Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-209
CWE-209: Generation of Error Message Containing Sensitive Information
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2017-01826 | Уязвимость средства автономного конфигурирования системы визуализации и управления "умным домом" U.motion Builder, вызванная недостатками разграничения доступа и раскрытием информации в сообщениях об ошибках и позволяющая нарушителю читать произвольн... |
| BDU:2019-01722 | Уязвимость компонента "Центр управления безопасностью" средства антивирусной защиты Dr.Web Enterprise Security Suite, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2019-04281 | Уязвимость компонента DefaultServlet HTTP-сервера Jetty, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00171 | Уязвимость операционной систем QES, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02840 | Уязвимость средства защиты информации IBM Security Guardium, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02954 | Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03127 | Уязвимость программного обеспечения Vue RIS, связанная с утечкой информации в сообщениях об ошибке, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03396 | Уязвимость пакетного менеджера PackageKit, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-05269 | Уязвимость справок redirect_to и polymorphic_url компонента Action Pack программной платформы Ruby on Rails, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-05471 | Уязвимость веб-интерфейса панели управления облачного сервиса безопасности Cisco Umbrella, позволяющая нарушителю получить адреса электронной почты пользователей системы |
| BDU:2021-05849 | Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения маршрутизаторов Cisco SD-WAN, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-00615 | Уязвимость интерфейса командной строки (CLI) операционных систем Juniper Networks Junos OS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01866 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02827 | Уязвимость программного средства RESTEasy, связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-02939 | Уязвимость плагина jwt-auth облачного API-шлюза Apache APISIX, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-05935 | Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-06938 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-01974 | Уязвимость функций stack_protect_prologue и stack_protect_epilogue набора компиляторов для различных языков программирования GNU Compiler Collection (GCC), позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность за... |
| BDU:2023-01989 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-01990 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02270 | Уязвимость СУБД SpiceDB, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-05775 | Уязвимость программного обеспечения управления качеством для производителей автомобилей QMS Automotive, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-05829 | Уязвимость программного средства обмена информацией и событиями между компонентами системы аутентификации и авторизации IBM Security Verify Information Queue, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю... |
| BDU:2023-05830 | Уязвимость программного средства обмена информацией и событиями между компонентами системы аутентификации и авторизации IBM Security Verify Information Queue, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю... |
| BDU:2023-06619 | Уязвимость системы управления ресурсами предприятия SAP Business One, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и реализовать XXE-атаки |
| BDU:2023-07543 | Уязвимость системы управления контентом Microweber, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-08582 | Уязвимость реализации прикладного программного интерфейса программного средства интерактивного анализа данных, визуализации и создания документов Jupyter Server, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-00672 | Уязвимость сервера приложений Apache Tomcat, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-00677 | Уязвимость компонента Device Manager Agent системы управления хранилищем Hitachi Device Manager, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-00901 | Уязвимость интерфейса J-Web операционных систем Juniper Networks Junos OS, связанная с отсутствием аутентификации для критичной функции и недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить доступ к конфиденциально... |
