Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-204
Observable Response Discrepancy
The product provides different responses to incoming requests in a way that reveals internal state information to an unauthorized actor outside of the intended control sphere.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2022-00534 | Уязвимость веб-интерфейса управления средства обмена сообщениями Cisco Enterprise Chat and Email, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-06728 | Уязвимость микропрограммного обеспечения промышленных LTE-модемов серии Moxa OnCell G3150A-LTE, OnCell G3470A-LTE и WDR-3124A и микропрограммного обеспечения беспроводных точек доступа для промышленных систем Moxa AWK-3131A, AWK-4131A, AWK-1131A и AW... |
| BDU:2023-03554 | Уязвимость микропрограммного обеспечения маршрутизаторов Moxa серии TN-5900, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-07557 | Уязвимость системы управления контентом Ghost, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю раскрыть конфиденциальную информацию |
| BDU:2024-05269 | Уязвимость реализации стандарта Security Assertion Markup Language (SAML) платформы для операционного анализа Splunk Enterprise, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-06319 | Уязвимость метода ProfileBasedRequestOptionsBuilder библиотеки аутентификации в веб-приложениях webauthn-lib, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-08869 | Уязвимость сервиса для управления проектами YouGile, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-09383 | Уязвимость базового механизма аутентификации (Basic Authentication Mechanism) среды выполнения Mendix Runtime, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11666 | Уязвимость программного обеспечения аналитики показателей эффективности колл-центра Loway QueueMetrics, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01131 | Уязвимость SCADA-системы Пульт.онлайн, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01202 | Уязвимость системы мониторинга и управления процессами передачи файлов IBM Control Center, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01364 | Уязвимость файлового шлюза IBM Sterling File Gateway, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02351 | Уязвимость программной интеграционной платформы SAP NetWeaver Application Server ABAP, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02950 | Уязвимость системы автоматизации IT-процессов SimpleOne ITSM, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-04275 | Уязвимость среды выполнения Mendix Runtime, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-05287 | Уязвимость системы управления содержимым сайта PARTS SOFT СMS, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю раскрыть идентификатор пользователя |
| BDU:2025-06206 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06647 | Уязвимость программного средства управления жизненным циклом разработки Polarion ALM (Application Lifecycle Management), связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю получить несанкционированный доступ к защищаемой... |
| BDU:2025-08228 | Уязвимость приложения Device Admin App операционной системы ctrlX OS, позволяющая нарушителю подобрать имена учетных записей пользователей |
| BDU:2025-08810 | Уязвимость графического интерфейса программного средства для согласования работы (оркестровки) систем кибербезопасности и для управления реагирования на инциденты в режиме реального времени Fortinet FortiSOAR, позволяющая нарушителю получить несанкци... |
| BDU:2025-09071 | Уязвимость системы управления доступом IBM Security Verify Access и программного средства защиты доступа к приложениям в среде Docker IBM Security Verify Access Docker, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю п... |
