Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-209
Generation of Error Message Containing Sensitive Information
The product generates an error message that includes sensitive information about its environment, users, or associated data.
| Тип уязвимости: | Не зависит от других уязвимостей |
| Вероятность эксплойта: |
High
|
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2017-01826 | Уязвимость средства автономного конфигурирования системы визуализации и управления "умным домом" U.motion Builder, вызванная недостатками разграничения доступа и раскрытием информации в сообщениях об ошибках и позволяющая нарушителю читать произвольн... |
| BDU:2019-01722 | Уязвимость компонента "Центр управления безопасностью" средства антивирусной защиты Dr.Web Enterprise Security Suite, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2019-04281 | Уязвимость компонента DefaultServlet HTTP-сервера Jetty, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00171 | Уязвимость операционной систем QES, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02840 | Уязвимость средства защиты информации IBM Security Guardium, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02954 | Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03127 | Уязвимость программного обеспечения Vue RIS, связанная с утечкой информации в сообщениях об ошибке, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03396 | Уязвимость пакетного менеджера PackageKit, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-05269 | Уязвимость справок redirect_to и polymorphic_url компонента Action Pack программной платформы Ruby on Rails, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-05471 | Уязвимость веб-интерфейса панели управления облачного сервиса безопасности Cisco Umbrella, позволяющая нарушителю получить адреса электронной почты пользователей системы |
| BDU:2021-05849 | Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения маршрутизаторов Cisco SD-WAN, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-00615 | Уязвимость интерфейса командной строки (CLI) операционных систем Juniper Networks Junos OS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01866 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02827 | Уязвимость программного средства RESTEasy, связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-02939 | Уязвимость плагина jwt-auth облачного API-шлюза Apache APISIX, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-05935 | Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-06938 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-01974 | Уязвимость функций stack_protect_prologue и stack_protect_epilogue набора компиляторов для различных языков программирования GNU Compiler Collection (GCC), позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность за... |
| BDU:2023-01989 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-01990 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02270 | Уязвимость СУБД SpiceDB, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-05775 | Уязвимость программного обеспечения управления качеством для производителей автомобилей QMS Automotive, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-05829 | Уязвимость программного средства обмена информацией и событиями между компонентами системы аутентификации и авторизации IBM Security Verify Information Queue, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю... |
| BDU:2023-05830 | Уязвимость программного средства обмена информацией и событиями между компонентами системы аутентификации и авторизации IBM Security Verify Information Queue, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю... |
| BDU:2023-06619 | Уязвимость системы управления ресурсами предприятия SAP Business One, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и реализовать XXE-атаки |
| BDU:2023-07543 | Уязвимость системы управления контентом Microweber, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-08582 | Уязвимость реализации прикладного программного интерфейса программного средства интерактивного анализа данных, визуализации и создания документов Jupyter Server, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-00672 | Уязвимость сервера приложений Apache Tomcat, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-00677 | Уязвимость компонента Device Manager Agent системы управления хранилищем Hitachi Device Manager, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-00901 | Уязвимость интерфейса J-Web операционных систем Juniper Networks Junos OS, связанная с отсутствием аутентификации для критичной функции и недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить доступ к конфиденциально... |