| BDU:2024-00931 | Уязвимость SCADA-системы Rapid SCADA, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-01577 | Уязвимость реализации метода createRegister программного обеспечения планирования ресурсов предприятия Apache OFBiz, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-02600 | Уязвимость источника данных Google Sheets платформы для мониторинга и наблюдения Grafana, связанная с генерацией сообщений об ошибке, содержащих конфиденциальную информацию, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-02616 | Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с раскрытием конфиденциальной информации несанкционированному субъекту, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-04379 | Уязвимость сервера системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05337 | Уязвимость программной платформы интеграции данных IBM InfoSphere Information Server, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05348 | Уязвимость программной платформы интеграции данных IBM InfoSphere Information Server, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05620 | Уязвимость веб-клиента IBM Datacap Navigator программного обеспечения для сбора и обработки документов IBM Datacap, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищ... |
| BDU:2024-05688 | Уязвимость программного средства IBM Sterling Partner Engagement Manager, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05985 | Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-06959 | Уязвимость модуля ansible-connection системы управления конфигурациями Ansible Core, Ansible, Ansible Base, связанная с раскрытием информации в сообщениях об ошибках, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-07045 | Уязвимость платформ мониторинга событий, обнаружения угроз, аналитики безопасности IBM QRadar Suite и IBM Cloud Pak for Security, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный... |
| BDU:2024-08762 | Уязвимость сценария password_change.cgi веб-интерфейса для unix-подобных систем Usermin, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-10264 | Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00243 | Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкцион... |
| BDU:2025-00249 | Уязвимость класса CookieSigner фреймворка Apache Spark и СУБД Apache Hive, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00252 | Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкцион... |
| BDU:2025-00467 | Уязвимость программных интеграционных платформ SAP NetWeaver Application Server ABAP и ABAP Platform, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00553 | Уязвимость инструмента автоматизации на основе искусственного интеллекта IBM Concert Software, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00737 | Уязвимость программного обеспечения визуализации данных Apache Superset, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00795 | Уязвимость компонента spi ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01199 | Уязвимость программного обеспечения для развертывания и управления облачной корпоративной системой на основе контейнеров IBM Cloud Pak System, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01200 | Уязвимость программного обеспечения для развертывания и управления облачной корпоративной системой на основе контейнеров IBM Cloud Pak System, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01201 | Уязвимость программного обеспечения для развертывания и управления облачной корпоративной системой на основе контейнеров IBM Cloud Pak System, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01205 | Уязвимость системы мониторинга и управления процессами передачи файлов IBM Control Center, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-01207 | Уязвимость программного обеспечения для получения доступа к инструментам аналитики и планирования IBM Analytics Content Hub, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить доступ к конфиденциальной... |
| BDU:2025-01568 | Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкцион... |
| BDU:2025-02902 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/CE, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-03542 | Уязвимость модуля интеграции агента в облако Cloud Profile системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-03624 | Уязвимость платформы бизнес-аналитики SAP BusinessObjects Business Intelligence Platform, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-04559 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05025 | Уязвимость панели управления платформы аналитики и автоматизации работы с многооблачными сетями дата-центров Cisco Nexus Dashboard, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05328 | Уязвимость программного обеспечения для интеграции старых и новых технологий IBM EntireX, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06320 | Уязвимость платформы для обеспечения безопасности данных IBM Guardium Data Protection, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06855 | Уязвимость программной платформы интеграции данных IBM InfoSphere Information Server, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06973 | Уязвимость плагина KVv2 платформ для архивирования корпоративной информации Vault Community Edition и Vault Enterprise, позволяющая нарушителю получить несанкциоинрованный доступ к защищаемой информации |
