Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-203
CWE-203: Observable Discrepancy
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-01378 | Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность защищаемой информации |
| BDU:2015-08184 | Уязвимости операционной системы Red Hat Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08187 | Уязвимости операционной системы Red Hat Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08190 | Уязвимости операционной системы Red Hat Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08193 | Уязвимости операционной системы Red Hat Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08196 | Уязвимости операционной системы Red Hat Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2018-00002 | Уязвимость процессоров Intel, ARM и AMD, связанная с особенностями функционирования модуля прогнозирования ветвлений, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2018-00003 | Уязвимость процессоров Intel, ARM и AMD, связанная с особенностями функционирования модуля прогнозирования ветвлений, позволяющая нарушителю получить доступ к защищенной памяти из программы |
| BDU:2019-00126 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров Schneider Electric Modicon, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить информацию о состоянии безопасности продукта |
| BDU:2019-00768 | Уязвимость процессоров Intel и ARM, связанная с использованием спекулятивного выполнения и чтения из памяти до возврата адресов предыдущих операций записи в память, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-01957 | Уязвимость процессоров Intel, связанная с микроархитектурной выборкой данных некэшируемой памяти (MDSUM), позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-01958 | Уязвимость порта загрузки MLPDS микропрограммного обеспечения Intel, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2019-01959 | Уязвимость процессоров Intel, связанная с восстановлением содержимого буферов заполнения (MFBDS), позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-01960 | Уязвимость буфера данных MSBDS микропрограммного обеспечения Intel, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2020-05216 | Уязвимость средства удалённого администрирования серверов Cisco Integrated Management Controller, связанная с раскрытием информации через несоответствие, позволяющая нарушителю определить все существующие имена пользователей |
| BDU:2020-05274 | Уязвимость обработчика сеанса TLS микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD) и Cisco Adaptive Security Appliance (ASA), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05700 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2021-00099 | Уязвимость подписи DSA веб-браузеров программного обеспечения Firefox, Firefox-esr и Thunderbird, связанная с раскрытием информации в результате расхождений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-01507 | Уязвимость реализации режима Scroll-To-Text браузера Google Chrome, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-01865 | Уязвимость файла kernel/bpf/verifier.c ядра операционной системы Linux, позволяющая нарушителю получить получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03383 | Уязвимость микропрограммного обеспечения процессоров Intel, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-04259 | Уязвимость реализации класса ScramServer (org.wildfly.security.mechanism.scram.ScramServer) среды безопасности WildFly Elytron, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04357 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04837 | Уязвимость параметров NF_SYSCTL_CT_MAX, NF_SYSCTL_CT_EXPECT_MAX, и NF_SYSCTL_CT_BUCKETS компонента net/netfilter/nf_conntrack_standalone.c ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-04840 | Уязвимость ядра операционной системы Linux , связанная с раскрытием информации через несоответствие, позволяющая нарушителю прочитать часть памяти ядра |
| BDU:2021-04845 | Уязвимость ядра операционной системы Linux , связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить конфиденциальную информацию |