| BDU:2024-00931 | Уязвимость SCADA-системы Rapid SCADA, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-01577 | Уязвимость реализации метода createRegister программного обеспечения планирования ресурсов предприятия Apache OFBiz, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-02600 | Уязвимость источника данных Google Sheets платформы для мониторинга и наблюдения Grafana, связанная с генерацией сообщений об ошибке, содержащих конфиденциальную информацию, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-02616 | Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с раскрытием конфиденциальной информации несанкционированному субъекту, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-04379 | Уязвимость сервера системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05337 | Уязвимость программной платформы интеграции данных IBM InfoSphere Information Server, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05348 | Уязвимость программной платформы интеграции данных IBM InfoSphere Information Server, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05620 | Уязвимость веб-клиента IBM Datacap Navigator программного обеспечения для сбора и обработки документов IBM Datacap, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищ... |
| BDU:2024-05688 | Уязвимость программного средства IBM Sterling Partner Engagement Manager, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05985 | Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-06959 | Уязвимость модуля ansible-connection системы управления конфигурациями Ansible Core, Ansible, Ansible Base, связанная с раскрытием информации в сообщениях об ошибках, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-07045 | Уязвимость платформ мониторинга событий, обнаружения угроз, аналитики безопасности IBM QRadar Suite и IBM Cloud Pak for Security, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный... |
| BDU:2024-08762 | Уязвимость сценария password_change.cgi веб-интерфейса для unix-подобных систем Usermin, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-10264 | Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00243 | Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкцион... |
| BDU:2025-00249 | Уязвимость класса CookieSigner фреймворка Apache Spark и СУБД Apache Hive, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00252 | Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкцион... |
| BDU:2025-00467 | Уязвимость программных интеграционных платформ SAP NetWeaver Application Server ABAP и ABAP Platform, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00553 | Уязвимость инструмента автоматизации на основе искусственного интеллекта IBM Concert Software, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00737 | Уязвимость программного обеспечения визуализации данных Apache Superset, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00795 | Уязвимость компонента spi ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01199 | Уязвимость программного обеспечения для развертывания и управления облачной корпоративной системой на основе контейнеров IBM Cloud Pak System, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01200 | Уязвимость программного обеспечения для развертывания и управления облачной корпоративной системой на основе контейнеров IBM Cloud Pak System, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01201 | Уязвимость программного обеспечения для развертывания и управления облачной корпоративной системой на основе контейнеров IBM Cloud Pak System, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01205 | Уязвимость системы мониторинга и управления процессами передачи файлов IBM Control Center, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-01207 | Уязвимость программного обеспечения для получения доступа к инструментам аналитики и планирования IBM Analytics Content Hub, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить доступ к конфиденциальной... |
| BDU:2025-01568 | Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкцион... |
| BDU:2025-02902 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/CE, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-03542 | Уязвимость модуля интеграции агента в облако Cloud Profile системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-03624 | Уязвимость платформы бизнес-аналитики SAP BusinessObjects Business Intelligence Platform, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-04559 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05025 | Уязвимость панели управления платформы аналитики и автоматизации работы с многооблачными сетями дата-центров Cisco Nexus Dashboard, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05328 | Уязвимость программного обеспечения для интеграции старых и новых технологий IBM EntireX, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06320 | Уязвимость платформы для обеспечения безопасности данных IBM Guardium Data Protection, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06855 | Уязвимость программной платформы интеграции данных IBM InfoSphere Information Server, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06973 | Уязвимость плагина KVv2 платформ для архивирования корпоративной информации Vault Community Edition и Vault Enterprise, позволяющая нарушителю получить несанкциоинрованный доступ к защищаемой информации |
