Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-23
CWE-23: Relative Path Traversal
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-01082 | Уязвимость промышленных рабочих станций Emerson DeltaV DCS, связанная с ошибками проверки пути к каталогу, позволяющая нарушителю заменить исполняемые файлы |
| BDU:2019-01725 | Уязвимость средства антивирусной защиты Dr.Web Enterprise Security Suite, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2019-01726 | Уязвимость средства антивирусной защиты Dr.Web Enterprise Security Suite, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2019-01727 | Уязвимость средства антивирусной защиты Dr.Web Enterprise Security Suite, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2019-04015 | Уязвимость реализации протокола Modbus программного обеспечения "Сервер связи" комплекса программ EKRASMS-SP терминала микропроцессорного серии ЭКРА 200, позволяющая нарушителю выполнить произвольную команду |
| BDU:2019-04627 | Уязвимость реализации механизма обработки .NPK-файлов операционной системы RouterOS маршрутизаторов MikroTik, позволяющая нарушителю создавать произвольные каталоги и выполнить произвольный shell-код |
| BDU:2019-04783 | Уязвимость операционных систем Junos OS маршрутизаторов серии NFX150, EX9200 with NG-RE, MX with NG-RE, PTX with NG-RE и QFX10K with NG-RE, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получи... |
| BDU:2020-04463 | Уязвимость модуля spring-cloud-config-server сервера Spring Cloud Config, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-05669 | Уязвимость функции конфигурации посредника обработки данных Cisco Nexus Data Broker, позволяющая нарушителю перезаписать произвольные файлы |
| BDU:2021-02359 | Уязвимость системы балансировки трафика FortiWAN, связанная с ошибками при обработке относительного пути к каталогу, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2021-02419 | Уязвимость системы балансировки трафика с интегрированным сервисом WEB-безопасности и фильтрации данных FortiWAN, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю обойти процесс аутентификации и удалить произвол... |
| BDU:2021-04199 | Уязвимость реализации функций на основе технологии AJAX motor_load_more(), motor_gallery_load_more(), motor_quick_view() и motor_project_quick_view() темы Motor - Cars, Parts, Service, Equipments and Accessories WooCommerce Store системы управления с... |
| BDU:2021-04701 | Уязвимость функции filesystem.renamer() бинарной программы чтения новостей SABnzbd, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05975 | Уязвимость плагина h5-vcav-bootstrap-service программного обеспечения управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю прочитать локальные файлы сервера, на котором установлено уязвимое ПО, а также осуществить подд... |
| BDU:2021-06169 | Уязвимость сервера TwinCAT OPC UA Server, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю создавать и удалять произвольные файлы в системе |
| BDU:2022-00603 | Уязвимость микропрограммного обеспечения систем биометрической идентификации IDEMIA, связанная с возможностью выхода за пределы директории, позволяющая нарушителю производить чтение/запись файлов устройства |
| BDU:2022-00672 | Уязвимость централизованной системы управления аварийными сообщениями и событиями CAMS for HIS распределенных систем управления CENTUM VP и CENTUM VP Entry Class и OPC-сервера Exaopc, позволяющая нарушителю записывать произвольные файлы |
| BDU:2022-01148 | Уязвимость API кластерной базы данных устройств управления конференц-связью Cisco Expressway Series и Cisco Telepresence VCS, позволяющая нарушителю перезаписать произвольные файлы на базовой операционной системе в качестве root-пользователя |
| BDU:2022-01500 | Уязвимость микропрограммного обеспечения беспроводных повторителей D-Link DAP-1620, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01927 | Уязвимость централизованной системы управления аварийными сообщениями и событиями CAMS for HIS распределенных систем управления CENTUM VP и CENTUM VP Entry Class и OPC-сервера Exaopc, позволяющая нарушителю записывать произвольные файлы |
| BDU:2022-02506 | Уязвимость операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и повы... |
| BDU:2022-02722 | Уязвимость платформы разработки для создания визуализаций myDESIGNER, связанная с ошибками обработки относительного пути к каталогу при импортировании файла проекта, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-02888 | Уязвимость веб-интерфейса управления систем обработки вызовов Cisco Unified Communications Manager (CM) и Cisco Unified Communications Manager Session Management Edition (SME), позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-03960 | Уязвимость микропрограммного обеспечения многофункционального устройства HP LaserJet Professional серии M1210, позволяющая нарушителю выполнить произвольный код с привилегиями приложения |
| BDU:2022-04250 | Уязвимость программной платформы для промышленной автоматизации и Интернета вещей Elcomplus SmartICS, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю раскрыть защищаемую информацию и подменить произвольные файл... |
| BDU:2022-04289 | Уязвимость веб-интерфейса систем обработки вызовов Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04297 | Уязвимость службы FortiESNAC средства защиты Fortinet FortiClient for Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-04433 | Уязвимость интерфейса управления средства выявления и принятия мер реагирования на внешние и внутренние угрозы безопасности Fortinet FortiDeceptor, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2022-04587 | Уязвимость механизма загрузки файлов веб-сервера CivetWeb, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-04689 | Уязвимость реализации класса UserFirmwareRequestHandler микропрограммного обеспечения сенсоров для мониторинга спектра Keysight N6841A RF и микропрограммного обеспечения серверов геолокации Keysight N6854A, позволяющая нарушителю получить несанкциони... |
| BDU:2022-05611 | Уязвимость интерфейса командной строки (CLI) платформы аналитики и автоматизации работы с многооблачными сетями дата-центров Cisco Nexus Dashboard, позволяющая нарушителю перезаписать произвольные файлы |
| BDU:2023-00155 | Уязвимость компонента getUserPrefMenuFragment системы централизованного управления сетевыми устройствами и портами Advantech iView, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код |
| BDU:2023-00256 | Уязвимость интерфейса локальной файловой системы Dell GeoDrive, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ на удаление файлов |
| BDU:2023-00556 | Уязвимость функции WEB_DisplayPage() микропрограммного обеспечения беспроводных точек доступа D-Link DAP-2020 и DAP-1360, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00922 | Уязвимость межсетевого экрана веб-приложений FortiWeb, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-01331 | Уязвимость технологии виртуализации Virtual Domains (VDOM) операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01804 | Уязвимость расширений для обеспечения доступа к приложениям InTouch Access Anywhere и Plant SCADA Access Anywhere, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить доступ на чтение к файлам, находящимся... |