| BDU:2021-05266 | Уязвимость компонентов SysController и MailHandlerController веб-приложения для управления проектами и задачами Redmine, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-00254 | Уязвимость кроссплатформенного гипервизора Xen, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01830 | Уязвимость функций mbedtls_ecp_check_pub_priv, mbedtls_pk_parse_key, mbedtls_pk_parse_keyfile, mbedtls_ecp_mul, mbedtls_ecp_mul_restartable реализации протоколов TLS и SSL Mbed TLS, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01852 | Уязвимость реализации протоколов TLS и SSL Mbed TLS, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02083 | Уязвимость реализации протоколов TLS и SSL Mbed TLS, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02235 | Уязвимость библиотеки SSL/TLS WolfSSL, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02236 | Уязвимость реализации протоколов TLS и SSL Mbed TLS, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02977 | Уязвимость почтового клиента Mozilla Thunderbird, связанная с некорректной обработкой вводимых пользователем данных при обработке подписанных и зашифрованных вложенных сообщений, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-03136 | Уязвимость криптографической библиотеки Libgcrypt, связанная с использованием слабого криптографического алгоритма. позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2022-03602 | Уязвимость реализации технологии динамического масштабирования напряжения и частоты (Dynamic Voltage and Frequency Scaling (DVFS)) микропрограммного обеспечения процессоров AMD, позволяющая нарушителю получить несанкционированный доступ к защищаемой... |
| BDU:2022-03603 | Уязвимость реализации технологии динамического масштабирования напряжения и частоты (Dynamic Voltage and Frequency Scaling (DVFS)) микропрограммного обеспечения процессоров Intel, позволяющая нарушителю осуществить атаку по сторонним каналам и раскры... |
| BDU:2022-03883 | Уязвимость микропрограммного обеспечения модулей станций автоматизации помещений Desigo DXR2, PXC3, PXC4 и PXC5, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информаци... |
| BDU:2022-03913 | Уязвимость микропрограммного обеспечения коммутаторов Zyxel серии GS1200, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-03921 | Уязвимость ядра операционной системы Linux, связанная с недостаточной энтропией, позволяющая нарушителю идентифицировать клиентов |
| BDU:2022-04494 | Уязвимость реализации Realm сервера приложений Apache Tomcat, связанная с раскрытием информации через несоответствие, позволяющая нарушителю определить все существующие имена пользователей |
| BDU:2022-04941 | Уязвимость функции обработки ключей RSA микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вычислять закрытые ключи RSA |
| BDU:2022-05181 | Уязвимость микропрограммного обеспечения процессоров Intel, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05428 | Уязвимость браузеров Google Chrome и Microsoft Edge, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-07080 | Уязвимость реализации протокола TLS микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-07363 | Уязвимость реализации SAE клиента защищённого доступа Wi-Fi WPA Supplicant, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-07364 | Уязвимость реализации EAP-pwd клиента защищённого доступа Wi-Fi WPA Supplicant, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-00001 | Уязвимость ядра операционной системы Linux, позволяющая нарушителю получить базовый адрес Kernel ASLR и получить доступ к памяти ядра |
| BDU:2023-02115 | Уязвимость функции prctl ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2023-02341 | Уязвимость реализации сценариев api_jsonrpc.php и index.php универсальной системы мониторинга Zabbix, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02515 | Уязвимость функции do_prlimit() ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02532 | Уязвимость функции _copy_from_user() в модуле lib/usercopy.c ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-02645 | Уязвимость аутентификации сервера службы каталогов 389 Directory Server, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-03962 | Уязвимость функции init_cea_offsets() в модуле /arch/x86/mm/cpu_entry_area.c подсистемы управления памятью ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации и повысить свои привилегии |
| BDU:2023-04607 | Уязвимость микропрограммного обеспечения процессоров AMD, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2023-04625 | Уязвимость микропрограммного обеспечения процессоров AMD, связанная с отсутствием защиты служебных данных, позволяющая нарушителю определить содержимое памяти процессов других пользователей |