| BDU:2025-07194 | Уязвимость системы управления доступом IBM Verify Identity Access Digital Credentials, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07766 | Уязвимость платформы безопасной разработки программного обеспечения CodeScoring, связанная с возможностью раскрытия чувствительной информации в сообщениях об ошибках, позволяющая привилегированному пользователю раскрыть защищаемую информацию |
| BDU:2025-08716 | Уязвимость FTP-сервера Wing, связанная с некорректной проверкой значения сеансового cookie-файла UID, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-08869 | Уязвимость программного обеспечения для получения доступа к инструментам аналитики и планирования IBM Analytics Content Hub, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить доступ к конфиденциальной... |
| BDU:2025-08872 | Уязвимость программного обеспечения для получения доступа к инструментам аналитики и планирования IBM Analytics Content Hub, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-09401 | Уязвимость программной платформы для веб-приложений Django, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-09745 | Уязвимость программного обеспечения для развертывания и выполнения моделей искусственного интеллекта NVIDIA Triton Inference Server (ранее TensorRT Inference Server), связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нар... |
| BDU:2025-09940 | Уязвимость механизма обработки файлов cookie веб-браузера Google Chrome, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю похитить cookie-файлы |
| BDU:2025-11003 | Уязвимость ядра операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11683 | Уязвимость функции writeContent() модуля RemotePrintDocument.java операционных систем Android, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11755 | Уязвимость программного средства RESTEasy, связанная с генерацией сообщений об ошибке, содержащего конфиденциальную информацию, позволяющая нарушителю раскрыть конфиденциальную информацию |
| BDU:2025-12587 | Уязвимость библиотеки jackson-core проекта FasterXML, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-13226 | Уязвимость конфигурации email_err_data on прокси-сервера Squid, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14048 | Уязвимость драйвера USB Video Driver операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-14375 | Уязвимость функции xtensa_stack() модуля sound/soc/sof/xtensa/core.c ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15849 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-16402 | Уязвимость функции pps_register_cdev() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-00297 | Уязвимость библиотеки crypto++ языка программирования C++, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2026-00424 | Уязвимость ядра операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2015-10012 | sumocoders FrameworkUserBundle login.html.twig information exposure |
| CVE-2016-9459 | Nextcloud Server before 9.0.52 & ownCloud Server before 9.0.4 are vulnerable to a log pollution vulnerability potentially lea... |
| CVE-2017-0885 | Nextcloud Server before 9.0.55 and 10.0.2 suffers from a error message disclosing existence of file in write-only share. Due... |
| CVE-2017-2594 | hawtio before versions 2.0-beta-1, 2.0-beta-2 2.0-m1, 2.0-m2, 2.0-m3, and 1.5 is vulnerable to a path traversal that leads to... |
| CVE-2017-2659 | It was found that dropbear before version 2013.59 with GSSAPI leaks whether given username is valid or invalid. When an inval... |
| CVE-2017-7551 | 389-ds-base version before 1.3.5.19 and 1.3.6.7 are vulnerable to password brute-force attacks during account lockout due to... |
| CVE-2018-10624 | Johnson Controls Metasys and BCPro Generation of Error Message Containing Sensitive Information |
| CVE-2018-1073 | The web console login form in ovirt-engine before version 4.2.3 returned different errors for non-existent users and invalid... |
| CVE-2018-10913 | An information disclosure vulnerability was discovered in glusterfs server. An attacker could issue a xattr request via glust... |
| CVE-2018-12536 | In Eclipse Jetty Server, all 9.x versions, on webapps deployed using default Error Handling, when an intentionally bad query... |
| CVE-2018-14623 | A SQL injection flaw was found in katello's errata-related API. An authenticated remote attacker can craft input data to forc... |
| CVE-2018-17891 | Carestream Vue RIS, RIS Client Builds: Version 11.2 and prior running on a Windows 8.1 machine with IIS/7.5. When contacting... |
| CVE-2018-19947 | The vulnerability have been reported to affect earlier versions of Helpdesk. If exploited, this information exposure vulnerab... |