| BDU:2025-07194 | Уязвимость системы управления доступом IBM Verify Identity Access Digital Credentials, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07766 | Уязвимость платформы безопасной разработки программного обеспечения CodeScoring, связанная с возможностью раскрытия чувствительной информации в сообщениях об ошибках, позволяющая привилегированному пользователю раскрыть защищаемую информацию |
| BDU:2025-08716 | Уязвимость FTP-сервера Wing, связанная с некорректной проверкой значения сеансового cookie-файла UID, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-08869 | Уязвимость программного обеспечения для получения доступа к инструментам аналитики и планирования IBM Analytics Content Hub, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить доступ к конфиденциальной... |
| BDU:2025-08872 | Уязвимость программного обеспечения для получения доступа к инструментам аналитики и планирования IBM Analytics Content Hub, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-09401 | Уязвимость программной платформы для веб-приложений Django, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-09745 | Уязвимость программного обеспечения для развертывания и выполнения моделей искусственного интеллекта NVIDIA Triton Inference Server (ранее TensorRT Inference Server), связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нар... |
| BDU:2025-09940 | Уязвимость механизма обработки файлов cookie веб-браузера Google Chrome, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю похитить cookie-файлы |
| BDU:2025-11003 | Уязвимость ядра операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11683 | Уязвимость функции writeContent() модуля RemotePrintDocument.java операционных систем Android, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11755 | Уязвимость программного средства RESTEasy, связанная с генерацией сообщений об ошибке, содержащего конфиденциальную информацию, позволяющая нарушителю раскрыть конфиденциальную информацию |
| BDU:2025-12587 | Уязвимость библиотеки jackson-core проекта FasterXML, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-13226 | Уязвимость конфигурации email_err_data on прокси-сервера Squid, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14048 | Уязвимость драйвера USB Video Driver операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-14375 | Уязвимость функции xtensa_stack() модуля sound/soc/sof/xtensa/core.c ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15849 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-16402 | Уязвимость функции pps_register_cdev() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-00297 | Уязвимость библиотеки crypto++ языка программирования C++, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2026-00424 | Уязвимость ядра операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2026-00965 | Уязвимость прикладного программного интерфейса платформы виртуализации zVirt, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-01024 | Уязвимость библиотеки клиентских инструментов для платформы мониторинга sentry-sdk, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-01899 | Уязвимость SCADA-системы FAST/TOOLS, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2026-02094 | Уязвимость инструмента для автоматической синхронизации приложения с банком Gocardless, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2015-10012 | sumocoders FrameworkUserBundle login.html.twig information exposure |
| CVE-2016-9459 | Nextcloud Server before 9.0.52 & ownCloud Server before 9.0.4 are vulnerable to a log pollution vulnerability potentially lea... |
| CVE-2017-0885 | Nextcloud Server before 9.0.55 and 10.0.2 suffers from a error message disclosing existence of file in write-only share. Due... |
| CVE-2017-2594 | hawtio before versions 2.0-beta-1, 2.0-beta-2 2.0-m1, 2.0-m2, 2.0-m3, and 1.5 is vulnerable to a path traversal that leads to... |
| CVE-2017-2659 | It was found that dropbear before version 2013.59 with GSSAPI leaks whether given username is valid or invalid. When an inval... |
| CVE-2017-7551 | 389-ds-base version before 1.3.5.19 and 1.3.6.7 are vulnerable to password brute-force attacks during account lockout due to... |
| CVE-2018-10624 | Johnson Controls Metasys and BCPro Generation of Error Message Containing Sensitive Information |
| CVE-2018-1073 | The web console login form in ovirt-engine before version 4.2.3 returned different errors for non-existent users and invalid... |
| CVE-2018-10913 | An information disclosure vulnerability was discovered in glusterfs server. An attacker could issue a xattr request via glust... |
| CVE-2018-12536 | In Eclipse Jetty Server, all 9.x versions, on webapps deployed using default Error Handling, when an intentionally bad query... |
| CVE-2018-14623 | A SQL injection flaw was found in katello's errata-related API. An authenticated remote attacker can craft input data to forc... |
| CVE-2018-17891 | Carestream Vue RIS, RIS Client Builds: Version 11.2 and prior running on a Windows 8.1 machine with IIS/7.5. When contacting... |
| CVE-2018-19947 | The vulnerability have been reported to affect earlier versions of Helpdesk. If exploited, this information exposure vulnerab... |