| BDU:2023-01841 | Уязвимость веб-интерфейса операционных систем Cisco IOS XE, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-02599 | Уязвимость интерфейса командной строки (CLI) контроллера доставки приложений FortiADC, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2023-03148 | Уязвимость веб-интерфейса J-Web операционной системы Juniper Networks Junos, позволяющая нарушителю загружать произвольные файлы |
| BDU:2023-03355 | Уязвимость операционных систем FortiOS, прокси-сервера для защиты от интернет-атак FortiProxy и локальной платформы управления FortiSwitchManager, связанная с ошибками обработки относительного пути в административном интерфейсе, позволяющая нарушител... |
| BDU:2023-03570 | Уязвимость компонента eXchange Layer (IXL) среды разработки приложений для программируемых логических контроллеров ISaGRAF Runtime Rockwell Automation, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-03795 | Уязвимость микропрограммного обеспечения серверов геолокации Keysight N6854A, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-04283 | Уязвимость интерфейса управления программного средства для централизованного управления устройствами Fortinet FortiManager и межсетевого экрана FortiAnalyzer, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-04430 | Уязвимость интерфейса iclock веб-платформы управления учетом рабочего времени BioTime, позволяющая нарушителю получить доступ на чтение произвольных файлов |
| BDU:2023-04431 | Уязвимость реализации протокола SFTP (Secure File Transfer Protocol) веб-платформы управления учетом рабочего времени BioTime, позволяющая нарушителю записывать произвольные файлы |
| BDU:2023-04438 | Уязвимость веб-платформы для создания систем контроля и управления доступом ZKBio Access lVS, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить доступ на чтение произвольных файлов |
| BDU:2023-07541 | Уязвимость межсетевого экрана веб-приложений FortiWeb, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-07551 | Уязвимость программ системного администрирования Sudo-rs, связанная с недостаточной проверкой введенных пользователем командных аргументов, позволяющая нарушителю повысить свои привилегии путём создания специально сформированного имени пользователя |
| BDU:2023-08007 | Уязвимость системы централизованного управления точками доступа WLAN и коммутаторами LAN Fortinet FortiWLM, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю читать произвольные файлы |
| BDU:2024-00310 | Уязвимость программного обеспечения для развертывания и выполнения моделей искусственного интеллекта NVIDIA Triton Inference Server (ранее TensorRT Inference Server), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации,... |
| BDU:2024-00878 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с обходом относительного пути, позволяющая нарушителю выполнить произвольные файловые операции за пределами директории |
| BDU:2024-00930 | Уязвимость SCADA-системы Rapid SCADA, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю читать произвольные файлы |
| BDU:2024-01383 | Уязвимость компонента Archive Extraction Handler установщика интегрированной среды разработки программного обеспечения IntelliJ IDEA, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-01691 | Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager и межсетевого экрана FortiAnalyzer, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный ко... |
| BDU:2024-02014 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю выполнить произвольные действия |
| BDU:2024-02201 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров UniLogic Studio серии UniStream, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю обойти ограничения безопасности и выполнить прои... |
| BDU:2024-02871 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю считывать данные из JAR-архивов |
| BDU:2024-02879 | Уязвимость функции path.resolve() модели разрешений программной платформы Node.js, позволяющая нарушителю оказать воздействие на целостность, доступность и конфиденциальность защищаемой информации |
| BDU:2024-02932 | Уязвимость операционной среды для управления и обеспечения работы хранилища данных Dell Unity Operating Environment (OE), связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ на з... |
| BDU:2024-03373 | Уязвимость плагина BackUpWordPress системы управления содержимым сайта WordPress, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03470 | Уязвимость системы мониторинга и управления источниками бесперебойного питания PowerPanel Business, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03899 | Уязвимость микропрограммного обеспечения модемов Telit Cinterion, связанная с обходом относительного пути, позволяющая нарушителю получить доступ на чтение и запись произвольных файлов системы |
| BDU:2024-03929 | Уязвимость системы аппаратной виртуализации Windows Hyper-V операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04173 | Уязвимость веб-интерфейса сервера управления и мониторинга экстренных вызовов Cisco Emergency Responder, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2024-04199 | Уязвимость веб-интерфейса управления системы обработки вызовов Cisco Unified Communications Manager IM Presence Service (Unified CM IMP), позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-04358 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю читать произвольные файлы с сервера |
| BDU:2024-04385 | Уязвимость библиотеки на языке Rust для работы с Git-репозиториями gitoxide, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04983 | Уязвимость компонентов Handler for User Photo Upload Command и Handler for Picture Upload Command микропрограммного обеспечения биометрических терминалов ZkTeco ProFace X, Smartec ST-FR043 и Smartec ST-FR041ME, позволяющая нарушителю повысить свои пр... |
| BDU:2024-04984 | Уязвимость микропрограммного обеспечения биометрических терминалов ZkTeco ProFace X, Smartec ST-FR043 и Smartec ST-FR041ME, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю обойти ограничения безопасности и полу... |
| BDU:2024-05063 | Уязвимость интерпретатора набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05165 | Уязвимость системы для запуска и управления большими языковыми моделями (LLM) Ollama, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить доступ к произвольным файлам в уязвимой системе |
| BDU:2024-05728 | Уязвимость метода unzip микропрограммного обеспечения многофункциональных устройств Toshiba e-STUDIO, позволяющая нарушителю выполнить произвольный код, создавать новые файлы или перезаписывать существующие |