| CVE-2019-11252 | Credential leakage when failing to mount |
| CVE-2019-16768 | Internal exception message exposure for login action in Sylius |
| CVE-2019-19342 | A flaw was found in Ansible Tower, versions 3.6.x before 3.6.2 and 3.5.x before 3.5.4, when /websocket is requested and the p... |
| CVE-2019-3756 | RSA Archer, versions prior to 6.6 P3 (6.6.0.3), contain an information disclosure vulnerability. Information relating to the... |
| CVE-2019-5483 | Seneca < 3.9.0 contains a vulnerability that could lead to exposing environment variables to unauthorized users. |
| CVE-2019-7612 | A sensitive data disclosure flaw was found in the way Logstash versions before 5.6.15 and 6.6.1 logs malformed URLs. If a mal... |
| CVE-2020-14337 | A data exposure flaw was found in Tower, where sensitive data was revealed from the HTTP return error codes. This flaw allows... |
| CVE-2020-15125 | Authorization header is not sanitized in an error object in auth0 |
| CVE-2020-15132 | Reset Password / Login vulnerability in Sulu |
| CVE-2020-15219 | SQL query displayed on portal error |
| CVE-2020-16121 | PackageKit error messages leak presence and mimetype of files to unprivileged users |
| CVE-2020-16128 | Aptdaemon error messages disclosed file existence to unprivileged users via dbus properties |
| CVE-2020-1717 | A flaw was found in Keycloak 7.0.1. A logged in user can do an account email enumeration attack. |
| CVE-2020-2505 | Sensitive information via generation of error messages vulnerability in QES |
| CVE-2020-25633 | A flaw was found in RESTEasy client in all versions of RESTEasy up to 4.5.6.Final. It may allow client users to obtain the se... |
| CVE-2020-25640 | A flaw was discovered in WildFly before 21.0.0.Final where, Resource adapter logs plain text JMS password at warning level on... |
| CVE-2020-4868 | IBM TRIRIGA information disclosure |
| CVE-2020-5026 | IBM Financial Transaction Manager for Digital Payments for Multi-Platform 3.2.0 through 3.2.7 could allow a remote attacker t... |
| CVE-2020-5274 | Exceptions displayed in non-debug configurations in Symfony |
| CVE-2020-8213 | An information exposure vulnerability exists in UniFi Protect before v1.13.4-beta.5 that allowed unauthenticated attackers ac... |
| CVE-2021-1546 | Cisco SD-WAN Software Information Disclosure Vulnerability |
| CVE-2021-20289 | A flaw was found in RESTEasy in all versions of RESTEasy up to 4.6.0.Final. The endpoint class and method names are returned... |
| CVE-2021-20455 | IBM Cognos Controller information disclosure |
| CVE-2021-21416 | Potential sensitive information disclosed in error reports |
| CVE-2021-22885 | A possible information disclosure / unintended method execution vulnerability in Action Pack >= 2.0.0 when using the `redirec... |
| CVE-2021-25958 | Generation of Error Message Containing Sensitive Information in Apache OFBiz |
| CVE-2021-26726 | Remote code execution in Valmet DNA before Collection 2021 |
| CVE-2021-27774 | An injection vulnerability affects HCL Digital Experience |
| CVE-2021-30357 | SSL Network Extender Client for Linux before build 800008302 reveals part of the contents of the configuration file supplied,... |
| CVE-2021-31339 | A vulnerability has been identified in Mendix Excel Importer Module (All versions < V9.0.3). Uploading a manipulated XML File... |
| CVE-2021-31341 | Uploading a table mapping using a manipulated XML file results in an exception that could expose information about the applic... |
| CVE-2021-32734 | File path disclosure of shared files in Nextcloud Text application |
| CVE-2021-32766 | Nextcloud Text app can disclose existence of folders in "File Drop" link share |
| CVE-2021-32775 | Any user can see any fields (including mailbox password) with GroupBy Dashlet |
| CVE-2021-32937 | MDT AutoSave Generation of Error Message Containing Sensitive Information |
| CVE-2021-33711 | A vulnerability has been identified in Teamcenter Active Workspace V4 (All versions < V4.3.9), Teamcenter Active Workspace V5... |
| CVE-2021-3393 | An information leak was discovered in postgresql in versions before 13.2, before 12.6 and before 11.11. A user having UPDATE... |
| CVE-2021-35251 | Sensitive Data Disclosure Vulnerability |
| CVE-2021-3620 | A flaw was found in Ansible Engine's ansible-connection module, where sensitive information such as the Ansible user credenti... |
| CVE-2021-3986 | Information Disclosure in janeczku/calibre-web |
| CVE-2021-4177 | Generation of Error Message Containing Sensitive Information in livehelperchat/livehelperchat |
| CVE-2022-0079 | Generation of Error Message Containing Sensitive Information in star7th/showdoc |
| CVE-2022-0083 | Generation of Error Message Containing Sensitive Information in livehelperchat/livehelperchat |
| CVE-2022-0504 | Generation of Error Message Containing Sensitive Information in microweber/microweber |