| CVE-2019-11252 | Credential leakage when failing to mount |
| CVE-2019-16768 | Internal exception message exposure for login action in Sylius |
| CVE-2019-19342 | A flaw was found in Ansible Tower, versions 3.6.x before 3.6.2 and 3.5.x before 3.5.4, when /websocket is requested and the p... |
| CVE-2019-3756 | RSA Archer, versions prior to 6.6 P3 (6.6.0.3), contain an information disclosure vulnerability. Information relating to the... |
| CVE-2019-5483 | Seneca < 3.9.0 contains a vulnerability that could lead to exposing environment variables to unauthorized users. |
| CVE-2019-7612 | A sensitive data disclosure flaw was found in the way Logstash versions before 5.6.15 and 6.6.1 logs malformed URLs. If a mal... |
| CVE-2020-14337 | A data exposure flaw was found in Tower, where sensitive data was revealed from the HTTP return error codes. This flaw allows... |
| CVE-2020-15125 | Authorization header is not sanitized in an error object in auth0 |
| CVE-2020-15132 | Reset Password / Login vulnerability in Sulu |
| CVE-2020-15219 | SQL query displayed on portal error |
| CVE-2020-16121 | PackageKit error messages leak presence and mimetype of files to unprivileged users |
| CVE-2020-16128 | Aptdaemon error messages disclosed file existence to unprivileged users via dbus properties |
| CVE-2020-1717 | A flaw was found in Keycloak 7.0.1. A logged in user can do an account email enumeration attack. |
| CVE-2020-2505 | Sensitive information via generation of error messages vulnerability in QES |
| CVE-2020-25633 | A flaw was found in RESTEasy client in all versions of RESTEasy up to 4.5.6.Final. It may allow client users to obtain the se... |
| CVE-2020-25640 | A flaw was discovered in WildFly before 21.0.0.Final where, Resource adapter logs plain text JMS password at warning level on... |
| CVE-2020-4868 | IBM TRIRIGA information disclosure |
| CVE-2020-5026 | IBM Financial Transaction Manager for Digital Payments for Multi-Platform 3.2.0 through 3.2.7 could allow a remote attacker t... |
| CVE-2020-5274 | Exceptions displayed in non-debug configurations in Symfony |
| CVE-2020-8213 | An information exposure vulnerability exists in UniFi Protect before v1.13.4-beta.5 that allowed unauthenticated attackers ac... |
| CVE-2021-1546 | Cisco SD-WAN Software Information Disclosure Vulnerability |
| CVE-2021-20289 | A flaw was found in RESTEasy in all versions of RESTEasy up to 4.6.0.Final. The endpoint class and method names are returned... |
| CVE-2021-20455 | IBM Cognos Controller information disclosure |
| CVE-2021-21416 | Potential sensitive information disclosed in error reports |
| CVE-2021-22885 | A possible information disclosure / unintended method execution vulnerability in Action Pack >= 2.0.0 when using the `redirec... |
| CVE-2021-25958 | Generation of Error Message Containing Sensitive Information in Apache OFBiz |
| CVE-2021-26726 | Remote code execution in Valmet DNA before Collection 2021 |
| CVE-2021-27774 | An injection vulnerability affects HCL Digital Experience |
| CVE-2021-30357 | SSL Network Extender Client for Linux before build 800008302 reveals part of the contents of the configuration file supplied,... |
| CVE-2021-31339 | A vulnerability has been identified in Mendix Excel Importer Module (All versions < V9.0.3). Uploading a manipulated XML File... |
| CVE-2021-31341 | Uploading a table mapping using a manipulated XML file results in an exception that could expose information about the applic... |
| CVE-2021-32734 | File path disclosure of shared files in Nextcloud Text application |
| CVE-2021-32766 | Nextcloud Text app can disclose existence of folders in "File Drop" link share |
| CVE-2021-32775 | Any user can see any fields (including mailbox password) with GroupBy Dashlet |
| CVE-2021-32937 | MDT AutoSave Generation of Error Message Containing Sensitive Information |
| CVE-2021-33711 | A vulnerability has been identified in Teamcenter Active Workspace V4 (All versions < V4.3.9), Teamcenter Active Workspace V5... |
| CVE-2021-3393 | An information leak was discovered in postgresql in versions before 13.2, before 12.6 and before 11.11. A user having UPDATE... |
| CVE-2021-35251 | Sensitive Data Disclosure Vulnerability |
| CVE-2021-3620 | A flaw was found in Ansible Engine's ansible-connection module, where sensitive information such as the Ansible user credenti... |
| CVE-2021-3986 | Information Disclosure in janeczku/calibre-web |
| CVE-2021-4177 | Generation of Error Message Containing Sensitive Information in livehelperchat/livehelperchat |
| CVE-2022-0079 | Generation of Error Message Containing Sensitive Information in star7th/showdoc |
| CVE-2022-0083 | Generation of Error Message Containing Sensitive Information in livehelperchat/livehelperchat |
| CVE-2022-0504 | Generation of Error Message Containing Sensitive Information in microweber/microweber |
| CVE-2022-0563 | A flaw was found in the util-linux chfn and chsh utilities when compiled with Readline support. The Readline library uses an... |
| CVE-2022-0622 | Generation of Error Message Containing Sensitive Information in snipe/snipe-it |
