Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-23
Relative Path Traversal
The product uses external input to construct a pathname that should be within a restricted directory, but it does not properly neutralize sequences such as ".." that can resolve to a location that is outside of that directory.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-01082 | Уязвимость промышленных рабочих станций Emerson DeltaV DCS, связанная с ошибками проверки пути к каталогу, позволяющая нарушителю заменить исполняемые файлы |
| BDU:2019-01725 | Уязвимость средства антивирусной защиты Dr.Web Enterprise Security Suite, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2019-01726 | Уязвимость средства антивирусной защиты Dr.Web Enterprise Security Suite, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2019-01727 | Уязвимость средства антивирусной защиты Dr.Web Enterprise Security Suite, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2019-04015 | Уязвимость реализации протокола Modbus программного обеспечения "Сервер связи" комплекса программ EKRASMS-SP терминала микропроцессорного серии ЭКРА 200, позволяющая нарушителю выполнить произвольную команду |
| BDU:2019-04627 | Уязвимость реализации механизма обработки .NPK-файлов операционной системы RouterOS маршрутизаторов MikroTik, позволяющая нарушителю создавать произвольные каталоги и выполнить произвольный shell-код |
| BDU:2019-04783 | Уязвимость операционных систем Junos OS маршрутизаторов серии NFX150, EX9200 with NG-RE, MX with NG-RE, PTX with NG-RE и QFX10K with NG-RE, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получи... |
| BDU:2020-04463 | Уязвимость модуля spring-cloud-config-server сервера Spring Cloud Config, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-05669 | Уязвимость функции конфигурации посредника обработки данных Cisco Nexus Data Broker, позволяющая нарушителю перезаписать произвольные файлы |
| BDU:2021-02359 | Уязвимость системы балансировки трафика FortiWAN, связанная с ошибками при обработке относительного пути к каталогу, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2021-02419 | Уязвимость системы балансировки трафика с интегрированным сервисом WEB-безопасности и фильтрации данных FortiWAN, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю обойти процесс аутентификации и удалить произвол... |
| BDU:2021-04199 | Уязвимость реализации функций на основе технологии AJAX motor_load_more(), motor_gallery_load_more(), motor_quick_view() и motor_project_quick_view() темы Motor - Cars, Parts, Service, Equipments and Accessories WooCommerce Store системы управления с... |
| BDU:2021-04701 | Уязвимость функции filesystem.renamer() бинарной программы чтения новостей SABnzbd, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05975 | Уязвимость плагина h5-vcav-bootstrap-service программного обеспечения управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю прочитать локальные файлы сервера, на котором установлено уязвимое ПО, а также осуществить подд... |
| BDU:2021-06169 | Уязвимость сервера TwinCAT OPC UA Server, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю создавать и удалять произвольные файлы в системе |
| BDU:2022-00603 | Уязвимость микропрограммного обеспечения систем биометрической идентификации IDEMIA, связанная с возможностью выхода за пределы директории, позволяющая нарушителю производить чтение/запись файлов устройства |
| BDU:2022-00672 | Уязвимость централизованной системы управления аварийными сообщениями и событиями CAMS for HIS распределенных систем управления CENTUM VP и CENTUM VP Entry Class и OPC-сервера Exaopc, позволяющая нарушителю записывать произвольные файлы |
| BDU:2022-01148 | Уязвимость API кластерной базы данных устройств управления конференц-связью Cisco Expressway Series и Cisco Telepresence VCS, позволяющая нарушителю перезаписать произвольные файлы на базовой операционной системе в качестве root-пользователя |
| BDU:2022-01500 | Уязвимость микропрограммного обеспечения беспроводных повторителей D-Link DAP-1620, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01927 | Уязвимость централизованной системы управления аварийными сообщениями и событиями CAMS for HIS распределенных систем управления CENTUM VP и CENTUM VP Entry Class и OPC-сервера Exaopc, позволяющая нарушителю записывать произвольные файлы |
| BDU:2022-02506 | Уязвимость операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и повы... |