| CVE-2022-0563 | A flaw was found in the util-linux chfn and chsh utilities when compiled with Readline support. The Readline library uses an... |
| CVE-2022-0622 | Generation of Error Message Containing Sensitive Information in snipe/snipe-it |
| CVE-2022-0660 | Generation of Error Message Containing Sensitive Information in microweber/microweber |
| CVE-2022-2062 | Generation of Error Message Containing Sensitive Information in nocodb/nocodb |
| CVE-2022-22162 | Junos OS: A low privileged user can elevate their privileges to the ones of the highest privileged j-web user logged in |
| CVE-2022-22363 | IBM Cognos Controller information disclosure |
| CVE-2022-22449 | IBM Security Verify Governance, Identity Manager information disclosure |
| CVE-2022-29266 | apisix/jwt-auth may leak secrets in error response |
| CVE-2022-31023 | Dev error stack trace leaking into prod in Play Framework |
| CVE-2022-31124 | Possible leak of key's raw field if declared length is incorrect in openssh_key_parser |
| CVE-2022-31140 | Valinor error messages leading to potential data exfiltration |
| CVE-2022-31189 | "Internal System Error" page in DSpace JSPUI prints exceptions and stack traces without sanitization |
| CVE-2022-31229 | Dell PowerScale OneFS, 8.2.x through 9.3.0.x, contain an error message with sensitive information. An administrator could pot... |
| CVE-2022-32756 | IBM Security Verify Directory information disclosure |
| CVE-2022-33930 | Dell Wyse Management Suite 3.6.1 and below contains Information Disclosure in Devices error pages. An attacker could potentia... |
| CVE-2022-34881 | Information Exposure Vulnerability in JP1/Automatic Operation |
| CVE-2022-34882 | Information Exposure Vulnerability in RAID Manager Storage Replication Adapter |
| CVE-2022-35640 | IBM Sterling Partner Engagement Manager information disclosure |
| CVE-2022-38107 | Sensitive Data Disclosure Vulnerability |
| CVE-2022-39304 | ghinstallation returns app JWT in error responses |
| CVE-2022-40292 | Unauthenticated username enumeration in PHP Point of Sale version 19.0, by PHP Point of Sale, LLC. |
| CVE-2022-43891 | IBM Security Verify Privilege information disclosure |
| CVE-2022-46675 | Wyse Management Suite Repository 3.8 and below contain an information disclosure vulnerability. A unauthenticated attacker c... |
| CVE-2022-4769 | Hitachi Vantara Pentaho Business Analytics Server - Generation of Error Message Containing Sensitive Information |
| CVE-2022-4770 | Hitachi Vantara Pentaho Business Analytics Server - Generation of Error Message Containing Sensitive Information |
| CVE-2023-0655 | SonicWall Email Security contains a vulnerability that could permit a remote unauthenticated attacker access to an error page... |
| CVE-2023-0833 | Red hat a-mq streams: component version with information disclosure flaw |
| CVE-2023-1210 | Generation of Error Message Containing Sensitive Information in GitLab |
| CVE-2023-23474 | IBM Cognos Controller information disclosure |
| CVE-2023-25687 | IBM Security Key Lifecycle Manager information disclosure |
| CVE-2023-25695 | Information disclosure in Apache Airflow |
| CVE-2023-25956 | Apache Airflow AWS Provider: Arbitrary file read via AWS provider |
| CVE-2023-26051 | Saleor is vulnerable to staff-authenticated error message information disclosure vulnerability via Python exceptions |
| CVE-2023-26052 | Saleor is vulnerable to unauthenticated information disclosure via Python exceptions |
| CVE-2023-26272 | IBM Security Guardium Data Encryption information disclosure |
| CVE-2023-27319 | CVE-2023-27319 Information Disclosure Vulnerability in ONTAP Mediator |
| CVE-2023-27587 | ReadtoMyShoe, a web app that lets users upload articles and listen to them later, generates an error message containing sensi... |
| CVE-2023-27860 | IBM Maximo Asset Management information disclosure |
| CVE-2023-28117 | Sentry SDK leaks sensitive session information when `sendDefaultPII` is set to `True` |
| CVE-2023-28514 | IBM MQ information disclosure |
| CVE-2023-29193 | SpiceDB binding metrics port to untrusted networks and can leak command-line flags |
| CVE-2023-31429 | Multiple commands print sensitive information in the terminal |
| CVE-2023-32755 | e-Excellence U-Office Force - Error Message Leakage |
| CVE-2023-33181 | Sensitive Information Disclosure abusing Stack Trace in Xibo CMS |
| CVE-2023-3362 | Generation of Error Message Containing Sensitive Information in GitLab |
| CVE-2023-33834 | IBM Security Verify Information Queue information disclosure |
| CVE-2023-33835 | IBM Security Verify Information Queue information disclosure |
| CVE-2023-34110 | Flask-AppBuilder vulnerable to possible disclosure of sensitive information on user error |
| CVE-2023-35009 | IBM Cognos Analytics information disclosure |