| CVE-2022-0660 | Generation of Error Message Containing Sensitive Information in microweber/microweber |
| CVE-2022-2062 | Generation of Error Message Containing Sensitive Information in nocodb/nocodb |
| CVE-2022-22162 | Junos OS: A low privileged user can elevate their privileges to the ones of the highest privileged j-web user logged in |
| CVE-2022-22363 | IBM Cognos Controller information disclosure |
| CVE-2022-22449 | IBM Security Verify Governance, Identity Manager information disclosure |
| CVE-2022-29266 | apisix/jwt-auth may leak secrets in error response |
| CVE-2022-31023 | Dev error stack trace leaking into prod in Play Framework |
| CVE-2022-31124 | Possible leak of key's raw field if declared length is incorrect in openssh_key_parser |
| CVE-2022-31140 | Valinor error messages leading to potential data exfiltration |
| CVE-2022-31189 | "Internal System Error" page in DSpace JSPUI prints exceptions and stack traces without sanitization |
| CVE-2022-31229 | Dell PowerScale OneFS, 8.2.x through 9.3.0.x, contain an error message with sensitive information. An administrator could pot... |
| CVE-2022-32756 | IBM Security Verify Directory information disclosure |
| CVE-2022-33930 | Dell Wyse Management Suite 3.6.1 and below contains Information Disclosure in Devices error pages. An attacker could potentia... |
| CVE-2022-34881 | Information Exposure Vulnerability in JP1/Automatic Operation |
| CVE-2022-34882 | Information Exposure Vulnerability in RAID Manager Storage Replication Adapter |
| CVE-2022-35640 | IBM Sterling Partner Engagement Manager information disclosure |
| CVE-2022-38107 | Sensitive Data Disclosure Vulnerability |
| CVE-2022-39304 | ghinstallation returns app JWT in error responses |
| CVE-2022-40292 | Unauthenticated username enumeration in PHP Point of Sale version 19.0, by PHP Point of Sale, LLC. |
| CVE-2022-43891 | IBM Security Verify Privilege information disclosure |
| CVE-2022-46675 | Wyse Management Suite Repository 3.8 and below contain an information disclosure vulnerability. A unauthenticated attacker c... |
| CVE-2022-4769 | Hitachi Vantara Pentaho Business Analytics Server - Generation of Error Message Containing Sensitive Information |
| CVE-2022-4770 | Hitachi Vantara Pentaho Business Analytics Server - Generation of Error Message Containing Sensitive Information |
| CVE-2023-0655 | SonicWall Email Security contains a vulnerability that could permit a remote unauthenticated attacker access to an error page... |
| CVE-2023-0833 | Red hat a-mq streams: component version with information disclosure flaw |
| CVE-2023-1210 | Generation of Error Message Containing Sensitive Information in GitLab |
| CVE-2023-23474 | IBM Cognos Controller information disclosure |
| CVE-2023-25687 | IBM Security Key Lifecycle Manager information disclosure |
| CVE-2023-25695 | Information disclosure in Apache Airflow |
| CVE-2023-25956 | Apache Airflow AWS Provider: Arbitrary file read via AWS provider |
| CVE-2023-26051 | Saleor is vulnerable to staff-authenticated error message information disclosure vulnerability via Python exceptions |
| CVE-2023-26052 | Saleor is vulnerable to unauthenticated information disclosure via Python exceptions |
| CVE-2023-26272 | IBM Security Guardium Data Encryption information disclosure |
| CVE-2023-27319 | CVE-2023-27319 Information Disclosure Vulnerability in ONTAP Mediator |
| CVE-2023-27587 | ReadtoMyShoe, a web app that lets users upload articles and listen to them later, generates an error message containing sensi... |
| CVE-2023-27860 | IBM Maximo Asset Management information disclosure |
| CVE-2023-28117 | Sentry SDK leaks sensitive session information when `sendDefaultPII` is set to `True` |
| CVE-2023-28514 | IBM MQ information disclosure |
| CVE-2023-29193 | SpiceDB binding metrics port to untrusted networks and can leak command-line flags |
| CVE-2023-31429 | Multiple commands print sensitive information in the terminal |
| CVE-2023-32755 | e-Excellence U-Office Force - Error Message Leakage |
| CVE-2023-33181 | Sensitive Information Disclosure abusing Stack Trace in Xibo CMS |
| CVE-2023-3362 | Generation of Error Message Containing Sensitive Information in GitLab |
| CVE-2023-33834 | IBM Security Verify Information Queue information disclosure |
| CVE-2023-33835 | IBM Security Verify Information Queue information disclosure |
| CVE-2023-34110 | Flask-AppBuilder vulnerable to possible disclosure of sensitive information on user error |
| CVE-2023-35009 | IBM Cognos Analytics information disclosure |
| CVE-2023-35124 | An information disclosure vulnerability exists in the OAS Engine configuration management functionality of Open Automation So... |
| CVE-2023-37260 | league/oauth2-server key exposed in exception message when passing as string and providing invalid pass phrase |
| CVE-2023-37489 | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Version Management System) |
| CVE-2023-38713 | IBM Cloud Pak System information disclosure |
| CVE-2023-38714 | IBM Cloud Pak System information disclosure |