| BDU:2025-11717 | Уязвимость микропрограммного обеспечения промышленного цифрового газоанализатора MEAC300-FNADE4, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13177 | Уязвимость программного обеспечения для централизованного управления беспроводными сетями D-Link Nuclias Connect, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-13178 | Уязвимость программного обеспечения для централизованного управления беспроводными сетями D-Link Nuclias Connect, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2026-00590 | Уязвимость платформы Solar appScreener, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю проводить получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00674 | Уязвимость пользовательского интерфейса авторизации программной платформы для управления идентификационными данными ZITADEL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00760 | Уязвимость промышленных систем удаленного доступа mymbCONNECT24 и mbCONNECT24, VPN-портала myREX24 и виртуального сервера myREX24.virtual, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2026-01772 | Уязвимость программного обеспечения Gridscale X Prepay, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю провести атаку методом перебора |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2016-9499 | The Accellion FTP server prior to version FTA_9_12_220 is vulnerable to cross-site scripting. |
| CVE-2020-11063 | Observable Response Discrepancy in TYPO3 CMS |
| CVE-2021-20049 | A vulnerability in SonicWall SMA100 password change API allows a remote unauthenticated attacker to perform SMA100 username e... |
| CVE-2021-20556 | IBM Cognos Controller information disclosure |
| CVE-2021-34580 | Remote user enumeration in mymbCONNECT24, mbCONNECT24 <= 2.9.0 |
| CVE-2021-36201 | CCURE Observable Response Discrepancy |
| CVE-2021-38476 | InHand Networks IR615 Router |
| CVE-2021-39189 | Observable Response Discrepancy in Lost Password Service |
| CVE-2022-0564 | Qlik Sense Enterprise Domain User enumeration |
| CVE-2022-1989 | CODESYS Visualization vulnerable to user enumeration |
| CVE-2022-20633 | Cisco Enterprise Chat and Email Username Enumeration Vulnerability |
| CVE-2022-22520 | User enumeration vulnerability in MB connect line and Helmholz products |
| CVE-2022-31248 | SUMA user enumeration via weak error message |
| CVE-2022-39228 | Observable Response Discrepancy in vantage6 |
| CVE-2022-39315 | Kirby CMS vulnerable to user enumeration in the brute force protection |
| CVE-2022-41697 | A user enumeration vulnerability exists in the login functionality of Ghost Foundation Ghost 5.9.4. A specially-crafted HTTP... |
| CVE-2023-1540 | Observable Response Discrepancy in answerdev/answer |
| CVE-2023-23449 | Observable Response Discrepancy in SICK FTMg AIR FLOW SENSOR with Partnumbers 1100214, 1100215, 1100216, 1120114, 1120116, 1... |
| CVE-2023-23584 | An observable response discrepancy in the Gallagher Command Centre RESTAPI allows an insufficiently-privileged user to infer... |
| CVE-2023-27283 | IBM Aspera Orchestrator information disclosure |
| CVE-2023-27464 | A vulnerability has been identified in Mendix Forgot Password (Mendix 7 compatible) (All versions < V3.7.1), Mendix Forgot Pa... |
| CVE-2023-28412 | When supplied with a random MAC address, Snap One OvrC cloud servers will return information about the device. The M... |
| CVE-2023-31186 | Avaya IX Workforce Engagement - User Enumeration - CWE-204: Observable Response Discrepancy |
| CVE-2023-3221 | User enumeration vulnerability in Roundcube Password Recovery Plugin |
| CVE-2023-32346 | Teltonika’s Remote Management System versions prior to 4.10.0 contain a function that allows users to claim their devices. T... |
| CVE-2023-3336 | TN-5900 Series User Enumeration Vulnerability |
| CVE-2023-33859 | IBM Security ReaQta information disclosure |
| CVE-2023-35698 | Observable Response Discrepancy in the SICK ICR890-4 could allow a remote attacker to identify valid usernames for the FTP s... |
| CVE-2023-37217 | Tadiran Telecom Aeonix - CWE-204: Observable Response Discrepancy |