| BDU:2024-07186 | Уязвимость службы Remote Desktop Licensing Service операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-07195 | Уязвимость службы Remote Desktop Licensing Service операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07895 | Уязвимость функции uploadFile() сценария bigUpload.php микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, позволяющая нарушителю получить несанкционированный доступ к ус... |
| BDU:2024-08055 | Уязвимость Защитника Microsoft (Microsoft Defender for Endpoint) операционных систем Linux, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2024-08748 | Уязвимость платформы для операционного анализа Splunk Enterprise, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю записать произвольный файл в корневой каталог системы Windows |
| BDU:2024-08822 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-09101 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю записывать файлы резервных копий в произвольные директории |
| BDU:2024-09634 | Уязвимость средства защиты Fortinet FortiClient, связанная с ошибками в обработке относительного пути, позволяющая нарушителю загрузить произвольные файлы в систему |
| BDU:2024-09706 | Уязвимость микропрограммного обеспечения модема D-Link DSL6740C, связанная с возможностью обхода пути, позволяющая нарушителю читать произвольные системные файлы, получить MAC-адрес устройства и попытаться войти в систему |
| BDU:2024-10078 | Уязвимость интерфейса командной строки CLI (Command Line Interface) программного средства централизованного управления устройствами Fortinet FortiManager и средств отслеживания и анализа событий безопасности FortiAnalyzer и FortiAnalyzer-BigData, поз... |
| BDU:2024-10223 | Уязвимость веб-интерфейса платформы управления сетевыми ресурсами Cisco Nexus Dashboard Fabric Controller (NDFC), позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10617 | Уязвимость функции ABB VPNI компонента S+ Control API программного средства управления и мониторинга ABB Symphony Plus S+ Operations, S+ Engineering, S+ Analyst, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-11202 | Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Server Subscription Edition и Microsoft SharePoint Enterprise Server, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю раскрыть защищ... |
| BDU:2024-11387 | Уязвимость обработчика параметра imagename в CGI-скрипте /ems/cgi-bin/ezrf_lighttpd.cgi графического интерфейса системы централизованного управления точками доступа WLAN и коммутаторами LAN Fortinet FortiWLM, позволяющая нарушителю выполнить произвол... |
| BDU:2024-11514 | Уязвимость модуля AWS S3 платформы для построения порталов разработчиков Backstage, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00738 | Уязвимость графического интерфейса микропрограммного обеспечения устройства системы видеонаблюдения FortiRecorder, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-00932 | Уязвимость пакета Voyager PHP-фреймворка Laravel, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-01024 | Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю удалять произвольные файлы в файловой системе |
| BDU:2025-01025 | Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager и средств отслеживания и анализа событий безопасности FortiAnalyzer, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нар... |
| BDU:2025-01820 | Уязвимость почтового сервера CommuniGate Pro, связанная с ошибками при обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02581 | Уязвимость класса Rack::Static модульного интерфейса между веб-серверами и веб-приложениями Rack, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02750 | Уязвимость камер видеонаблюдения для систем мониторинга и наблюдения IntelBras IP Camera, позволяющая нарушителю получить несанкционированный доступ к устройствам и защищаемой информации |
| BDU:2025-03216 | Уязвимость метода resolveFile единого API для доступа к различным файловым системам Apache Commons VFS (Virtual File System), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03251 | Уязвимость клиента удаленного рабочего стола Remote Desktop Client операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-03463 | Уязвимость платформы мониторинга и управления ИТ-инфраструктурой N-able N-central, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-03988 | Уязвимость графического интерфейса системы управления безопасностью FortiSIEM, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04958 | Уязвимость комплексной платформы для тренировки и применения нейронных сетей в области обработки речи и естественного языка NVIDIA NeMo, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный ко... |
| BDU:2025-05222 | Уязвимость кроссплатформенной интегрированной среды разработки программного обеспечения JetBrains Rider, связанная с обходом относительного пути, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2025-05248 | Уязвимость ZIP-файлов поискового сервера Apache Solr, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании |
| BDU:2025-05379 | Уязвимость модуля Certificates and Keys приложения Device Admin App операционной системы ctrlX OS, позволяющая нарушителю записывать произвольные файлы |
| BDU:2025-05641 | Уязвимость конфигурации Enable API Endpoints компонента ThinServer платформы для централизованного управления приложениями Rockwell Automation ThinManager, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-07163 | Уязвимость программного средства управления человеко-машинными интерфейсами (HMI) Rockwell Automation FactoryTalk View SE, связанная с недостаточной проверкой входных данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-07196 | Уязвимость пакета perl.rte операционной системы IBM AIX и IBM VIOS, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-08231 | Уязвимость приложения Solutions App операционной системы ctrlX OS, позволяющая нарушителю записывать произвольные файлы в произвольные места в файловой системе |
| BDU:2025-08502 | Уязвимость программы мониторинга компьютерной сети NetMRI, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-08534 | Уязвимость клиента удаленного рабочего стола (Remote Desktop Client) операционных систем Windows, связанная с недостатками контроля доступа, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-08664 | Уязвимость модуля iblock системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08665 | Уязвимость модуля iblock системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09147 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками при обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09690 | Уязвимость реализации протокола Kerberos операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-10115 | Уязвимость программного обеспечения TrueConf Server, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10237 | Уязвимость платформы резервного копирования и восстановления данных CommVault, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к файловой системе и выполнить произвольный код |
| BDU:2025-11358 | Уязвимость сервера для управления программами Fortinet FortiClient Enterprise Management Server (EMS) и облачного хранилища FortiClient EMS Cloud, существующая из-за относительного пути обхода в сообщении загрузки, позволяющая оказать воздействие на... |