| CVE-2023-38716 | IBM Cloud Pak System information disclosure |
| CVE-2023-39264 | Apache Superset: Stack traces enabled by default |
| CVE-2023-40171 | Dispatch writes JWT tokens in error message |
| CVE-2023-40725 | A vulnerability has been identified in QMS Automotive (All versions < V12.39). The affected application returns inconsistent... |
| CVE-2023-42013 | IBM UrbanCode Deploy information disclosure |
| CVE-2023-42475 | Information Disclosure Vulnerability in Statutory Reporting |
| CVE-2023-43021 | IBM InfoSphere Information Server information disclosure |
| CVE-2023-4457 | Grafana is an open-source platform for monitoring and observability. The Google Sheets data source plugin for Grafana, versi... |
| CVE-2023-46240 | CodeIgniter4 vulnerable to information disclosure when detailed error report is displayed in production environment |
| CVE-2023-47152 | IBM Db2 information disclosure |
| CVE-2023-47636 | Full Path Disclosure via re-export document in pimcore/admin-ui-classic-bundle |
| CVE-2023-47639 | API Platform Core can leak exceptions message that may contain sensitive information |
| CVE-2023-47703 | IBM Security Guardium Key Lifecycle Manager information disclosure |
| CVE-2023-47728 | IBM QRadar Suite Software information disclosure |
| CVE-2023-48393 | Kaifa Technology WebITR - Error Message Leakage |
| CVE-2023-49080 | Jupyter Server errors include tracebacks with path information |
| CVE-2023-49107 | Generation of Error Message Containing Sensitive Information Vulnerability in Hitachi Device Manager |
| CVE-2023-49878 | IBM System Storage Virtualization Engine information disclosure |
| CVE-2023-50355 | HCL Sametime is impacted by generation of error messages containing sensitive information |
| CVE-2023-5089 | Defender Security < 4.1.0 - Protection Bypass (Hidden Login Page) |
| CVE-2023-50953 | IBM InfoSphere Information Server information disclosure |
| CVE-2023-5177 | Vrm 360 3D Model Viewer <= 1.2.1 - Full Path Disclosure |
| CVE-2023-5514 | The response messages received from the eSOMS report generation using certain parameter queries with full file path can be a... |
| CVE-2023-6839 | Due to improper error handling, a REST API resource could expose a server side error containing an internal WSO2 specific pac... |
| CVE-2023-6944 | Rhdh: catalog-import function leaks credentials to frontend |
| CVE-2024-11129 | Generation of Error Message Containing Sensitive Information in GitLab |
| CVE-2024-11625 | Information Exposure Through an Error Message vulnerability in Progress Software Corporation Sitefinity.This issue affects Si... |
| CVE-2024-12380 | Generation of Error Message Containing Sensitive Information in GitLab |
| CVE-2024-13535 | Actionwear products sync <= 2.3.0 - Unauthenticated Full Patch Disclosure |
| CVE-2024-13536 | 1003 Mortgage Application <= 1.87 - Unauthenticated Full Path Disclosure |
| CVE-2024-13537 | C9 Blocks <= 1.7.7 - Unauthenticated Full Path Disclosure |
| CVE-2024-13538 | BigBuy Dropshipping Connector for WooCommerce <= 1.9.19 - Unauthenticated Full Path Disclosute |
| CVE-2024-13539 | AForms Eats <= 1.3.1 - Unauthenticated Full Path Disclosure |
| CVE-2024-13540 | WooODT Lite – Delivery & pickup date time location for WooCommerce <= 2.5.1 - Unauthenticated Full Path Dsiclosure |
| CVE-2024-2009 | Nway Pro Argument index.php ajax_login_submit_form information exposure |
| CVE-2024-21313 | Windows TCP/IP Information Disclosure Vulnerability |
| CVE-2024-21619 | Junos OS: SRX Series and EX Series: J-Web - unauthenticated access to temporary files containing sensitive information |
| CVE-2024-21733 | Apache Tomcat: Leaking of unrelated request bodies in default error page |
| CVE-2024-21866 | Generation of Error Message Containing Sensitive Information in Rapid SCADA |
| CVE-2024-23689 | ClickHouse Client Certificate Password Exposure |
| CVE-2024-23945 | Apache Hive, Apache Spark, Apache Spark: CookieSigner exposes the correct signature when message verification fails |
| CVE-2024-25037 | IBM Cognos Controller information disclosure |
| CVE-2024-27315 | Apache Superset: Improper error handling on alerts |
| CVE-2024-28939 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability |
| CVE-2024-29059 | .NET Framework Information Disclosure Vulnerability |
| CVE-2024-30141 | HCL BigFix Compliance is vulnerable to the generation of error messages containing sensitive information |
| CVE-2024-3454 | In-Fabric Matter Cluster Attribute Disclosure |
| CVE-2024-35111 | IBM Control Center information disclosure |
| CVE-2024-35119 | IBM InfoSphere Information Server information disclosure |
| CVE-2024-35134 | IBM Analytics Content Hub information disclosure |
| CVE-2024-35155 | IBM MQ information disclosure |
| CVE-2024-35156 | IBM MQ information disclosure |
| CVE-2024-35232 | github.com/huandu/facebook may expose access_token in error message |
| CVE-2024-36106 | Argo CD allows authenticated users to enumerate clusters by name |
| CVE-2024-37162 | zsa Generates Error Messages Containing Sensitive Information |
