist (Intel QAT Engine для OpenSSL), связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-11498 | Уязвимость компонентов Hotspot программной платформы Oracle Java SE, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11499 | Уязвимость компонентов Diagnostics платформы Oracle Enterprise Command Center Framework, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11501 | Уязвимость компонентов Diagnostics виртуальных машин Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK и программной платформы Oracle Java SE, позволяющая нарушителю вызвать частичный отказ в обслуживании (DOS) |
| BDU:2024-11666 | Уязвимость программного обеспечения аналитики показателей эффективности колл-центра Loway QueueMetrics, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01014 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к потенциально конфиденциальной информации |
| BDU:2025-01225 | Уязвимость компонента Web Runtime SEC системы управления ресурсами предприятия JD Edwards EnterpriseOne Tools, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01249 | Уязвимость хранилища Photos Storage операционных систем macOS, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-02969 | Уязвимость функции ip_cmsg_recv() ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03736 | Уязвимость криптографической платформы IBM Common Cryptographic Architecture (CCA), связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03925 | Уязвимость модулей отображения веб-страниц WPE WebKit и WebKitGTK, связанная с раскрытием информации через несоответствие, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2025-04194 | Уязвимость программного пакета OpenSearch, связанная с раскрытием информации через несоответствие, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2025-05010 | Уязвимость веб-интерфейса микропрограммного обеспечения сетевой IP-камеры AvertX, позволяющая нарушителю получить доступ к видеопотоку |
| BDU:2025-06010 | Уязвимость системы управления роботами и устройствами UBtech Freepass, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06185 | Уязвимость реализации механизма Shamir’s secret платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07729 | Уязвимость библиотеки работы со смарт-картами OpenSC, связанная с раскрытием информации через несоответствие, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-07931 | Уязвимость компонента arch/x86 ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2025-08277 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-08810 | Уязвимость графического интерфейса программного средства для согласования работы (оркестровки) систем кибербезопасности и для управления реагирования на инциденты в режиме реального времени Fortinet FortiSOAR, позволяющая нарушителю получить несанкци... |
| BDU:2025-09911 | Уязвимость функции strcmp/memcmp веб-интерфейса микропрограммного обеспечения маршрутизаторов DrayTek Vigor, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09940 | Уязвимость механизма обработки файлов cookie веб-браузера Google Chrome, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю похитить cookie-файлы |
| BDU:2025-11264 | Уязвимость функции CompareHashAndPassword платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition, связанная с раскрытием информации из-за несоответствия во времени, позволяющая нарушителю получить несанкциониро... |
| BDU:2025-11277 | Уязвимость системы управления секретами и шифрованием OpenBao, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-11401 | Уязвимость терминального мультиплексора GNU screen, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11675 | Уязвимость компонента Framework операционных систем Android, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-12392 | Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-12559 | Уязвимость платформы сетевой виртуализации VMware NSX, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13193 | Уязвимость пакета программ для организации сеансов связи по протоколу SSH Dropbear, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-14523 | Уязвимость компонентов TLS API и JSSE Provider средства криптографической защиты Bouncy Castle, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2026-00093 | Уязвимость функции authenticate_user() системы для запуска и управления большими языковыми моделями LoLLMS (Lord of Large Language Multimodal Systems), позволяющая нарушителю перехватить учетную запись пользователя или повысить свои привилегии |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2016-9129 | Revive Adserver before 3.2.3 suffers from Information Exposure Through Discrepancy. It is possible to check whether or not an... |