| BDU:2025-11460 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками при обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-11967 | Уязвимость инструмента для создания контейнеров Buildah, связанная с ошибками проверки пути к каталогу, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2025-12440 | Уязвимость межсетевого экрана веб-приложений FortiWeb, связанная с ошибками механизма обработки относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-12661 | Уязвимость функции django.utils.archive.extract() программной платформы для веб-приложений Django, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-13433 | Уязвимость компонента org.xwiki.platform:xwiki-platform-skin-skinx платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-13434 | Уязвимость компонента org.xwiki.platform:xwiki-platform-webjars-api платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-13742 | Уязвимость сервера приложений Apache Tomcat, связанная с обходом относительного пути, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-14084 | Уязвимость функций cgi_auth() и cgi_process() межсетевого экрана веб-приложений FortiWeb, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-14501 | Уязвимость программной платформы управления идентификацией и доступом PingAM Java Policy Agent, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14678 | Уязвимость программного обеспечения для безопасности электронной почты SonicWall Email Security, связанная с ошибками механизма обработки относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информац... |
| BDU:2025-15634 | Уязвимость пакета программ Microsoft Office, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2026-00060 | Уязвимость системы управления контентом Umbraco CMS, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2026-00183 | Уязвимость микропрограммного обеспечения контроллеров беспроводных сетей Ruckus Virtual SmartZone, связанная с обходом относительного пути, позволяющая нарушителю загружать произвольные файлы и получить несанкционированный доступ к конфиденциальной и... |
| BDU:2026-00301 | Уязвимость систем управления контентом Sitecore Experience Manager (XM), Experience Platform (XP) и платформы для персонализированного процесса покупок Experience Commerce (XC), связанная с ошибками в обработке относительного пути к каталогу, позволя... |
| BDU:2026-00528 | Уязвимость набора вложенных под каталогов на ftp- или http-серверах Fedora Repository, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю удалять произвольные файлы в файловой системе |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2012-5972 | SpecView Directory Traversal |
| CVE-2012-6069 | 3S CoDeSys Relative Path Traversal |
| CVE-2017-0918 | Gitlab Community Edition version 10.3 is vulnerable to a path traversal issue in the GitLab CI runner component resulting in... |
| CVE-2017-13996 | A Relative Path Traversal issue was discovered in LOYTEC LVIS-3ME versions prior to 6.2.0. The web user interface fails to pr... |
| CVE-2017-9664 | In ABB SREA-01 revisions A, B, C: application versions up to 3.31.5, and SREA-50 revision A: application versions up to 3.32.... |
| CVE-2018-10615 | Directory traversal may lead to files being exfiltrated or deleted on the GE MDS PulseNET and MDS PulseNET Enterprise version... |
| CVE-2018-12473 | path traversal in obs-service-tar_scm |
| CVE-2018-12476 | obs-service-extract_file's outfilename parameter allows to write files outside of package directory |
| CVE-2018-13299 | Relative path traversal vulnerability in Attachment Uploader in Synology Calendar before 2.2.2-0532 allows remote authenticat... |
| CVE-2018-14795 | DeltaV Versions 11.3.1, 12.3.1, 13.3.0, 13.3.1, and R5 is vulnerable due to improper path validation which may allow an attac... |
| CVE-2018-18990 | LCDS Laquis SCADA prior to version 4.1.0.4150 allows a user-supplied path in file operations prior to proper validation. An a... |
| CVE-2018-5448 | Medtronic 2090 Carelink Programmer Relative Path Traversal |
| CVE-2019-0074 | Junos OS: NFX150 Series, QFX10K Series, EX9200 Series, MX Series, PTX Series: Path traversal vulnerability in NFX150 and NG-R... |
| CVE-2019-11822 | Relative path traversal vulnerability in SYNO.PhotoStation.File in Synology Photo Station before 6.8.11-3489 and before 6.3-2... |
| CVE-2019-11826 | Relative path traversal vulnerability in SYNO.PhotoTeam.Upload.Item in Synology Moments before 1.3.0-0691 allows remote authe... |
| CVE-2019-13408 | Advan VD-1 allows users to download arbitrary files |
| CVE-2019-13944 | A vulnerability has been identified in EN100 Ethernet module DNP3 variant (All versions), EN100 Ethernet module IEC 61850 var... |
| CVE-2019-17640 | In Eclipse Vert.x 3.4.x up to 3.9.4, 4.0.0.milestone1, 4.0.0.milestone2, 4.0.0.milestone3, 4.0.0.milestone4, 4.0.0.milestone5... |
| CVE-2019-18338 | A vulnerability has been identified in Control Center Server (CCS) (All versions < V1.5.0). The Control Center Server (CCS) c... |
| CVE-2019-19287 | A vulnerability has been identified in XHQ (All Versions < 6.1). The web interface could allow attackers to traverse through... |
| CVE-2019-3943 | MikroTik RouterOS versions Stable 6.43.12 and below, Long-term 6.42.12 and below, and Testing 6.44beta75 and below are vulner... |
| CVE-2019-3976 | RouterOS 6.45.6 Stable, RouterOS 6.44.5 Long-term, and below are vulnerable to an arbitrary directory creation vulnerability... |
| CVE-2020-10619 | An attacker could use a specially crafted URL to delete files outside the WebAccess/NMS's (versions prior to 3.0.2) control. |
| CVE-2020-10631 | An attacker could use a specially crafted URL to delete or read files outside the WebAccess/NMS's (versions prior to 3.0.2) c... |
| CVE-2020-12006 | Advantech WebAccess Node, Version 8.4.4 and prior, Version 9.0.0. Multiple relative path traversal vulnerabilities exist that... |
| CVE-2020-12010 | Advantech WebAccess Node, Version 8.4.4 and prior, Version 9.0.0. Multiple relative path traversal vulnerabilities exist that... |
| CVE-2020-12026 | Advantech WebAccess Node, Version 8.4.4 and prior, Version 9.0.0. Multiple relative path traversal vulnerabilities exist that... |
| CVE-2020-17518 | Apache Flink directory traversal attack: remote file writing through the REST API |
| CVE-2020-1904 | A path validation issue in WhatsApp for iOS prior to v2.20.61 and WhatsApp Business for iOS prior to v2.20.61 could have allo... |
| CVE-2020-25150 | B. Braun SpaceCom, Battery Pack SP with Wi-Fi, and Data module compactplus |
| CVE-2020-25172 | B. Braun OnlineSuite |
| CVE-2020-25176 | Rockwell Automation ISaGRAF5 Runtime Relative Path Traversal |
| CVE-2020-27304 | The CivetWeb web library does not validate uploaded filepaths when running on an OS other than Windows, when using the built-... |
| CVE-2020-3597 | Cisco Nexus Data Broker Software Path Traversal Vulnerability |
| CVE-2020-4039 | Directory Traversal Vulnerability in SUSI.AI Server |