| CVE-2024-37524 | IBM Analytics Content Hub information disclosure |
| CVE-2024-39725 | IBM Engineering Lifecycle Optimization - Engineering Insights information disclosure |
| CVE-2024-39737 | IBM Datacap Navigator information disclosure |
| CVE-2024-39751 | IBM InfoSphere Information Server information disclosure |
| CVE-2024-41674 | CKAN may leak Solr credentials via error message in package_search action |
| CVE-2024-41983 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-41984 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-43376 | Umbraco CMS vulnerable to Generation of Error Message Containing Sensitive Information |
| CVE-2024-45658 | IBM Security Verify Access information disclosure |
| CVE-2024-45659 | IBM Security Verify Access information disclosure |
| CVE-2024-45713 | SolarWinds Kiwi CatTools Sensitive Information Disclosure Vulnerability |
| CVE-2024-48896 | Moodle: users' names returned in messaging error message |
| CVE-2024-49798 | IBM ApplinX Information Disclosure |
| CVE-2024-49818 | IBM Security Guardium Key Lifecycle Manager information disclosure |
| CVE-2024-50512 | WordPress Posti Shipping plugin <= 3.10.2 - Full Path Disclosure (FPD) vulnerability |
| CVE-2024-51460 | IBM InfoSphere Information Server information disclosure |
| CVE-2024-51560 | Improper Error Handling Vulnerability in Wave 2.0 |
| CVE-2024-52043 | User enumeration in HubHub |
| CVE-2024-5250 | Overly Verbose Errors in SAML Integration |
| CVE-2024-52611 | SolarWinds Platform Information Disclosure Vulnerability |
| CVE-2024-52893 | IBM Concert Software information disclosure |
| CVE-2024-52896 | IBM MQ information disclosure |
| CVE-2024-52897 | IBM MQ information disclosure |
| CVE-2024-52898 | IBM MQ information disclosure |
| CVE-2024-53253 | Sentry's improper error handling leaks Application Integration Client Secret |
| CVE-2024-53948 | Apache Superset: Error verbosity exposes metadata in analytics databases |
| CVE-2024-54141 | phpMyFAQ Generates an Error Message Containing Sensitive Information if database server is not available |
| CVE-2024-5435 | Generation of Error Message Containing Sensitive Information in GitLab |
| CVE-2024-54366 | WordPress Vimeography plugin <= 2.4.4 - Full Path Disclosure (FPD) vulnerability |
| CVE-2024-55895 | IBM InfoSphere Information Server information disclosure |
| CVE-2024-5591 | IBM Jazz Foundation information disclosure |
| CVE-2024-56342 | IBM Verify Identity Access Digital Credentials information disclosure |
| CVE-2024-56467 | IBM EntireX information disclosure |
| CVE-2024-56493 | IBM EntireX information disclosure |
| CVE-2024-56494 | IBM EntireX information disclosure |
| CVE-2024-56495 | IBM EntireX information disclosure |
| CVE-2024-56496 | IBM EntireX information disclosure |
| CVE-2024-56810 | IBM EntireX information disclosure |
| CVE-2024-56811 | IBM EntireX information disclosure |
| CVE-2024-56812 | IBM EntireX information disclosure |
| CVE-2024-6980 | Verbose error handling issue in GravityZone Update Server proxy service |
| CVE-2024-6984 | An issue was discovered in Juju that resulted in the leak of the sensitive context ID, which allows a local unprivileged atta... |
| CVE-2024-7038 | Information Disclosure in open-webui/open-webui |
| CVE-2024-8571 | erjemin roll_cms views.py information exposure |
| CVE-2025-0049 | Disclosure of sensitive information in an error message in GoAnywhere prior to version 7.8.0 |
| CVE-2025-0053 | Information Disclosure Vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform |
| CVE-2025-0279 | HCL Traveler is affected by generation of error messages containing sensitive information |
| CVE-2025-0941 | MET ONE 3400+ Potential Credential Exposure |
| CVE-2025-12365 | Error Messages Wrapped In HTTP Header |
| CVE-2025-20002 | GMOD Apollo Generation of Error Message Containing Sensitive Information |
| CVE-2025-20150 | Cisco Nexus Dashboard Username Enumeration Vulnerability |
| CVE-2025-2239 | Absolute Path Disclosure Vulnerability in Hillstone Next Generation FireWall |
| CVE-2025-23185 | Information Disclosure in SAP Business Objects Business Intelligence Platform |
| CVE-2025-23216 | Argo CD does not scrub secret values from patch errors |
| CVE-2025-23320 | NVIDIA Triton Inference Server for Windows and Linux contains a vulnerability in the Python backend, where an attacker could... |
| CVE-2025-24552 | WordPress Paytium plugin <= 4.4.11 - Full Path Disclosure (FPD) vulnerability |
| CVE-2025-25025 | IBM Security Guardium information disclosure |
| CVE-2025-25045 | IBM InfoSphere Information Server information disclosure |
| CVE-2025-26333 | Dell BSAFE Crypto-J generates an error message that includes sensitive information about its environment and associated data.... |
| CVE-2025-31998 | HCL Unica Centralized Offer Management is vulnerable to poor unhandled exceptions which exposes sensitive information |
| CVE-2025-32238 | WordPress Online Booking & Scheduling Calendar for WordPress by vcita plugin <= 4.5.2 - Sensitive Data Exposure vulnerability |