| CVE-2017-13098 | BouncyCastle JCE TLS Bleichenbacher/ROBOT |
| CVE-2017-13099 | wolfSSL Bleichenbacher/ROBOT |
| CVE-2018-10919 | The Samba Active Directory LDAP server was vulnerable to an information disclosure flaw because of missing access control che... |
| CVE-2018-14597 | CA Technologies Identity Governance 12.6, 14.0, 14.1, and 14.2 and CA Identity Suite Virtual Appliance 14.0, 14.1, and 14.2 p... |
| CVE-2018-16868 | A Bleichenbacher type side-channel based padding oracle attack was found in the way gnutls handles verification of RSA decryp... |
| CVE-2018-16869 | A Bleichenbacher type side-channel based padding oracle attack was found in the way nettle handles endian conversion of RSA d... |
| CVE-2019-19338 | A flaw was found in the fix for CVE-2019-11135, in the Linux upstream kernel versions before 5.5 where, the way Intel CPUs ha... |
| CVE-2020-15151 | Observable Timing Discrepancy in OpenMage LTS |
| CVE-2020-15237 | Timing attack in Shrine |
| CVE-2020-1685 | Junos OS: EX4600, QFX5K Series: Stateless firewall filter matching 'user-vlan-id' will cause incomplete discard action |
| CVE-2020-26062 | Cisco Integrated Management Controller Username Enumeration Vulnerability |
| CVE-2020-3585 | Cisco Firepower 1000 Series Bleichenbacher Attack Vulnerability |
| CVE-2020-5143 | SonicOS SSLVPN login page allows a remote unauthenticated attacker to perform firewall management administrator username enum... |
| CVE-2021-1486 | Cisco SD-WAN vManage HTTP Authentication User Enumeration Vulnerability |
| CVE-2021-24651 | Poll Maker < 3.4.2 - Unauthenticated Time Based SQL Injection |
| CVE-2021-29443 | Padding Oracle Attack due to Observable Timing Discrepancy in jose |
| CVE-2021-29444 | Padding Oracle Attack due to Observable Timing Discrepancy in jose-browser-runtime |
| CVE-2021-29445 | Padding Oracle Attack due to Observable Timing Discrepancy in jose-node-esm-runtime |
| CVE-2021-29446 | Padding Oracle Attack due to Observable Timing Discrepancy in jose-node-cjs-runtime |
| CVE-2021-29621 | Observable Response Discrepancy in Flask-AppBuilder |
| CVE-2021-33845 | Username enumeration through lockout message in REST API |
| CVE-2021-34575 | Information Exposure in mymbCONNECT24, mbCONNECT24 <= 2.8.0 |
| CVE-2021-34576 | Observable discrepancy in Kaden PICOFLUX AiR leaks water consumption |
| CVE-2021-3642 | A flaw was found in Wildfly Elytron in versions prior to 1.10.14.Final, prior to 1.15.5.Final and prior to 1.16.1.Final where... |
| CVE-2021-38153 | Timing Attack Vulnerability for Apache Kafka Connect and Clients |
| CVE-2021-4286 | cocagne pysrp _ctsrp.py calculate_x information exposure |
| CVE-2021-45925 | Username Enumeration |
| CVE-2021-47664 | Enumeration of valid user names |
| CVE-2022-0569 | Observable Discrepancy in snipe/snipe-it |
| CVE-2022-0823 | An improper control of interaction frequency vulnerability in Zyxel GS1200 series switches could allow a local attacker to gu... |
| CVE-2022-20866 | Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software RSA Private Key Leak Vulnerability |
| CVE-2022-20940 | A vulnerability in the TLS handler of Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote at... |
| CVE-2022-22120 | NocoDB - Observable Discrepancy in the password-reset feature |
| CVE-2022-23643 | Side-channel attack in Sourcegraph Code Monitors |
| CVE-2022-24043 | A vulnerability has been identified in Desigo DXR2 (All versions < V01.21.142.5-22), Desigo PXC3 (All versions < V01.21.142.4... |
| CVE-2022-27221 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.1). An attacker in machine-in-the-midd... |
| CVE-2022-2891 | WP 2FA < 2.3.0 - Time-Based Side-Channel Attack |
| CVE-2022-29185 | Observable Timing Discrepancy in totp-rs |
| CVE-2022-36105 | User Enumeration via Response Timing in TYPO3 |
| CVE-2022-3907 | Clerk < 4.0.0 - Authentication Bypass and API Keys Disclosure |
| CVE-2022-39228 | Observable Response Discrepancy in vantage6 |
| CVE-2023-0440 | Observable Discrepancy in healthchecks/healthchecks |
| CVE-2023-22359 | User-enumeration in RestAPI |
| CVE-2023-3139 | Protect WP Admin < 4.0 - Unauthenticated Protection Bypass |
| CVE-2023-32691 | ginuerzh/gost vulnerable to Timing Attack |