| CVE-2023-35124 | An information disclosure vulnerability exists in the OAS Engine configuration management functionality of Open Automation So... |
| CVE-2023-37260 | league/oauth2-server key exposed in exception message when passing as string and providing invalid pass phrase |
| CVE-2023-37489 | Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Version Management System) |
| CVE-2023-38713 | IBM Cloud Pak System information disclosure |
| CVE-2023-38714 | IBM Cloud Pak System information disclosure |
| CVE-2023-38716 | IBM Cloud Pak System information disclosure |
| CVE-2023-39264 | Apache Superset: Stack traces enabled by default |
| CVE-2023-40171 | Dispatch writes JWT tokens in error message |
| CVE-2023-40725 | A vulnerability has been identified in QMS Automotive (All versions < V12.39). The affected application returns inconsistent... |
| CVE-2023-42013 | IBM UrbanCode Deploy information disclosure |
| CVE-2023-42475 | Information Disclosure Vulnerability in Statutory Reporting |
| CVE-2023-43021 | IBM InfoSphere Information Server information disclosure |
| CVE-2023-4457 | Grafana is an open-source platform for monitoring and observability. The Google Sheets data source plugin for Grafana, versi... |
| CVE-2023-46240 | CodeIgniter4 vulnerable to information disclosure when detailed error report is displayed in production environment |
| CVE-2023-47152 | IBM Db2 information disclosure |
| CVE-2023-47636 | Full Path Disclosure via re-export document in pimcore/admin-ui-classic-bundle |
| CVE-2023-47639 | API Platform Core can leak exceptions message that may contain sensitive information |
| CVE-2023-47703 | IBM Security Guardium Key Lifecycle Manager information disclosure |
| CVE-2023-47728 | IBM QRadar Suite Software information disclosure |
| CVE-2023-48393 | Kaifa Technology WebITR - Error Message Leakage |
| CVE-2023-49080 | Jupyter Server errors include tracebacks with path information |
| CVE-2023-49107 | Generation of Error Message Containing Sensitive Information Vulnerability in Hitachi Device Manager |
| CVE-2023-49878 | IBM System Storage Virtualization Engine information disclosure |
| CVE-2023-50355 | HCL Sametime is impacted by generation of error messages containing sensitive information |
| CVE-2023-5089 | Defender Security < 4.1.0 - Protection Bypass (Hidden Login Page) |
| CVE-2023-50953 | IBM InfoSphere Information Server information disclosure |
| CVE-2023-5177 | Vrm 360 3D Model Viewer <= 1.2.1 - Full Path Disclosure |
| CVE-2023-5514 | The response messages received from the eSOMS report generation using certain parameter queries with full file path can be a... |
| CVE-2023-6839 | Due to improper error handling, a REST API resource could expose a server side error containing an internal WSO2 specific pac... |
| CVE-2023-6944 | Rhdh: catalog-import function leaks credentials to frontend |
| CVE-2024-11129 | Generation of Error Message Containing Sensitive Information in GitLab |
| CVE-2024-11625 | Information Exposure Through an Error Message vulnerability in Progress Software Corporation Sitefinity.This issue affects Si... |
| CVE-2024-12380 | Generation of Error Message Containing Sensitive Information in GitLab |
| CVE-2024-13535 | Actionwear products sync <= 2.3.0 - Unauthenticated Full Patch Disclosure |
| CVE-2024-13536 | 1003 Mortgage Application <= 1.87 - Unauthenticated Full Path Disclosure |
| CVE-2024-13537 | C9 Blocks <= 1.7.7 - Unauthenticated Full Path Disclosure |
| CVE-2024-13538 | BigBuy Dropshipping Connector for WooCommerce <= 1.9.19 - Unauthenticated Full Path Disclosute |
| CVE-2024-13539 | AForms Eats <= 1.3.1 - Unauthenticated Full Path Disclosure |
| CVE-2024-13540 | WooODT Lite – Delivery & pickup date time location for WooCommerce <= 2.5.1 - Unauthenticated Full Path Dsiclosure |
| CVE-2024-2009 | Nway Pro Argument index.php ajax_login_submit_form information exposure |
| CVE-2024-21313 | Windows TCP/IP Information Disclosure Vulnerability |
| CVE-2024-21619 | Junos OS: SRX Series and EX Series: J-Web - unauthenticated access to temporary files containing sensitive information |
| CVE-2024-21733 | Apache Tomcat: Leaking of unrelated request bodies in default error page |
| CVE-2024-21866 | Generation of Error Message Containing Sensitive Information in Rapid SCADA |
| CVE-2024-23689 | ClickHouse Client Certificate Password Exposure |
| CVE-2024-23945 | Apache Hive, Apache Spark, Apache Spark: CookieSigner exposes the correct signature when message verification fails |
| CVE-2024-25037 | IBM Cognos Controller information disclosure |
| CVE-2024-27315 | Apache Superset: Improper error handling on alerts |
| CVE-2024-28939 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability |
| CVE-2024-29059 | .NET Framework Information Disclosure Vulnerability |