| CVE-2020-5237 | Relative Path Traversal in oneup/uploader-bundle |
| CVE-2020-5280 | Local file inclusion vulnerability in http4s |
| CVE-2020-5284 | Directory Traversal in Next.js versions below 9.3.2 |
| CVE-2020-5405 | Directory Traversal with spring-cloud-config-server |
| CVE-2020-5410 | Directory Traversal with spring-cloud-config-server |
| CVE-2020-7008 | VISAM VBASE Editor version 11.5.0.2 and VBASE Web-Remote Module may allow input passed in the URL that is not properly verifi... |
| CVE-2020-7376 | Rapid7 Metasploit Framework Relative Path Traversal in enum_osx module |
| CVE-2020-7377 | Rapid7 Metasploit Framework Relative Path Traversal in telpho10_credential_dump module |
| CVE-2020-7861 | AnySupport directory traversing vulnerability |
| CVE-2020-8254 | A vulnerability in the Pulse Secure Desktop Client < 9.1R9 has Remote Code Execution (RCE) if users can be convinced to conne... |
| CVE-2020-8271 | Unauthenticated remote code execution with root privileges in Citrix SD-WAN Center versions before 11.2.2, 11.1.2b and 10.2.8 |
| CVE-2020-8570 | Kubernetes Java client libraries unvalidated path traversal in Copy implementation |
| CVE-2020-8865 | This vulnerability allows remote attackers to execute local PHP files on affected installations of Horde Groupware Webmail Ed... |
| CVE-2021-20040 | A relative path traversal vulnerability in the SMA100 upload funtion allows a remote unauthenticated attacker to upload craft... |
| CVE-2021-22281 | Zip Slip Vulnerability in B&R Automation Studio Project Import |
| CVE-2021-22674 | The affected product is vulnerable to a relative path traversal condition, which may allow an attacker access to unauthorized... |
| CVE-2021-22870 | Path traversal in GitHub Enterprise Server hosted Pages leads to unauthorized file read access |
| CVE-2021-24035 | A lack of filename validation when unzipping archives prior to WhatsApp for Android v2.21.8.13 and WhatsApp Business for Andr... |
| CVE-2021-28798 | Relative Path Traversal Vulnerability in QTS and QuTS hero |
| CVE-2021-29100 | ArcGIS Earth has a File Parsing Directory Traversal Vulnerability |
| CVE-2021-29101 | ArcGIS GeoEvent Server has a Directory Traversal security vulnerability. |
| CVE-2021-29488 | Creation of files outside the Download Folder through malicious PAR2 files |
| CVE-2021-32825 | ZipSlip vulnerability in bblfshd |
| CVE-2021-32949 | MDT AutoSave Relative Path Traversal |
| CVE-2021-32954 | Advantech WebAccess/SCADA Versions 9.0.1 and prior is vulnerable to a directory traversal, which may allow an attacker to rem... |
| CVE-2021-32964 | Claroty Secure Remote Access Site - Authentication Bypass Using an Alternate Path or Channel |
| CVE-2021-34594 | Beckhoff: Relative path traversal vulnerability through TwinCAT OPC UA Server |
| CVE-2021-34605 | Xinje XD/E Series PLC Program Tool Zip Slip |
| CVE-2021-37196 | A vulnerability has been identified in COMOS V10.2 (All versions only if web components are used), COMOS V10.3 (All versions... |
| CVE-2021-38399 | Honeywell Experion PKS and ACE Controllers Relative Path Traversal |
| CVE-2021-41127 | Maliciously Crafted Model Archive Can Lead To Arbitrary File Write in rasa |
| CVE-2021-41152 | Path Traversal in Folder Component Leading to Local File Inclusion |
| CVE-2021-41178 | File Traversal affecting SVG files on Nextcloud Server |
| CVE-2021-41242 | Path Traversal in some REST methods leading to file upload to arbitrary places |
| CVE-2021-43176 | The GOautodial API prior to commit 3c3a979 made on October 13th, 2021 takes a user-supplied “action” parameter and appends a... |
| CVE-2021-43555 | mySCADA myDESIGNER |
| CVE-2021-4459 | SMA: Directory Traversal in Sunny Boy <3.10.27.R |
| CVE-2022-1373 | Softing Secure Integration Server Relative Path Traversal |
| CVE-2022-1648 | Relative Path Traversal to Remote Code Execution in File Manager |
| CVE-2022-1661 | Keysight N6854A Geolocation server and N6841A RF Sensor software |
| CVE-2022-20754 | Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities |
| CVE-2022-20755 | Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities |
| CVE-2022-20790 | Cisco Unified Communications Products Arbitrary File Read Vulnerability |
| CVE-2022-20862 | Cisco Unified Communications Manager Arbitrary File Read Vulnerability |
| CVE-2022-20913 | Cisco Nexus Dashboard Arbitrary File Write Vulnerability |
| CVE-2022-2106 | Elcomplus SmartICS Path Traversal |
| CVE-2022-21177 | There is a path traversal vulnerability in CAMS for HIS Log Server contained in the following Yokogawa Electric products: CEN... |
| CVE-2022-2120 | OFFIS DCMTK Path Traversal |
| CVE-2022-2139 | Advantech iView |
| CVE-2022-21808 | Path traversal vulnerability exists in CAMS for HIS Server contained in the following Yokogawa Electric products: CENTUM CS 3... |
| CVE-2022-22245 | Junos OS: Path traversal vulnerability in J-Web |
| CVE-2022-22279 | A post-authentication arbitrary file read vulnerability impacting end-of-life Secure Remote Access (SRA) products and older f... |
| CVE-2022-23531 | Arbitrary file write when scanning a specially-crafted local PyPI package |
| CVE-2022-23732 | Path traversal in GitHub Enterprise Server management console leading to a bypass of CSRF protections |
| CVE-2022-23854 | AVEVA InTouch Access Anywhere versions 2020 R2 and older are vulnerable to a path traversal exploit that could allow an unaut... |
| CVE-2022-28814 | Path traversal in Carlo Gavazzi UWP 3.0 could lead to full device access |
| CVE-2022-29097 | Dell WMS 3.6.1 and below contains a Path Traversal vulnerability in Device API. A remote attacker could potentially exploit t... |
| CVE-2022-2922 | Relative Path Traversal in dnnsoftware/dnn.platform |
| CVE-2022-29844 | Western Digital My Cloud OS 5 arbitrary file read and write vulnerability via ftp |
| CVE-2022-30299 | A path traversal vulnerability [CWE-23] in the API of FortiWeb 7.0.0 through 7.0.1, 6.3.0 through 6.3.19, 6.4 all versions, 6... |
| CVE-2022-30300 | A relative path traversal vulnerability [CWE-23] in FortiWeb 7.0.0 through 7.0.1, 6.3.6 through 6.3.18, 6.4 all versions may... |
| CVE-2022-31163 | TZInfo relative path traversal vulnerability allows loading of arbitrary files |
| CVE-2022-3162 | Unauthorized read of Custom Resources |
| CVE-2022-33937 | Dell GeoDrive, Versions 1.0 - 2.2, contain a Path Traversal Vulnerability in the reporting function. A local, low privileged... |
| CVE-2022-34378 | Dell PowerScale OneFS, versions 9.0.0 up to and including 9.1.0.20, 9.2.1.13, 9.3.0.6, and 9.4.0.3, contain a relative path t... |
| CVE-2022-34836 | ABB Ability TM Operations Data Management Zenon Zenon Log Server file access control |
| CVE-2022-36081 | Wikmd vulnerable to Local File Enumeration when accessing /list |
| CVE-2022-38202 | BUG-000152121 - Directory traversal vulnerability in ArcGIS Server. |
| CVE-2022-38205 | Portal for ArcGIS has a directory traversal vulnerability (10.9.1, 10.8.1 and 10.7.1 only) |