| BDU:2023-04663 | Уязвимость микропрограммного обеспечения процессоров Intel, связанная с утечкой информации из векторных регистров, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2023-05092 | Уязвимость компонента JSSE программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-06970 | Уязвимость функции "Забытого пароля" (Forgot Password) программной платформы развертывания и проверки программных приложений Mendix, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2023-07001 | Уязвимость криптографической библиотеки транспортного уровня GnuTLS, связанная с различием времени ответа при обработке шифротекста RSA в сообщении ClientKeyExchange с корректным и некорректным добавочным заполнением PKCS1, позволяющая нарушителю вос... |
| BDU:2023-09056 | Уязвимость службы сетевой безопасности NSS браузера Mozilla Firefox, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-00046 | Уязвимость диспетчера сообщений Apache Kafka, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-00329 | Уязвимость библиотек для генерации биткоин-адресов и приватных ключей PyCryptodome и PyCryptodomeX, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-00707 | Уязвимость криптографической библиотеки транспортного уровня GnuTLS, связанная с различием времени ответа при обработке шифротекста RSA в сообщении ClientKeyExchange с корректным и некорректным добавочным заполнением PKCS1, позволяющая нарушителю пол... |
| BDU:2024-00774 | Уязвимость реализации стандарта PKCS1 v1.5 криптографической библиотеки jsrsasign, позволяющая нарушителю реализовать атаку Блейхенбахера (Bleichenbacher) или атаку Марвина (Marvin) |
| BDU:2024-01033 | Уязвимость компонента Kernel Samepage Merging (KSM) ядра операционной системы Linux, позволяющая нарушителю получить доступ к странице пользователя |
| BDU:2024-01188 | Уязвимость подсистемы криптографии ядра операционной системы Linux, позволяющая нарушителю получить доступ или оказать воздействие на защищаемую информацию |
| BDU:2024-01340 | Уязвимость программного обеспечения Mbed TLS, существующая из-за временного бокового канала в частных операциях RSA, позволяющая нарушителю реализовать атаку Марвина (Marvin) и получить доступ к конфиденциальной информации |
| BDU:2024-01500 | Уязвимость библиотеки безопасности транспортного уровня GnuTLS, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-02324 | Уязвимость библиотеки SSL/TLS wolfSSL, связанная с раскрытием информации через несоответствие, позволяющая нарушителю расшифровывать зашифрованные тексты и подделывать подписи |
| BDU:2024-02839 | Уязвимость пакета opencryptoki, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03301 | Уязвимость панели управления Linux-сервера 1Panel, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-03433 | Уязвимость компонента saslJaasServerRoleTokenSignerSecretPath облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, позволяющая нарушителю подделать ролевой токен SASL и оказать воздействие на конфиденциальност... |
| BDU:2024-04114 | Уязвимость компонента RSA Key Exchange Handler набора инструментов шифрования и SSL для Python m2crypto, позволяющая нарушителю раскрыть конфиденциальные данных. |
| BDU:2024-04115 | Уязвимость компонента RSA Key Exchange Handler пакета python-cryptography языка программирования python, позволяющая нарушителю раскрыть конфиденциальные данных |
| BDU:2024-04921 | Уязвимость компонента lxc-user-nic системы виртуализации LXC, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05718 | Уязвимость пакета perl-Crypt-OpenSSL-RSA операционных систем Red Hat Enterprise Linux, позволяющая нарушителю реализовать атаку Блейхенбахера (Bleichenbacher) |
| BDU:2024-05945 | Уязвимость операционной системы IBM i, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-06009 | Уязвимость конечной точки прикладного программного интерфейса приложения двухфакторной аутентификации на основе генерации токенов безопасности Twilio Authy, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-06520 | Уязвимость функции openssl_private_decrypt() компонента PKCS1 Padding Handler интерпретатора языка программирования PHP, позволяющая нарушителю реализовать атаку Марвина |