| CVE-2025-36003 | IBM Security Verify Governance Identity Manager information disclosure |
| CVE-2025-36090 | IBM Analytics Content Hub information disclosure |
| CVE-2025-40653 | User enumeration in M3M Printer Server Web |
| CVE-2025-40718 | Improper error handling vulnerability in Quiter Gateway |
| CVE-2025-40760 | A vulnerability has been identified in Altair Grid Engine (All versions < V2026.0.0). Affected products do not properly handl... |
| CVE-2025-41441 | Mailform Pro CGI prior to 4.3.4 generates error messages containing sensitive information, which may allow a remote unauthent... |
| CVE-2025-4166 | Vault May Include Sensitive Data in Error Logs When Using the KV v2 Plugin |
| CVE-2025-43776 | A Stored cross-site scripting vulnerability in the Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q2.0 through... |
| CVE-2025-43777 | Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q2.0 through 2025.Q2.9, 2025.Q1.0 through 2025.Q1.16, 2024.Q4.0... |
| CVE-2025-46575 | ZTE GoldenDB Database product has an information disclosure vulnerability |
| CVE-2025-46746 | Error Message Contains Sensitive Information |
| CVE-2025-47813 | loginok.html in Wing FTP Server before 7.4.4 discloses the full local installation path of the application when using a long... |
| CVE-2025-49128 | Jackson-core Vulnerable to Memory Disclosure via Source Snippet in JsonLocation |
| CVE-2025-52619 | HCL BigFix SaaS Authentication Service is affected by a sensitive information disclosure |
| CVE-2025-53803 | Windows Kernel Memory Information Disclosure Vulnerability |
| CVE-2025-54291 | Project existence disclosure in LXD images API |
| CVE-2025-54791 | OMERO.web displays unecessary user information when requesting to reset the password |
| CVE-2025-55250 | HCL AION is affected by a Technical Error Disclosure vulnerability |
| CVE-2025-55676 | Windows USB Video Class System Driver Information Disclosure Vulnerability |
| CVE-2025-5731 | Infinispan: credential leakage in infinispan cli |
| CVE-2025-59016 | Information Disclosure via File Abstraction Layer |
| CVE-2025-61959 | Vertikal Systems Hospital Manager Backend Services Generation of Error Message Containing Sensitive Information |
| CVE-2025-62168 | Squid vulnerable to information disclosure via authentication credential leakage in error handling |
| CVE-2025-62397 | Moodle: router produces json instead of 404 error for invalid course id |
| CVE-2025-62840 | HBS 3 Hybrid Backup Sync |
| CVE-2025-64749 | Directus Vulnerable to Information Leakage in Existing Collections |
| CVE-2025-65995 | Apache Airflow: Disclosure of secrets to UI via kwargs |
| CVE-2025-66549 | Nextcloud Desktop discloses information when attempting to lock a file inside a end-to-end encrypted directory |
| CVE-2025-66594 | A vulnerability has been found in FAST/TOOLS provided by Yokogawa Electric Corporation. Detailed messages are displayed on t... |
| CVE-2025-68110 | ChurchCRM discloses database information on error message |
| CVE-2025-69208 | free5GC UDR's NEF incorrectly returns 500 for missing PFD data (UDR 404) in Nnef_PfdManagement GET request |
| CVE-2025-69253 | free5GC vulnerable to improper error handling in NEF with information exposure |
| CVE-2025-8548 | atjiu pybbs Registered Email SettingsApiController.java sendEmailCode information exposure |
| CVE-2025-8852 | WuKongOpenSource WukongCRM API Response upload information exposure |
| CVE-2025-9005 | mtons mblog register information exposure |
| CVE-2025-9122 | Hitachi Vantara Pentaho Business Analytics Server - Generation of Error Message Containing Sensitive Information |
| CVE-2025-9229 | Information Disclosure in MiR robots and MiR fleet through verbose error pages |
| CVE-2025-9977 | Improper neutralization of input in Times Software E-PAYROLL |
| CVE-2026-1175 | birkir prime GraphQL Directive graphql information exposure |
| CVE-2026-20838 | Windows Kernel Information Disclosure Vulnerability |
| CVE-2026-22646 | Certain error messages returned by the application expose internal system details that should not be visible to end users, pr... |
| CVE-2026-24130 | Moonraker with LDAP Enabled Allows Malicious Search Filter Injection |
| CVE-2026-26957 | Libredesk has an SSRF Vulnerability via Webhooks |
| CVE-2026-27004 | OpenClaw session tool visibility hardening and Telegram webhook secret fallback |
| CVE-2026-2752 | Navtor NavBox allows information disclosure via the /api/ais-data endpoint. A remote, unauthenticated attacker can send craft... |
| CVE-2026-27643 | free5GC has improper error handling in NEF with information exposure |
| CVE-2026-28675 | OpenSift: Sensitive implementation details exposed via raw exception messages and token-returning endpoints |
| CVE-2026-29110 | Cryptomator: Leaking of cleartext paths into log file in non-debug mode |
| CVE-2026-30835 | Parse Server: Malformed `$regex` query leaks database error details in API response |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20250821-24 | 21.08.2025 | Потеря целостности в NVIDIA Triton Inference Server |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.