| CVE-2022-39345 | Gin-vue-admin arbitrary file upload vulnerability caused by path traversal |
| CVE-2022-4123 | A flaw was found in Buildah. The local path and the lowest subdirectory may be disclosed due to incorrect absolute path trave... |
| CVE-2022-41335 | A relative path traversal vulnerability [CWE-23] in Fortinet FortiOS version 7.2.0 through 7.2.2, 7.0.0 through 7.0.8 and bef... |
| CVE-2022-42470 | A relative path traversal vulnerability in Fortinet FortiClient (Windows) 7.0.0 - 7.0.7, 6.4.0 - 6.4.9, 6.2.0 - 6.2.9 and 6.0... |
| CVE-2022-42474 | A relative path traversal vulnerability [CWE-23] in Fortinet FortiOS version 7.2.0 through 7.2.3, version 7.0.0 through 7.0.9... |
| CVE-2022-42476 | A relative path traversal vulnerability [CWE-23] in Fortinet FortiOS version 7.2.0 through 7.2.2, 7.0.0 through 7.0.8 and bef... |
| CVE-2022-42892 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2023-0339 | AM Web Policy Agent path traversal |
| CVE-2023-0511 | AM Java Policy Agent path traversal |
| CVE-2023-0745 | Arbitrary File Write in High Availability Backup Upload |
| CVE-2023-1043 | MuYuCMS index.php path traversal |
| CVE-2023-1044 | MuYuCMS index.php path traversal |
| CVE-2023-1045 | MuYuCMS filesdel.html path traversal |
| CVE-2023-1112 | Drag and Drop Multiple File Upload Contact Form 7 admin-ajax.php path traversal |
| CVE-2023-20040 | A vulnerability in the NETCONF service of Cisco Network Services Orchestrator (NSO) could allow an authenticated, remote atta... |
| CVE-2023-20066 | Cisco IOS XE Software Web UI Path Traversal Vulnerability |
| CVE-2023-23379 | Microsoft Defender for IoT Elevation of Privilege Vulnerability |
| CVE-2023-23391 | Office for Android Spoofing Vulnerability |
| CVE-2023-2356 | Relative Path Traversal in mlflow/mlflow |
| CVE-2023-23778 | A relative path traversal vulnerability [CWE-23] in FortiWeb version 7.0.1 and below, 6.4 all versions, 6.3 all versions, 6.2... |
| CVE-2023-23784 | A relative path traversal in Fortinet FortiWeb version 7.0.0 through 7.0.2, FortiWeb version 6.3.6 through 6.3.20, FortiWeb 6... |
| CVE-2023-27993 | A relative path traversal [CWE-23] in Fortinet FortiADC version 7.2.0 and before 7.1.1 allows a privileged attacker to delete... |
| CVE-2023-2913 | Rockwell Automation ThinManager ThinServer Path Traversal Vulnerability |
| CVE-2023-29189 | HTTP Verb Tampering vulnerability in SAP CRM (WebClient UI) |
| CVE-2023-31036 | CVE |
| CVE-2023-33144 | Visual Studio Code Spoofing Vulnerability |
| CVE-2023-34117 | Relative path traversal in the Zoom Client SDK before version 5.15.0 may allow an unauthorized user to enable information dis... |
| CVE-2023-34394 | Keysight N6845A Relative Path Traversal |
| CVE-2023-34990 | A relative path traversal in Fortinet FortiWLM version 8.6.0 through 8.6.5 and 8.5.0 through 8.5.4 allows attacker to execute... |
| CVE-2023-3512 | Relative path traversal in Setelsa Security ConacWin CB |
| CVE-2023-35359 | Windows Kernel Elevation of Privilege Vulnerability |
| CVE-2023-35816 | DevExpress before 23.1.3 allows arbitrary TypeConverter conversion. |
| CVE-2023-3701 | Relative path traversal in Aqua eSolutions |
| CVE-2023-37288 | SmartBPM.NET - Path Traversal |
| CVE-2023-37913 | org.xwiki.platform:xwiki-platform-office-importer vulnerable to arbitrary server side file writing from account through offic... |
| CVE-2023-38185 | Microsoft Exchange Server Remote Code Execution Vulnerability |
| CVE-2023-3940 | Multiple arbitrary file reads in ZkTeco-based OEM devices |
| CVE-2023-3941 | Multiple arbitrary file writes in ZkTeco-based OEM devices |
| CVE-2023-40714 | A relative path traversal in Fortinet FortiSIEM versions 7.0.0, 6.7.0 through 6.7.2, 6.6.0 through 6.6.3, 6.5.1, 6.5.0 allows... |
| CVE-2023-42456 | sudo-rs Session File Relative Path Traversal vulnerability |
| CVE-2023-42783 | A relative path traversal in Fortinet FortiWLM version 8.6.0 through 8.6.5 and 8.5.0 through 8.5.4 and 8.4.2 through 8.4.0 an... |
| CVE-2023-42791 | A relative path traversal in Fortinet FortiManager version 7.4.0 and 7.2.0 through 7.2.3 and 7.0.0 through 7.0.8 and 6.4.0 th... |
| CVE-2023-46119 | Parse Server may crash when uploading file without extension |
| CVE-2023-4760 | Remote Code Execution in Eclipse RAP on Windows |
| CVE-2023-47613 | A CWE-23: Relative Path Traversal vulnerability exists in Telit Cinterion BGS5, Telit Cinterion EHS5/6/8, Telit Cinterion PDS... |
| CVE-2023-4897 | Relative Path Traversal in mintplex-labs/anything-llm |
| CVE-2023-4914 | Relative Path Traversal in cecilapp/cecil |
| CVE-2023-49801 | Lif Auth Server vulnerable to uncontrolled data in path expression |
| CVE-2023-50255 | Zip Path Traversal in Deepin-Compressor |
| CVE-2023-5189 | Hub: insecure galaxy-importer tarfile extraction |
| CVE-2023-6307 | jeecgboot JimuReport image path traversal |
| CVE-2023-6722 | Relative Path Traversal in Repox |
| CVE-2024-0335 | Malformed Packet Handling |
| CVE-2024-0520 | Remote Code Execution due to Full Controlled File Write in mlflow/mlflow |
| CVE-2024-0549 | Relative Path Traversal in mintplex-labs/anything-llm |
| CVE-2024-0550 | Privileged User using traversal to read system files |
| CVE-2024-10019 | Path Traversal and OS Command Injection in parisneo/lollms-webui |
| CVE-2024-10200 | Wellchoose Administrative Management System - Arbitrary File Read through Path Traversal |
| CVE-2024-10513 | Path Traversal in mintplex-labs/anything-llm |
| CVE-2024-11067 | D-Link DSL6740C - Arbitrary File Reading through Path Traversal |
| CVE-2024-11309 | TRCore DVC - Arbitrary File Read through Path Traversal |
| CVE-2024-11310 | TRCore DVC - Arbitrary File Read through Path Traversal |
| CVE-2024-11311 | TRCore DVC - Arbitrary File Upload through Path Traversal |
| CVE-2024-11312 | TRCore DVC - Arbitrary File Upload through Path Traversal |
| CVE-2024-11313 | TRCore DVC - Arbitrary File Upload through Path Traversal |
| CVE-2024-11314 | TRCore DVC - Arbitrary File Upload through Path Traversal |
| CVE-2024-11315 | TRCore DVC - Arbitrary File Upload through Path Traversal |
| CVE-2024-12019 | Arbitrary File Read via Document API |
| CVE-2024-12482 | cjbi wetech-cms Database Backup BackupFileUtil.java backup path traversal |
| CVE-2024-12642 | Chunghwa Telecom TenderDocTransfer - Arbitrary File Write |
| CVE-2024-12645 | Chunghwa Telecom topm-client - Arbitrary File Read |
| CVE-2024-12897 | Intelbras VIP S4320 G2 Web Interface Sha1Account1 path traversal |
| CVE-2024-13130 | Dahua IPC-HFW1200S Web Interface Sha1Account1 path traversal |
| CVE-2024-13791 | Bit Assist <= 1.5.2 - Path Traversal to Authenticated (Administrator+) Arbitrary File Read via downloadResponseFile Function |
| CVE-2024-1485 | Registry-support: decompress can delete files outside scope via relative paths |
| CVE-2024-20310 | A vulnerability in the web-based interface of Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) co... |