| BDU:2024-06977 | Уязвимость интерпретатора языка программирования Erlang, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-07281 | Уязвимость функции wc_ecc_sign_hash() библиотеки SSL/TLS WolfSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-07894 | Уязвимость функции ObscureKeystrokeTiming() SSH-клиента средства криптографической защиты OpenSSH, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-08066 | Уязвимость криптографических служб операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-08651 | Уязвимость интерфейса RAPL Interface микропрограммного обеспечения процессоров Intel, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-09311 | Уязвимость функции Window.open() браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-09444 | Уязвимость компонента lib/utils/donna128.h криптографической библиотеки Botan, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-09445 | Уязвимость компонента lib/utils/ghash/ghash.cpp криптографической библиотеки Botan, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-10411 | Уязвимость пакета драйверов Intel QuickAssist (Intel QAT Engine для OpenSSL), связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-11498 | Уязвимость компонентов Hotspot программной платформы Oracle Java SE, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11499 | Уязвимость компонентов Diagnostics платформы Oracle Enterprise Command Center Framework, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11501 | Уязвимость компонентов Diagnostics виртуальных машин Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK и программной платформы Oracle Java SE, позволяющая нарушителю вызвать частичный отказ в обслуживании (DOS) |
| BDU:2024-11666 | Уязвимость программного обеспечения аналитики показателей эффективности колл-центра Loway QueueMetrics, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01014 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к потенциально конфиденциальной информации |
| BDU:2025-01225 | Уязвимость компонента Web Runtime SEC системы управления ресурсами предприятия JD Edwards EnterpriseOne Tools, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01249 | Уязвимость хранилища Photos Storage операционных систем macOS, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-02969 | Уязвимость функции ip_cmsg_recv() ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03736 | Уязвимость криптографической платформы IBM Common Cryptographic Architecture (CCA), связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03925 | Уязвимость модулей отображения веб-страниц WPE WebKit и WebKitGTK, связанная с раскрытием информации через несоответствие, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2025-04194 | Уязвимость программного пакета OpenSearch, связанная с раскрытием информации через несоответствие, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2025-05010 | Уязвимость веб-интерфейса микропрограммного обеспечения сетевой IP-камеры AvertX, позволяющая нарушителю получить доступ к видеопотоку |
| BDU:2025-06010 | Уязвимость системы управления роботами и устройствами UBtech Freepass, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06185 | Уязвимость реализации механизма Shamir’s secret платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07729 | Уязвимость библиотеки работы со смарт-картами OpenSC, связанная с раскрытием информации через несоответствие, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-07931 | Уязвимость компонента arch/x86 ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2025-08277 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-08810 | Уязвимость графического интерфейса программного средства для согласования работы (оркестровки) систем кибербезопасности и для управления реагирования на инциденты в режиме реального времени Fortinet FortiSOAR, позволяющая нарушителю получить несанкци... |
| BDU:2025-09911 | Уязвимость функции strcmp/memcmp веб-интерфейса микропрограммного обеспечения маршрутизаторов DrayTek Vigor, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09940 | Уязвимость механизма обработки файлов cookie веб-браузера Google Chrome, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю похитить cookie-файлы |
| BDU:2025-11264 | Уязвимость функции CompareHashAndPassword платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition, связанная с раскрытием информации из-за несоответствия во времени, позволяющая нарушителю получить несанкциониро... |