| CVE-2024-30141 | HCL BigFix Compliance is vulnerable to the generation of error messages containing sensitive information |
| CVE-2024-3454 | In-Fabric Matter Cluster Attribute Disclosure |
| CVE-2024-35111 | IBM Control Center information disclosure |
| CVE-2024-35119 | IBM InfoSphere Information Server information disclosure |
| CVE-2024-35134 | IBM Analytics Content Hub information disclosure |
| CVE-2024-35155 | IBM MQ information disclosure |
| CVE-2024-35156 | IBM MQ information disclosure |
| CVE-2024-35232 | github.com/huandu/facebook may expose access_token in error message |
| CVE-2024-36106 | Argo CD allows authenticated users to enumerate clusters by name |
| CVE-2024-37162 | zsa Generates Error Messages Containing Sensitive Information |
| CVE-2024-37524 | IBM Analytics Content Hub information disclosure |
| CVE-2024-39725 | IBM Engineering Lifecycle Optimization - Engineering Insights information disclosure |
| CVE-2024-39737 | IBM Datacap Navigator information disclosure |
| CVE-2024-39751 | IBM InfoSphere Information Server information disclosure |
| CVE-2024-41674 | CKAN may leak Solr credentials via error message in package_search action |
| CVE-2024-41983 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-41984 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-43376 | Umbraco CMS vulnerable to Generation of Error Message Containing Sensitive Information |
| CVE-2024-45658 | IBM Security Verify Access information disclosure |
| CVE-2024-45659 | IBM Security Verify Access information disclosure |
| CVE-2024-45713 | SolarWinds Kiwi CatTools Sensitive Information Disclosure Vulnerability |
| CVE-2024-48896 | Moodle: users' names returned in messaging error message |
| CVE-2024-49798 | IBM ApplinX Information Disclosure |
| CVE-2024-49818 | IBM Security Guardium Key Lifecycle Manager information disclosure |
| CVE-2024-50512 | WordPress Posti Shipping plugin <= 3.10.2 - Full Path Disclosure (FPD) vulnerability |
| CVE-2024-51460 | IBM InfoSphere Information Server information disclosure |
| CVE-2024-51560 | Improper Error Handling Vulnerability in Wave 2.0 |
| CVE-2024-52043 | User enumeration in HubHub |
| CVE-2024-5250 | Overly Verbose Errors in SAML Integration |
| CVE-2024-52611 | SolarWinds Platform Information Disclosure Vulnerability |
| CVE-2024-52893 | IBM Concert Software information disclosure |
| CVE-2024-52896 | IBM MQ information disclosure |
| CVE-2024-52897 | IBM MQ information disclosure |
| CVE-2024-52898 | IBM MQ information disclosure |
| CVE-2024-53253 | Sentry's improper error handling leaks Application Integration Client Secret |
| CVE-2024-53948 | Apache Superset: Error verbosity exposes metadata in analytics databases |
| CVE-2024-54141 | phpMyFAQ Generates an Error Message Containing Sensitive Information if database server is not available |
| CVE-2024-5435 | Generation of Error Message Containing Sensitive Information in GitLab |
| CVE-2024-54366 | WordPress Vimeography plugin <= 2.4.4 - Full Path Disclosure (FPD) vulnerability |
| CVE-2024-55895 | IBM InfoSphere Information Server information disclosure |
| CVE-2024-5591 | IBM Jazz Foundation information disclosure |
| CVE-2024-56342 | IBM Verify Identity Access Digital Credentials information disclosure |
| CVE-2024-56467 | IBM EntireX information disclosure |
| CVE-2024-56493 | IBM EntireX information disclosure |
| CVE-2024-56494 | IBM EntireX information disclosure |
| CVE-2024-56495 | IBM EntireX information disclosure |
| CVE-2024-56496 | IBM EntireX information disclosure |
| CVE-2024-56810 | IBM EntireX information disclosure |
| CVE-2024-56811 | IBM EntireX information disclosure |
| CVE-2024-56812 | IBM EntireX information disclosure |
| CVE-2024-6980 | Verbose error handling issue in GravityZone Update Server proxy service |
| CVE-2024-6984 | An issue was discovered in Juju that resulted in the leak of the sensitive context ID, which allows a local unprivileged atta... |
| CVE-2024-7038 | Information Disclosure in open-webui/open-webui |
| CVE-2024-8571 | erjemin roll_cms views.py information exposure |
| CVE-2025-0049 | Disclosure of sensitive information in an error message in GoAnywhere prior to version 7.8.0 |
| CVE-2025-0053 | Information Disclosure Vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform |
| CVE-2025-0279 | HCL Traveler is affected by generation of error messages containing sensitive information |
| CVE-2025-0941 | MET ONE 3400+ Potential Credential Exposure |
| CVE-2025-12365 | Error Messages Wrapped In HTTP Header |
| CVE-2025-20002 | GMOD Apollo Generation of Error Message Containing Sensitive Information |
| CVE-2025-20150 | Cisco Nexus Dashboard Username Enumeration Vulnerability |
| CVE-2025-2239 | Absolute Path Disclosure Vulnerability in Hillstone Next Generation FireWall |