| CVE-2024-20352 | A vulnerability in Cisco Emergency Responder could allow an authenticated, remote attacker to conduct a directory traversal a... |
| CVE-2024-20449 | Cisco Nexus Dashboard Fabric Controller Remote Code Execution Vulnerability |
| CVE-2024-2053 | Artica Proxy Unauthenticated LFI Protection Bypass Vulnerability |
| CVE-2024-22096 | Relative Path Traversal in Rapid SCADA |
| CVE-2024-22226 | Dell Unity, versions prior to 5.4, contain a path traversal vulnerability in its svc_supportassist utility. An authenticated... |
| CVE-2024-22415 | Unsecured endpoints in the jupyter-lsp server extension |
| CVE-2024-22421 | Potential authentication and CSRF tokens leak in JupyterLab |
| CVE-2024-2318 | ZKTeco ZKBio Media Service Port 9999 download path traversal |
| CVE-2024-24578 | RaspberryMatic Unauthenticated Remote Code Execution vulnerability through HMServer File Upload |
| CVE-2024-2461 | If exploited an attacker could traverse the file system to access files or directories that would otherwise be inaccessible |
| CVE-2024-25944 | Dell OpenManage Enterprise, v4.0 and prior, contain(s) a path traversal vulnerability. An unauthenticated remote attacker cou... |
| CVE-2024-27770 | Unitronics Unistream Unilogic – Versions prior to 1.35.227 CWE-23: Relative Path Traversal |
| CVE-2024-30010 | Windows Hyper-V Remote Code Execution Vulnerability |
| CVE-2024-3025 | Path Traversal in mintplex-labs/anything-llm |
| CVE-2024-3122 | CHANGING Mobile One Time Password - Arbitrary File Reading |
| CVE-2024-32005 | Local File Inclusion in NiceGUI leaflet component |
| CVE-2024-32115 | A relative path traversal vulnerability [CWE-23] in Fortinet FortiManager version 7.4.0 through 7.4.2 and before 7.2.5 allow... |
| CVE-2024-32116 | Multiple relative path traversal vulnerabilities [CWE-23] in Fortinet FortiManager version 7.4.0 through 7.4.2 and before 7.2... |
| CVE-2024-33615 | CyberPower PowerPanel business Relative Path Traversal |
| CVE-2024-34712 | Oceanic allows unsanitized user input to lead to path traversal in URLs |
| CVE-2024-3497 | Directory Traversal Remote Code Execution Vulnerability |
| CVE-2024-35186 | gix traversal outside working tree enables arbitrary code execution |
| CVE-2024-35274 | An improper limitation of a pathname to a restricted directory ('Path Traversal') vulnerability [CWE-22] in Fortinet FortiAna... |
| CVE-2024-37138 | Dell PowerProtect DD, versions prior to 8.0, LTS 7.13.1.0, LTS 7.10.1.30, LTS 7.7.5.40 on DDMC contain a relative path traver... |
| CVE-2024-38258 | Windows Remote Desktop Licensing Service Information Disclosure Vulnerability |
| CVE-2024-40588 | Multiple relative path traversal vulnerabilities [CWE-23] in Fortinet FortiMail version 7.6.0 through 7.6.1 and before 7.4.3,... |
| CVE-2024-4330 | Path Traversal in parisneo/lollms-webui |
| CVE-2024-43399 | Mobile Security Framework (MobSF) has a Zip Slip Vulnerability in .a Static Library Files |
| CVE-2024-43454 | Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability |
| CVE-2024-43614 | Microsoft Defender for Endpoint for Linux Spoofing Vulnerability |
| CVE-2024-45731 | Potential Remote Command Execution (RCE) through arbitrary file write to Windows system root directory when Splunk Enterprise... |
| CVE-2024-45816 | Storage bucket Directory Traversal in @backstage/plugin-techdocs-backend |
| CVE-2024-46664 | A relative path traversal in Fortinet FortiRecorder [CWE-23] version 7.2.0 through 7.2.1 and before 7.0.4 allows a privileged... |
| CVE-2024-47051 | Remote Code Execution & File Deletion in Asset Uploads |
| CVE-2024-47637 | WordPress LiteSpeed Cache plugin <= 6.4.1 - Path Traversal vulnerability |
| CVE-2024-47769 | IDURAR has a Path Traversal (unauthenticated user can read sensitive data) |
| CVE-2024-48892 | A relative path traversal vulnerability [CWE-23] in FortiSOAR 7.6.0, 7.5.0 through 7.5.1, 7.4 all versions, 7.3 all versions... |
| CVE-2024-49062 | Microsoft SharePoint Information Disclosure Vulnerability |
| CVE-2024-49253 | WordPress Analyse Uploads plugin <= 0.5 - Arbitrary File Deletion vulnerability |
| CVE-2024-50453 | WordPress The Pack Elementor addons plugin <= 2.0.9 - Local File Inclusion vulnerability |
| CVE-2024-52012 | Apache Solr: Configset upload on Windows allows arbitrary path write-access |
| CVE-2024-54449 | Remote Code Execution (RCE) via Arbitrary File Write In Document API |
| CVE-2024-54461 | Unsanitized Filenames in Flutter package file_selector_android Allow File Overwrites |
| CVE-2024-54462 | Unsanitized Filenames in Flutter package image_picker_android Allow File Overwrites |
| CVE-2024-5547 | Directory Traversal in stitionai/devika |
| CVE-2024-56340 | IBM Cognos Analytics path traversal |
| CVE-2024-6433 | Local File Inclusion in stitionai/devika |
| CVE-2024-6483 | Arbitrary File/Directory Deletion in aimhubio/aim |
| CVE-2024-6583 | Path Traversal in stangirard/quivr |
| CVE-2024-6985 | Path Traversal in api open_personality_folder in parisneo/lollms-webui |
| CVE-2024-7058 | Relative Path Traversal in parisneo/lollms-webui |
| CVE-2024-7693 | Team Johnlong software Raiden MAILD Remote Management System - Arbitrary File Reading through Path Traversal |
| CVE-2024-8510 | N-central Path Traversal |
| CVE-2024-8551 | Path Traversal in modelscope/agentscope |
| CVE-2024-9363 | Unauthorized File Deletion in polyaxon/polyaxon |
| CVE-2024-9405 | An incorrect limitation of a path to a restricted directory (path traversal) has been detected in Pluck CMS, affecting versio... |
| CVE-2024-9922 | TEAMPLUS TECHNOLOGY Team+ - Arbitrary File Read through Path Traversal |
| CVE-2024-9923 | TEAMPLUS TECHNOLOGY Team+ - Arbitrary File Move through Path Traversal |
| CVE-2024-9983 | Ragic Enterprise Cloud Database - Arbitrary File Read through Path Traversal |
| CVE-2025-0225 | Tsinghua Unigroup Electronic Archives System exampleDownload.html path traversal |
| CVE-2025-0390 | Guangzhou Huayi Intelligent Technology Jeewms wmOmNoticeHController.do path traversal |
| CVE-2025-0822 | Bit Assist <= 1.5.2 - Path Traversal to Authenticated (Subscriber+) Arbitrary File Read via fileID Parameter |
| CVE-2025-10203 | Relative Path Traversal Vulnerability in Digilent WaveForms |
| CVE-2025-10249 | Slider Revolution <= 6.7.37 - Missing Authorization to Authenticated (Contributor+) Arbitrary File Read |
| CVE-2025-1086 | Safetytest Cloud-Master Server static path traversal |
| CVE-2025-11898 | Flowring Technology|Agentflow - Arbitrary File Reading through Path Traversal |
| CVE-2025-13161 | IQ Service International|IQ-Support - Arbitrary File Read |
| CVE-2025-13199 | code-projects Email Logging Interface signup.cpp path traversal |
| CVE-2025-1584 | opensolon Solon StaticMappings.java path traversal |
| CVE-2025-1588 | PHPGurukul Online Nurse Hiring System manage-nurse.php path traversal |
| CVE-2025-1599 | SourceCodester Best Church Management Software profile_crud.php path traversal |
| CVE-2025-20059 | PingAM Java Policy Agent path traversal |