| BDU:2025-11277 | Уязвимость системы управления секретами и шифрованием OpenBao, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-11401 | Уязвимость терминального мультиплексора GNU screen, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11675 | Уязвимость компонента Framework операционных систем Android, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-12392 | Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-12559 | Уязвимость платформы сетевой виртуализации VMware NSX, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13193 | Уязвимость пакета программ для организации сеансов связи по протоколу SSH Dropbear, связанная с раскрытием информации через несоответствие, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-14523 | Уязвимость компонентов TLS API и JSSE Provider средства криптографической защиты Bouncy Castle, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2026-00093 | Уязвимость функции authenticate_user() системы для запуска и управления большими языковыми моделями LoLLMS (Lord of Large Language Multimodal Systems), позволяющая нарушителю перехватить учетную запись пользователя или повысить свои привилегии |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2016-9129 | Revive Adserver before 3.2.3 suffers from Information Exposure Through Discrepancy. It is possible to check whether or not an... |
| CVE-2017-13098 | BouncyCastle JCE TLS Bleichenbacher/ROBOT |
| CVE-2017-13099 | wolfSSL Bleichenbacher/ROBOT |
| CVE-2018-10919 | The Samba Active Directory LDAP server was vulnerable to an information disclosure flaw because of missing access control che... |
| CVE-2018-14597 | CA Technologies Identity Governance 12.6, 14.0, 14.1, and 14.2 and CA Identity Suite Virtual Appliance 14.0, 14.1, and 14.2 p... |
| CVE-2018-16868 | A Bleichenbacher type side-channel based padding oracle attack was found in the way gnutls handles verification of RSA decryp... |
| CVE-2018-16869 | A Bleichenbacher type side-channel based padding oracle attack was found in the way nettle handles endian conversion of RSA d... |
| CVE-2019-19338 | A flaw was found in the fix for CVE-2019-11135, in the Linux upstream kernel versions before 5.5 where, the way Intel CPUs ha... |
| CVE-2020-15151 | Observable Timing Discrepancy in OpenMage LTS |
| CVE-2020-15237 | Timing attack in Shrine |
| CVE-2020-1685 | Junos OS: EX4600, QFX5K Series: Stateless firewall filter matching 'user-vlan-id' will cause incomplete discard action |
| CVE-2020-26062 | Cisco Integrated Management Controller Username Enumeration Vulnerability |
| CVE-2020-3585 | Cisco Firepower 1000 Series Bleichenbacher Attack Vulnerability |
| CVE-2020-5143 | SonicOS SSLVPN login page allows a remote unauthenticated attacker to perform firewall management administrator username enum... |
| CVE-2021-1486 | Cisco SD-WAN vManage HTTP Authentication User Enumeration Vulnerability |
| CVE-2021-24651 | Poll Maker < 3.4.2 - Unauthenticated Time Based SQL Injection |
| CVE-2021-29443 | Padding Oracle Attack due to Observable Timing Discrepancy in jose |
| CVE-2021-29444 | Padding Oracle Attack due to Observable Timing Discrepancy in jose-browser-runtime |
| CVE-2021-29445 | Padding Oracle Attack due to Observable Timing Discrepancy in jose-node-esm-runtime |
| CVE-2021-29446 | Padding Oracle Attack due to Observable Timing Discrepancy in jose-node-cjs-runtime |
| CVE-2021-29621 | Observable Response Discrepancy in Flask-AppBuilder |
| CVE-2021-33845 | Username enumeration through lockout message in REST API |
| CVE-2021-34575 | Information Exposure in mymbCONNECT24, mbCONNECT24 <= 2.8.0 |
| CVE-2021-34576 | Observable discrepancy in Kaden PICOFLUX AiR leaks water consumption |
| CVE-2021-3642 | A flaw was found in Wildfly Elytron in versions prior to 1.10.14.Final, prior to 1.15.5.Final and prior to 1.16.1.Final where... |
| CVE-2021-38153 | Timing Attack Vulnerability for Apache Kafka Connect and Clients |
| CVE-2021-4286 | cocagne pysrp _ctsrp.py calculate_x information exposure |
| CVE-2021-45925 | Username Enumeration |
| CVE-2021-47664 | Enumeration of valid user names |
| CVE-2022-0569 | Observable Discrepancy in snipe/snipe-it |
| CVE-2022-0823 | An improper control of interaction frequency vulnerability in Zyxel GS1200 series switches could allow a local attacker to gu... |
| CVE-2022-20866 | Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software RSA Private Key Leak Vulnerability |
| CVE-2022-20940 | A vulnerability in the TLS handler of Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote at... |
| CVE-2022-22120 | NocoDB - Observable Discrepancy in the password-reset feature |
| CVE-2022-23643 | Side-channel attack in Sourcegraph Code Monitors |
| CVE-2022-24043 | A vulnerability has been identified in Desigo DXR2 (All versions < V01.21.142.5-22), Desigo PXC3 (All versions < V01.21.142.4... |
| CVE-2022-27221 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.1). An attacker in machine-in-the-midd... |