| CVE-2025-23185 | Information Disclosure in SAP Business Objects Business Intelligence Platform |
| CVE-2025-23216 | Argo CD does not scrub secret values from patch errors |
| CVE-2025-23320 | NVIDIA Triton Inference Server for Windows and Linux contains a vulnerability in the Python backend, where an attacker could... |
| CVE-2025-24552 | WordPress Paytium plugin <= 4.4.11 - Full Path Disclosure (FPD) vulnerability |
| CVE-2025-25025 | IBM Security Guardium information disclosure |
| CVE-2025-25045 | IBM InfoSphere Information Server information disclosure |
| CVE-2025-26333 | Dell BSAFE Crypto-J generates an error message that includes sensitive information about its environment and associated data.... |
| CVE-2025-31998 | HCL Unica Centralized Offer Management is vulnerable to poor unhandled exceptions which exposes sensitive information |
| CVE-2025-32238 | WordPress Online Booking & Scheduling Calendar for WordPress by vcita plugin <= 4.5.2 - Sensitive Data Exposure vulnerability |
| CVE-2025-36003 | IBM Security Verify Governance Identity Manager information disclosure |
| CVE-2025-36090 | IBM Analytics Content Hub information disclosure |
| CVE-2025-40653 | User enumeration in M3M Printer Server Web |
| CVE-2025-40718 | Improper error handling vulnerability in Quiter Gateway |
| CVE-2025-40760 | A vulnerability has been identified in Altair Grid Engine (All versions < V2026.0.0). Affected products do not properly handl... |
| CVE-2025-41441 | Mailform Pro CGI prior to 4.3.4 generates error messages containing sensitive information, which may allow a remote unauthent... |
| CVE-2025-4166 | Vault May Include Sensitive Data in Error Logs When Using the KV v2 Plugin |
| CVE-2025-43776 | A Stored cross-site scripting vulnerability in the Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q2.0 through... |
| CVE-2025-43777 | Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q2.0 through 2025.Q2.9, 2025.Q1.0 through 2025.Q1.16, 2024.Q4.0... |
| CVE-2025-46575 | ZTE GoldenDB Database product has an information disclosure vulnerability |
| CVE-2025-46746 | Error Message Contains Sensitive Information |
| CVE-2025-47813 | loginok.html in Wing FTP Server before 7.4.4 discloses the full local installation path of the application when using a long... |
| CVE-2025-49128 | Jackson-core Vulnerable to Memory Disclosure via Source Snippet in JsonLocation |
| CVE-2025-52619 | HCL BigFix SaaS Authentication Service is affected by a sensitive information disclosure |
| CVE-2025-53803 | Windows Kernel Memory Information Disclosure Vulnerability |
| CVE-2025-54291 | Project existence disclosure in LXD images API |
| CVE-2025-54791 | OMERO.web displays unecessary user information when requesting to reset the password |
| CVE-2025-55250 | HCL AION is affected by a Technical Error Disclosure vulnerability |
| CVE-2025-55676 | Windows USB Video Class System Driver Information Disclosure Vulnerability |
| CVE-2025-5731 | Infinispan: credential leakage in infinispan cli |
| CVE-2025-59016 | Information Disclosure via File Abstraction Layer |
| CVE-2025-61959 | Vertikal Systems Hospital Manager Backend Services Generation of Error Message Containing Sensitive Information |
| CVE-2025-62168 | Squid vulnerable to information disclosure via authentication credential leakage in error handling |
| CVE-2025-62397 | Moodle: router produces json instead of 404 error for invalid course id |
| CVE-2025-62840 | HBS 3 Hybrid Backup Sync |
| CVE-2025-64749 | Directus Vulnerable to Information Leakage in Existing Collections |
| CVE-2025-66549 | Nextcloud Desktop discloses information when attempting to lock a file inside a end-to-end encrypted directory |
| CVE-2025-68110 | ChurchCRM discloses database information on error message |
| CVE-2025-8548 | atjiu pybbs Registered Email SettingsApiController.java sendEmailCode information exposure |
| CVE-2025-8852 | WuKongOpenSource WukongCRM API Response upload information exposure |
| CVE-2025-9005 | mtons mblog register information exposure |
| CVE-2025-9122 | Hitachi Vantara Pentaho Business Analytics Server - Generation of Error Message Containing Sensitive Information |
| CVE-2025-9229 | Information Disclosure in MiR robots and MiR fleet through verbose error pages |
| CVE-2025-9977 | Improper neutralization of input in Times Software E-PAYROLL |
| CVE-2026-1175 | birkir prime GraphQL Directive graphql information exposure |
| CVE-2026-20838 | Windows Kernel Information Disclosure Vulnerability |
| CVE-2026-22646 | Certain error messages returned by the application expose internal system details that should not be visible to end users, pr... |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20250821-24 | 21.08.2025 | Потеря целостности в NVIDIA Triton Inference Server |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.