| CVE-2023-37413 | IBM Aspera Faspex information disclosure |
| CVE-2023-38362 | IBM CICS TX information disclosure |
| CVE-2023-39343 | Sulu Observable Response Discrepancy on Admin Login |
| CVE-2023-40179 | Silverware Games vulnerable to account enumeration via inconsistent responses |
| CVE-2023-4095 | User enumeration vulnerability in Fujitsu Arconte Áurea |
| CVE-2023-41885 | Piccolo's current `BaseUser.login` implementation is vulnerable to time based user enumeration |
| CVE-2023-46170 | IBM DS8900F information disclosure |
| CVE-2023-47159 | IBM Sterling File Gateway information disclosure |
| CVE-2023-49069 | A vulnerability has been identified in Mendix Runtime V10 (All versions < V10.17.0 only if the basic authentication mechanism... |
| CVE-2023-50306 | IBM Common Licensing information disclosure |
| CVE-2024-1145 | Observable Response Discrepancy at Alma Devklan Blog |
| CVE-2024-12663 | funnyzpc Mee-Admin Login login observable response discrepancy |
| CVE-2024-13028 | Antabot White-Jotter login observable response discrepancy |
| CVE-2024-13198 | langhsu Mblog Blog System login observable response discrepancy |
| CVE-2024-24766 | CasaOS Username Enumeration |
| CVE-2024-2482 | Surya2Developer Hostel Management Service HTTP POST Request check_availability.php observable response discrepancy |
| CVE-2024-25146 | Liferay Portal 7.2.0 through 7.4.1, and older unsupported versions, and Liferay DXP 7.3 before service pack 3, 7.2 before fix... |
| CVE-2024-28232 | Username Enumeration in CasaOS via bypass of CVE-2024-24766 |
| CVE-2024-28868 | Umbraco possible user enumeration vulnerability |
| CVE-2024-31870 | IBM i information disclosure |
| CVE-2024-35114 | IBM Control Center information disclosure |
| CVE-2024-36510 | An observable response discrepancy vulnerability [CWE-204] in FortiClientEMS 7.4.0, 7.2.0 through 7.2.4, 7.0 all versions, an... |
| CVE-2024-36996 | Information Disclosure of user names |
| CVE-2024-38322 | IBM Storage Defender information disclosure |
| CVE-2024-38431 | Matrix Tafnit v8 - CWE-204: Observable Response Discrepancy |
| CVE-2024-39912 | Enumeration of valid usernames in web-auth/webauthn-lib |
| CVE-2024-40627 | OpaMiddleware does not filter HTTP OPTIONS requests |
| CVE-2024-41715 | goTenna Pro ATAK Plugin Observable Response Discrepancy |
| CVE-2024-42174 | HCL MyXalytics is affected by username enumeration vulnerability |
| CVE-2024-42343 | Loway - CWE-204: Observable Response Discrepancy |
| CVE-2024-47129 | Observable Response Discrepancy in goTenna Pro |
| CVE-2024-51447 | A vulnerability has been identified in Polarion V2310 (All versions), Polarion V2404 (All versions < V2404.2). The login impl... |
| CVE-2024-56476 | IBM TXSeries for Multiplatforms information disclosure |
| CVE-2024-6056 | nasirkhan Laravel Starter Password Reset forgot-password observable response discrepancy |
| CVE-2024-8651 | Netcat CMS: user enumeration |
| CVE-2025-0163 | IBM Security Verify Access information disclosure |
| CVE-2025-0693 | Issue with AWS Sign-in IAM User Login Flow - Possible Username Enumeration |
| CVE-2025-1101 | A CWE-204 "Observable Response Discrepancy" in the login page in Q-Free MaxTime less than or equal to version 2.11.0 allows a... |
| CVE-2025-23193 | Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP |
| CVE-2025-23214 | Cosmos userbase checking vulnerability |
| CVE-2025-24023 | Observable Response Discrepancy in flask-appbuilder |
| CVE-2025-24980 | User enumeration in pimcore/admin-ui-classic-bundle |
| CVE-2025-25236 | Omnissa Workspace ONE UEM contains an observable response discrepancy vulnerability. A malicious actor may be able to enumera... |
| CVE-2025-27451 | CVE-2025-27451 |
| CVE-2025-2910 | User enumeration vulnerability in MeetMe products |
| CVE-2025-30150 | Shopware 6 allows attackers to check for registered accounts through the store-api |