| CVE-2022-2891 | WP 2FA < 2.3.0 - Time-Based Side-Channel Attack |
| CVE-2022-29185 | Observable Timing Discrepancy in totp-rs |
| CVE-2022-36105 | User Enumeration via Response Timing in TYPO3 |
| CVE-2022-3907 | Clerk < 4.0.0 - Authentication Bypass and API Keys Disclosure |
| CVE-2022-39228 | Observable Response Discrepancy in vantage6 |
| CVE-2023-0440 | Observable Discrepancy in healthchecks/healthchecks |
| CVE-2023-22359 | User-enumeration in RestAPI |
| CVE-2023-3139 | Protect WP Admin < 4.0 - Unauthenticated Protection Bypass |
| CVE-2023-32691 | ginuerzh/gost vulnerable to Timing Attack |
| CVE-2023-32694 | Non-constant time HMAC comparison in Adyen plugin in Saleor |
| CVE-2023-33850 | IBM GSKit-Crypto information disclosure |
| CVE-2023-34344 | A vulnerability in the IPMI handler, where an unauthorized attacker can use certain oracles to guess a valid username |
| CVE-2023-3462 | Vault's LDAP Auth Method Allows for User Enumeration |
| CVE-2023-3529 | Rotem Dynamics Rotem CRM OTP URI Interface information exposure |
| CVE-2023-3604 | Change WP Admin < 1.1.4 - Secret Login Page Disclosure |
| CVE-2023-3640 | Kernel: x86/mm: a per-cpu entry area leak was identified through the init_cea_offsets function when prefetchnta and prefetcht... |
| CVE-2023-37482 | The login functionality of the web server in affected devices does not normalize the response times of login attempts. An una... |
| CVE-2023-3897 | Bypassing CAPTCHA & Enumerating Usernames via Password Reset Page |
| CVE-2023-39522 | Username enumeration attack in goauthentik |
| CVE-2023-40021 | Timing Attack Reveals CSRF Tokens in oppia |
| CVE-2023-43623 | A vulnerability has been identified in Mendix Forgot Password (Mendix 10 compatible) (All versions < V5.4.0), Mendix Forgot P... |
| CVE-2023-46739 | Timing attack can leak user passwords |
| CVE-2023-50708 | yii2-authclient vulnerable to possible timing attack on string comparison in OAuth1, OAuth2 and OpenID Connect implementation |
| CVE-2023-51437 | Apache Pulsar: Timing attack in SASL token signature verification |
| CVE-2023-5981 | Gnutls: timing side-channel in the rsa-psk authentication |
| CVE-2023-5992 | Opensc: side-channel leaks while stripping encryption pkcs#1 padding |
| CVE-2023-6240 | Kernel: marvin vulnerability side-channel leakage in the rsa decryption operation |
| CVE-2023-6935 | Marvin Attack vulnerability in SP Math All RSA |
| CVE-2024-0436 | Prevent timing attack for single-user password check |
| CVE-2024-0553 | Gnutls: incomplete fix for cve-2023-5981 |
| CVE-2024-0564 | Kernel: max page sharing of kernel samepage merging (ksm) may cause memory deduplication |
| CVE-2024-0914 | Opencryptoki: timing side-channel in handling of rsa pkcs#1 v1.5 padded ciphertexts (marvin) |
| CVE-2024-11084 | Potential Username Enumeration in Helix ALM |
| CVE-2024-12663 | funnyzpc Mee-Admin Login login observable response discrepancy |
| CVE-2024-13028 | Antabot White-Jotter login observable response discrepancy |
| CVE-2024-13198 | langhsu Mblog Blog System login observable response discrepancy |
| CVE-2024-1544 | ECDSA nonce bias caused by truncation |
| CVE-2024-23342 | python-ecdsa vulnerable to Minerva attack on P-256 |
| CVE-2024-23984 | Observable discrepancy in RAPL interface for some Intel(R) Processors may allow a privileged user to potentially enable infor... |
| CVE-2024-2464 | Application users enumeration in CDeX |
| CVE-2024-2467 | Perl-crypt-openssl-rsa: side-channel attack in pkcs#1 v1.5 padding mode (marvin attack) |
| CVE-2024-26268 | User enumeration vulnerability in Liferay Portal 7.2.0 through 7.4.3.26, and older unsupported versions, and Liferay DXP 7.4... |
| CVE-2024-28885 | Observable discrepancy in some Intel(R) QAT Engine for OpenSSL software before version v1.6.1 may allow information disclosur... |
| CVE-2024-30257 | 1Panel's password verification is suspected to have a timing attack vulnerability |
| CVE-2024-31878 | IBM i information disclosure |
| CVE-2024-3296 | Rust-openssl: timing based side-channel can lead to a bleichenbacher style attack |
| CVE-2024-41760 | IBM Common Cryptographic Architecture information disclosure |
| CVE-2024-41952 | Zitadel has an "Ignoring unknown usernames" vulnerability |
| CVE-2024-43546 | Windows Cryptographic Information Disclosure Vulnerability |
| CVE-2024-45089 | IBM Sterling B2B Integrator information disclosure |