| CVE-2025-2007 | Import Export Suite for CSV and XML Datafeed <= 7.19 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2025-2056 | WP Ghost <= 5.4.01 - Unauthenticated Limited File Read |
| CVE-2025-22859 | A Relative Path Traversal vulnerability [CWE-23] in FortiClientEMS 7.4.0 through 7.4.1 and FortiClientEMS Cloud 7.4.0 through... |
| CVE-2025-23011 | Fedora Repository archive extraction path traversal |
| CVE-2025-23360 | NVIDIA Nemo Framework contains a vulnerability where a user could cause a relative path traversal issue by arbitrary file wri... |
| CVE-2025-23410 | GMOD Apollo Relative Path Traversal |
| CVE-2025-25048 | IBM Jazz Foundation path traversal |
| CVE-2025-25130 | WordPress Delete Comments By Status plugin <= 1.5.3 - Local File Inclusion vulnerability |
| CVE-2025-26349 | A CWE-23 "Relative Path Traversal" in the file upload mechanism in Q-Free MaxTime less than or equal to version 2.11.0 allows... |
| CVE-2025-26645 | Remote Desktop Client Remote Code Execution Vulnerability |
| CVE-2025-27410 | PwnDoc Arbitrary File Write to RCE using Path Traversal in backup restore as admin |
| CVE-2025-27553 | Apache Commons VFS: Possible path traversal issue when using NameScope.DESCENDENT |
| CVE-2025-27610 | Local File Inclusion in Rack::Static |
| CVE-2025-27791 | Collabora Online Vulnerable to Arbitrary File Write |
| CVE-2025-2961 | opensolon org.noear.solon.core.handle.RenderManager aa render_mav path traversal |
| CVE-2025-29789 | OpenEMR Has Directory Traversal in Load Code feature |
| CVE-2025-30159 | Kirby vulnerable to path traversal of snippet names in the `snippet()` helper |
| CVE-2025-30207 | Kirby vulnerable to path traversal in the router for PHP's built-in server |
| CVE-2025-31493 | Path traversal of collection names during file system lookup |
| CVE-2025-32017 | Umbraco has a Management API Vulnerability to Path Traversal With Authenticated Users |
| CVE-2025-32137 | WordPress s2Member plugin <= 250214 - Local File Inclusion vulnerability |
| CVE-2025-32409 | Ratta SuperNote A6 X2 Nomad before December 2024 allows remote code execution because an arbitrary firmware image (signed wit... |
| CVE-2025-33112 | IBM AIX command execution |
| CVE-2025-3365 | Relative Path Traversal in OnlineSuite |
| CVE-2025-34510 | Sitecore XM, XC, and XP Post-Auth RCE via Zip Slip |
| CVE-2025-46363 | Dell Secure Connect Gateway (SCG) 5.0 Application and Appliance version(s) 5.26.00.00 - 5.30.00.00, contain a Relative Path T... |
| CVE-2025-47445 | WordPress Eventin <= 4.0.26 - Arbitrary File Download Vulnerability |
| CVE-2025-47788 | Missing Path Validation Enables Path Traversal in Controller.php |
| CVE-2025-48817 | Remote Desktop Client Remote Code Execution Vulnerability |
| CVE-2025-48957 | AstrBot Has Path Traversal Vulnerability in /api/chat/get_file |
| CVE-2025-49466 | aerc before 93bec0d allows directory traversal in commands/msgview/open.go because of direct path concatenation of the name o... |
| CVE-2025-52207 | PBXCoreREST/Controllers/Files/PostController.php in MikoPBX through 2024.1.114 allows uploading a PHP script to an arbitrary... |
| CVE-2025-52922 | Innoshop through 0.4.1 allows directory traversal via FileManager API endpoints. An authenticated attacker with access to the... |
| CVE-2025-53082 | An 'Arbitrary File Deletion' in Samsung DMS(Data Management Server) allows attackers to delete arbitrary files from unintende... |
| CVE-2025-53609 | A Relative Path Traversal vulnerability [CWE-23] in FortiWeb 7.6.0 through 7.6.4, 7.4.0 through 7.4.8, 7.2.0 through 7.2.11,... |
| CVE-2025-53779 | Windows Kerberos Elevation of Privilege Vulnerability |
| CVE-2025-54317 | An issue was discovered in Logpoint before 7.6.0. An attacker with operator privileges can exploit a path traversal vulnerabi... |
| CVE-2025-55013 | Assemblyline 4 Service Client: Arbitrary Write through path traversal in Client code |
| CVE-2025-55115 | BMC Control-M/Agent path traversal local privilege escalation |
| CVE-2025-55202 | Opencast has a partial path traversal vulnerability in UI config |
| CVE-2025-55747 | XWiki Platform's configuration files can be accessed through the webjars API |
| CVE-2025-55748 | XWiki Platform's configuration files can be accessed through jsx and sx endpoints |
| CVE-2025-55752 | Apache Tomcat: Directory traversal via rewrite with possible RCE if PUT is enabled |
| CVE-2025-58078 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-58429 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-58456 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-58463 | Download Station |
| CVE-2025-58464 | QuMagie |
| CVE-2025-58752 | Vite's `server.fs` settings were not applied to HTML files |
| CVE-2025-58760 | Tautulli vulnerable to Unauthenticated Path Traversal in `/image` endpoint |
| CVE-2025-59336 | Relative Path Traversal in Luanox |
| CVE-2025-59341 | Local File Inclusion in esm.sh |
| CVE-2025-59682 | An issue was discovered in Django 4.2 before 4.2.25, 5.1 before 5.1.13, and 5.2 before 5.2.7. The django.utils.archive.extrac... |
| CVE-2025-59776 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-59835 | LangBot has a cross-directory file upload vulnerability, which could lead to system takeover |
| CVE-2025-60020 | nncp before 8.12.0 allows path traversal (for reading or writing) during freqing and file saving via a crafted path in packet... |
| CVE-2025-60023 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-62187 | In Ankitects Anki before 25.02.6, crafted sound file references could cause files to be written to arbitrary locations on Win... |
| CVE-2025-62498 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-62552 | Microsoft Access Remote Code Execution Vulnerability |
| CVE-2025-64446 | A relative path traversal vulnerability in Fortinet FortiWeb 8.0.0 through 8.0.1, FortiWeb 7.6.0 through 7.6.4, FortiWeb 7.4.... |
| CVE-2025-64714 | PrivateBin's template-switching feature allows arbitrary local file inclusion through path traversal |
| CVE-2025-64757 | Astro Development Server is Vulnerable to Arbitrary Local File Read |
| CVE-2025-66386 | app/Model/EventReport.php in MISP before 2.5.27 allows path traversal in view picture for a site-admin. |
| CVE-2025-66626 | argoproj/argo-workflows is vulnerable to RCE via ZipSlip and symbolic links |
| CVE-2025-68472 | MindsDB has improper sanitation of filepath that leads to information disclosure and DOS |
| CVE-2025-7146 | Jhenggao iPublish System - Arbitrary File Reading through Path Traversal |
| CVE-2025-7619 | WellChoose|BatchSignCS - Arbitrary File Write through Path Traversal |
| CVE-2025-8464 | Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.9.0 - Directory Traversal via `wpcf7_guest_user_id` Cookie |
| CVE-2025-9570 | Sunnet|eHRD CTMS - Arbitrary File Reading through Path Traversal |
| CVE-2025-9639 | Ai3|QbiCRMGateway - Arbitrary File Reading through Path Traversal |
| CVE-2026-1022 | Gotac|Statistics Database System - Arbitrary File Read |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.