| CVE-2025-30280 | A vulnerability has been identified in Mendix Runtime V10 (All versions < V10.21.0), Mendix Runtime V10.12 (All versions < V1... |
| CVE-2025-3092 | MB connect line: Observable response discrepancy in mbCONNECT24/mymbCONNECT24 |
| CVE-2025-31124 | Zitadel allows User Enumeration by loginname attribute normalization |
| CVE-2025-34155 | Tibbo AggreGate Network Manager < 6.40.05 Login Functionality User Enumeration |
| CVE-2025-34254 | D-Link Nuclias Connect <= v1.3.1.4 Login Account Enumeration |
| CVE-2025-34255 | D-Link Nuclias Connect <= v1.3.1.4 Forgot Password Account Enumeration |
| CVE-2025-3939 | Observable Response Discrepancy |
| CVE-2025-42903 | User Enumeration and Sensitive Data Exposure via RFC Function in SAP Financial Service Claims Management |
| CVE-2025-46390 | CWE-204: Observable Response Discrepancy |
| CVE-2025-46736 | Umbraco Makes User Enumeration Feasible Based on Timing of Login Response |
| CVE-2025-48015 | Observable Response Discrepancy |
| CVE-2025-49187 | User enumeration |
| CVE-2025-52899 | Tuleap vulnerable to user enumeration via the lost password form |
| CVE-2025-54129 | HAXiam allows for User Enumeration |
| CVE-2025-54834 | OPEXUS FOIAXpress Public Access Link (PAL) unauthenticated username enumeration |
| CVE-2025-5485 | SinoTrack GPS Receiver Weak Authentication |
| CVE-2025-58442 | Saleor has user enumeration vulnerability due to different error messages |
| CVE-2025-58586 | User Enumeration by excessive error output |
| CVE-2025-59116 | User enumeration in Windu CMS |
| CVE-2025-61789 | Icinga DB Web hidden/protected custom variables are prone to filter enumeration |
| CVE-2025-61907 | Icinga 2 API users could access restricted values in filter expressions |
| CVE-2025-62181 | Pega Platform versions 7.1.0 through Infinity 25.1.0 are affected by a User Enumeration where during user authentication proc... |
| CVE-2025-62236 | Frontier Airlines publicly available email address validation |
| CVE-2025-66307 | Grav Admin Plugin vulnerable to User Enumeration & Email Disclosure |
| CVE-2025-67500 | Mastodon Error Handling Discrepancy Enables Private Status Existence Enumeration |
| CVE-2025-67874 | ChurchCRM has plaintext password return in response |
| CVE-2025-69243 | User enumeration in Raytha CMS |
| CVE-2025-69413 | In Gitea before 1.25.2, /api/v1/user has different responses for failed authentication depending on whether a username exists... |
| CVE-2025-9109 | Portabilis i-Diario Password Recovery Endpoint email observable response discrepancy |
| CVE-2025-9824 | User Enumeration via Response Timing |
| CVE-2026-21484 | AnythingLLM Vulnerable to Username Enumeration w/ Password Recovery |
| CVE-2026-23511 | ZITADEL has a user enumeration vulnerability in Login UIs |
| CVE-2026-24097 | Authenticated Host Enumeration via Observable Response Discrepancy on Agent Register Existing Endpoint |
| CVE-2026-24332 | Discord through 2026-01-16 allows gathering information about whether a user's client state is Invisible (and not actually of... |
| CVE-2026-24664 | Open eClass is Vulnerable to Username Enumeration via Login Response Discrepancies |
| CVE-2026-25138 | Rucio WebUI has Username Enumeration via Login Error Message |
| CVE-2026-25509 | CI4MS Vulnerable to User Email Enumeration via Password Reset Flow |
| CVE-2026-27480 | Static Web Server: Timing-Based Username Enumeration in Basic Authentication |
| CVE-2026-28288 | Dify has a user enumeration issue |
| CVE-2026-28358 | NocoDB: User Enumeration via Password Reset Endpoint |
| CVE-2026-2859 | Unauthenticated Host Enumeration via Observable Response Discrepancy on Deploy Agent Endpoint |
| CVE-2026-31888 | Shopware has user enumeration via distinct error codes on Store API login endpoint |
| CVE-2026-31901 | Parse Server has user enumeration via email verification endpoint |
| CVE-2026-4045 | projectsend Auth.php response discrepancy |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.