| CVE-2024-47057 | User name enumeration possible due to response time difference on password reset form |
| CVE-2024-47869 | Non-constant-time comparison when comparing hashes in Gradio |
| CVE-2024-49358 | ZimaOS vulnerable to Username Enumeration via API Responses |
| CVE-2024-5124 | Timing Attack Vulnerability in gaizhenbiao/chuanhuchatgpt |
| CVE-2024-51477 | IBM InfoSphere Information Server information disclosure |
| CVE-2024-54002 | Dependency-Track allows enumeration of managed users via /api/v1/user/login endpoint |
| CVE-2024-6289 | WPS Hide Login < 1.9.16.4 - Hidden Login Page Disclosure |
| CVE-2024-6420 | Hide My WP Ghost < 5.2.02 - Hidden Login Page Disclosure |
| CVE-2024-7010 | Timing Attack in mudler/localai |
| CVE-2024-9513 | Netadmin Software NetAdmin IAM HTTP POST Request ReturnUserQuestionsFilled information exposure |
| CVE-2025-0361 | During an annual penetration test conducted on behalf of Axis Communications, Truesec discovered a flaw in the VAPIX Device C... |
| CVE-2025-11145 | User Enumeration in CBK Soft's enVision |
| CVE-2025-11443 | JhumanJ OpnForm Forgotten Password email information exposure |
| CVE-2025-1396 | Username Enumeration in Multiple WSO2 Products with Multi-Attribute Login Enabled |
| CVE-2025-1468 | CODESYS Control V3 - OPC UA Server Authentication bypass |
| CVE-2025-21336 | Windows Cryptographic Information Disclosure Vulnerability |
| CVE-2025-23182 | UBtech – CWE-203: Observable Discrepancy |
| CVE-2025-24391 | Possible user enumeration |
| CVE-2025-29780 | Post-Quantum Secure Feldman's Verifiable Secret Sharing has Timing Side-Channels in Matrix Operations |
| CVE-2025-31124 | Zitadel allows User Enumeration by loginname attribute normalization |
| CVE-2025-32789 | EspoCRM Allows Potential Disclosure of Sensitive Information in the User Sorting Function |
| CVE-2025-36225 | IBM Aspera Faspex information disclosure |
| CVE-2025-40732 | User enumeration vulnerability in Daily Expense Manager |
| CVE-2025-41252 | Username enumeration vulnerability |
| CVE-2025-4302 | Stop User Enumeration < 1.7.3 - Protection Bypass |
| CVE-2025-43739 | Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.6, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 t... |
| CVE-2025-43743 | Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.5, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 t... |
| CVE-2025-43751 | User enumeration vulnerability in Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2024.Q4.0 through 2024.Q4.7, 2024.Q... |
| CVE-2025-46720 | Keystone has an unintended `isFilterable` bypass that can be used as an oracle to match hidden fields |
| CVE-2025-46804 | Screen 5.0.0 and older versions allow file existence tests when installed setuid-root |
| CVE-2025-47872 | EG4 Electronics EG4 Inverters Observable Discrepancy |
| CVE-2025-52576 | Kanboard vulnerable to Username Enumeration via Login Behavior and Bruteforce Protection Bypass |
| CVE-2025-54477 | Joomla! Core - [20250902] User-Enumeration in passkey authentication method |
| CVE-2025-54999 | OpenBao: Timing Side-Channel in Userpass Auth Method |
| CVE-2025-57770 | ZITADEL user enumeration vulnerability in login UI |
| CVE-2025-6011 | Timing Side-Channel in Vault’s Userpass Auth Method |
| CVE-2025-6056 | Timing difference in password reset in Ergon Informatik AG's Airlock IAM 7.7.9, 8.0.8, 8.1.7, 8.2.4 and 8.3.1 allows unauthen... |
| CVE-2025-6386 | Timing Attack Vulnerability in parisneo/lollms |
| CVE-2025-64749 | Directus Vulnerable to Information Leakage in Existing Collections |
| CVE-2025-8774 | riscv-boom SonicBOOM L1 Data Cache timing discrepancy |
| CVE-2025-9031 | Timing-Based Username Enumeration in DivvyDrive Information Technologies' DivvyDrive Web |
| CVE-2025-9109 | Portabilis i-Diario Password Recovery Endpoint email observable response discrepancy |
| CVE-2026-21484 | AnythingLLM Vulnerable to Username Enumeration w/ Password Recovery |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20240216-94 | 16.02.2024 | Обход безопасности в Apache Pulsar |
| VULN:20240318-20 | 18.03.2024 | Получение конфиденциальной информации в Juniper Secure Analytics (JSA) |
| VULN:20250409-34 | 09.04.2025 | Получение конфиденциальной информации в Draytek routers |
| VULN:20250409-6 | 09.04.2025 | Получение конфиденциальной информации в Dell VxRail Appliance |
| VULN:20250602-6 | 02.06.2025 | Получение конфиденциальной информации в Dell PowerStoreT OS |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.