| CVE-2023-32694 | Non-constant time HMAC comparison in Adyen plugin in Saleor |
| CVE-2023-33850 | IBM GSKit-Crypto information disclosure |
| CVE-2023-34344 | A vulnerability in the IPMI handler, where an unauthorized attacker can use certain oracles to guess a valid username |
| CVE-2023-3462 | Vault's LDAP Auth Method Allows for User Enumeration |
| CVE-2023-3529 | Rotem Dynamics Rotem CRM OTP URI Interface information exposure |
| CVE-2023-3604 | Change WP Admin < 1.1.4 - Secret Login Page Disclosure |
| CVE-2023-3640 | Kernel: x86/mm: a per-cpu entry area leak was identified through the init_cea_offsets function when prefetchnta and prefetcht... |
| CVE-2023-37482 | The login functionality of the web server in affected devices does not normalize the response times of login attempts. An una... |
| CVE-2023-3897 | Bypassing CAPTCHA & Enumerating Usernames via Password Reset Page |
| CVE-2023-39522 | Username enumeration attack in goauthentik |
| CVE-2023-40021 | Timing Attack Reveals CSRF Tokens in oppia |
| CVE-2023-43623 | A vulnerability has been identified in Mendix Forgot Password (Mendix 10 compatible) (All versions < V5.4.0), Mendix Forgot P... |
| CVE-2023-46739 | Timing attack can leak user passwords |
| CVE-2023-50708 | yii2-authclient vulnerable to possible timing attack on string comparison in OAuth1, OAuth2 and OpenID Connect implementation |
| CVE-2023-51437 | Apache Pulsar: Timing attack in SASL token signature verification |
| CVE-2023-5981 | Gnutls: timing side-channel in the rsa-psk authentication |
| CVE-2023-5992 | Opensc: side-channel leaks while stripping encryption pkcs#1 padding |
| CVE-2023-6240 | Kernel: marvin vulnerability side-channel leakage in the rsa decryption operation |
| CVE-2023-6935 | Marvin Attack vulnerability in SP Math All RSA |
| CVE-2024-0436 | Prevent timing attack for single-user password check |
| CVE-2024-0553 | Gnutls: incomplete fix for cve-2023-5981 |
| CVE-2024-0564 | Kernel: max page sharing of kernel samepage merging (ksm) may cause memory deduplication |
| CVE-2024-0914 | Opencryptoki: timing side-channel in handling of rsa pkcs#1 v1.5 padded ciphertexts (marvin) |
| CVE-2024-11084 | Potential Username Enumeration in Helix ALM |
| CVE-2024-12663 | funnyzpc Mee-Admin Login login observable response discrepancy |
| CVE-2024-13028 | Antabot White-Jotter login observable response discrepancy |
| CVE-2024-13198 | langhsu Mblog Blog System login observable response discrepancy |
| CVE-2024-1544 | ECDSA nonce bias caused by truncation |
| CVE-2024-23342 | python-ecdsa vulnerable to Minerva attack on P-256 |
| CVE-2024-23984 | Observable discrepancy in RAPL interface for some Intel(R) Processors may allow a privileged user to potentially enable infor... |
| CVE-2024-2464 | Application users enumeration in CDeX |
| CVE-2024-2467 | Perl-crypt-openssl-rsa: side-channel attack in pkcs#1 v1.5 padding mode (marvin attack) |
| CVE-2024-26268 | User enumeration vulnerability in Liferay Portal 7.2.0 through 7.4.3.26, and older unsupported versions, and Liferay DXP 7.4... |
| CVE-2024-28885 | Observable discrepancy in some Intel(R) QAT Engine for OpenSSL software before version v1.6.1 may allow information disclosur... |
| CVE-2024-30257 | 1Panel's password verification is suspected to have a timing attack vulnerability |
| CVE-2024-31878 | IBM i information disclosure |
| CVE-2024-3296 | Rust-openssl: timing based side-channel can lead to a bleichenbacher style attack |
| CVE-2024-41760 | IBM Common Cryptographic Architecture information disclosure |
| CVE-2024-41952 | Zitadel has an "Ignoring unknown usernames" vulnerability |
| CVE-2024-43546 | Windows Cryptographic Information Disclosure Vulnerability |
| CVE-2024-45089 | IBM Sterling B2B Integrator information disclosure |
| CVE-2024-47057 | User name enumeration possible due to response time difference on password reset form |
| CVE-2024-47869 | Non-constant-time comparison when comparing hashes in Gradio |
| CVE-2024-49358 | ZimaOS vulnerable to Username Enumeration via API Responses |
| CVE-2024-5124 | Timing Attack Vulnerability in gaizhenbiao/chuanhuchatgpt |
| CVE-2024-51477 | IBM InfoSphere Information Server information disclosure |
| CVE-2024-54002 | Dependency-Track allows enumeration of managed users via /api/v1/user/login endpoint |
| CVE-2024-6289 | WPS Hide Login < 1.9.16.4 - Hidden Login Page Disclosure |
| CVE-2024-6420 | Hide My WP Ghost < 5.2.02 - Hidden Login Page Disclosure |
| CVE-2024-7010 | Timing Attack in mudler/localai |
| CVE-2024-9513 | Netadmin Software NetAdmin IAM HTTP POST Request ReturnUserQuestionsFilled information exposure |
| CVE-2025-0361 | During an annual penetration test conducted on behalf of Axis Communications, Truesec discovered a flaw in the VAPIX Device C... |
| CVE-2025-11145 | User Enumeration in CBK Soft's enVision |
| CVE-2025-11443 | JhumanJ OpnForm Forgotten Password email information exposure |
| CVE-2025-1396 | Username Enumeration in Multiple WSO2 Products with Multi-Attribute Login Enabled |
| CVE-2025-1468 | CODESYS Control V3 - OPC UA Server Authentication bypass |
| CVE-2025-21336 | Windows Cryptographic Information Disclosure Vulnerability |
| CVE-2025-23182 | UBtech – CWE-203: Observable Discrepancy |
| CVE-2025-24391 | Possible user enumeration |
| CVE-2025-29780 | Post-Quantum Secure Feldman's Verifiable Secret Sharing has Timing Side-Channels in Matrix Operations |
| CVE-2025-31124 | Zitadel allows User Enumeration by loginname attribute normalization |
| CVE-2025-32789 | EspoCRM Allows Potential Disclosure of Sensitive Information in the User Sorting Function |
| CVE-2025-36225 | IBM Aspera Faspex information disclosure |
| CVE-2025-40732 | User enumeration vulnerability in Daily Expense Manager |
| CVE-2025-41252 | Username enumeration vulnerability |
| CVE-2025-4302 | Stop User Enumeration < 1.7.3 - Protection Bypass |
| CVE-2025-43739 | Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.6, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 t... |
| CVE-2025-43743 | Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.5, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 t... |
| CVE-2025-43751 | User enumeration vulnerability in Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2024.Q4.0 through 2024.Q4.7, 2024.Q... |
| CVE-2025-46720 | Keystone has an unintended `isFilterable` bypass that can be used as an oracle to match hidden fields |
| CVE-2025-46804 | Screen 5.0.0 and older versions allow file existence tests when installed setuid-root |
| CVE-2025-47872 | EG4 Electronics EG4 Inverters Observable Discrepancy |
| CVE-2025-52576 | Kanboard vulnerable to Username Enumeration via Login Behavior and Bruteforce Protection Bypass |
| CVE-2025-54477 | Joomla! Core - [20250902] User-Enumeration in passkey authentication method |
| CVE-2025-54999 | OpenBao: Timing Side-Channel in Userpass Auth Method |
| CVE-2025-57770 | ZITADEL user enumeration vulnerability in login UI |
| CVE-2025-6011 | Timing Side-Channel in Vault’s Userpass Auth Method |
| CVE-2025-6056 | Timing difference in password reset in Ergon Informatik AG's Airlock IAM 7.7.9, 8.0.8, 8.1.7, 8.2.4 and 8.3.1 allows unauthen... |
| CVE-2025-6386 | Timing Attack Vulnerability in parisneo/lollms |
| CVE-2025-64749 | Directus Vulnerable to Information Leakage in Existing Collections |
| CVE-2025-8774 | riscv-boom SonicBOOM L1 Data Cache timing discrepancy |
| CVE-2025-9031 | Timing-Based Username Enumeration in DivvyDrive Information Technologies' DivvyDrive Web |
| CVE-2025-9109 | Portabilis i-Diario Password Recovery Endpoint email observable response discrepancy |
| CVE-2026-21484 | AnythingLLM Vulnerable to Username Enumeration w/ Password Recovery |
| CVE-2026-23620 | GFI MailEssentials AI < 22.4 ListServer.IsDbExist() Absolute Directory Traversal to File Enumeration |
| CVE-2026-23621 | GFI MailEssentials AI < 22.4 ListServer.IsPathExist() Absolute Directory Traversal to File Enumeration |
| CVE-2026-25562 | WeKan < 8.19 Attachments Publication Information Disclosure |
| CVE-2026-26185 | Directus Affected by User Enumeration via Password Reset Timing Attack |
| CVE-2026-26315 | Go Ethereum Improperly Validates the ECIES Public Key in RLPx Handshake |
| CVE-2026-4040 | OpenClaw File Existence tools.exec.safeBins information exposure |
| CVE-2026-4045 | projectsend Auth.php response discrepancy |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20240216-94 | 16.02.2024 | Обход безопасности в Apache Pulsar |
| VULN:20240318-20 | 18.03.2024 | Получение конфиденциальной информации в Juniper Secure Analytics (JSA) |
| VULN:20250409-34 | 09.04.2025 | Получение конфиденциальной информации в Draytek routers |
| VULN:20250409-6 | 09.04.2025 | Получение конфиденциальной информации в Dell VxRail Appliance |
| VULN:20250602-6 | 02.06.2025 | Получение конфиденциальной информации в Dell PowerStoreT OS |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.