| BDU:2022-02722 | Уязвимость платформы разработки для создания визуализаций myDESIGNER, связанная с ошибками обработки относительного пути к каталогу при импортировании файла проекта, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-02888 | Уязвимость веб-интерфейса управления систем обработки вызовов Cisco Unified Communications Manager (CM) и Cisco Unified Communications Manager Session Management Edition (SME), позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-03960 | Уязвимость микропрограммного обеспечения многофункционального устройства HP LaserJet Professional серии M1210, позволяющая нарушителю выполнить произвольный код с привилегиями приложения |
| BDU:2022-04250 | Уязвимость программной платформы для промышленной автоматизации и Интернета вещей Elcomplus SmartICS, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю раскрыть защищаемую информацию и подменить произвольные файл... |
| BDU:2022-04289 | Уязвимость веб-интерфейса систем обработки вызовов Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04297 | Уязвимость службы FortiESNAC средства защиты Fortinet FortiClient for Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-04433 | Уязвимость интерфейса управления средства выявления и принятия мер реагирования на внешние и внутренние угрозы безопасности Fortinet FortiDeceptor, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2022-04587 | Уязвимость механизма загрузки файлов веб-сервера CivetWeb, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-04689 | Уязвимость реализации класса UserFirmwareRequestHandler микропрограммного обеспечения сенсоров для мониторинга спектра Keysight N6841A RF и микропрограммного обеспечения серверов геолокации Keysight N6854A, позволяющая нарушителю получить несанкциони... |
| BDU:2022-05611 | Уязвимость интерфейса командной строки (CLI) платформы аналитики и автоматизации работы с многооблачными сетями дата-центров Cisco Nexus Dashboard, позволяющая нарушителю перезаписать произвольные файлы |
| BDU:2023-00155 | Уязвимость компонента getUserPrefMenuFragment системы централизованного управления сетевыми устройствами и портами Advantech iView, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код |
| BDU:2023-00256 | Уязвимость интерфейса локальной файловой системы Dell GeoDrive, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ на удаление файлов |
| BDU:2023-00556 | Уязвимость функции WEB_DisplayPage() микропрограммного обеспечения беспроводных точек доступа D-Link DAP-2020 и DAP-1360, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00922 | Уязвимость межсетевого экрана веб-приложений FortiWeb, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-01331 | Уязвимость технологии виртуализации Virtual Domains (VDOM) операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01804 | Уязвимость расширений для обеспечения доступа к приложениям InTouch Access Anywhere и Plant SCADA Access Anywhere, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить доступ на чтение к файлам, находящимся... |
| BDU:2023-01841 | Уязвимость веб-интерфейса операционных систем Cisco IOS XE, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-02599 | Уязвимость интерфейса командной строки (CLI) контроллера доставки приложений FortiADC, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2023-03148 | Уязвимость веб-интерфейса J-Web операционной системы Juniper Networks Junos, позволяющая нарушителю загружать произвольные файлы |
| BDU:2023-03355 | Уязвимость операционных систем FortiOS, прокси-сервера для защиты от интернет-атак FortiProxy и локальной платформы управления FortiSwitchManager, связанная с ошибками обработки относительного пути в административном интерфейсе, позволяющая нарушител... |
| BDU:2023-03570 | Уязвимость компонента eXchange Layer (IXL) среды разработки приложений для программируемых логических контроллеров ISaGRAF Runtime Rockwell Automation, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-03795 | Уязвимость микропрограммного обеспечения серверов геолокации Keysight N6854A, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-04283 | Уязвимость интерфейса управления программного средства для централизованного управления устройствами Fortinet FortiManager и межсетевого экрана FortiAnalyzer, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-04430 | Уязвимость интерфейса iclock веб-платформы управления учетом рабочего времени BioTime, позволяющая нарушителю получить доступ на чтение произвольных файлов |
| BDU:2023-04431 | Уязвимость реализации протокола SFTP (Secure File Transfer Protocol) веб-платформы управления учетом рабочего времени BioTime, позволяющая нарушителю записывать произвольные файлы |
| BDU:2023-04438 | Уязвимость веб-платформы для создания систем контроля и управления доступом ZKBio Access lVS, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить доступ на чтение произвольных файлов |
| BDU:2023-07541 | Уязвимость межсетевого экрана веб-приложений FortiWeb, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-07551 | Уязвимость программ системного администрирования Sudo-rs, связанная с недостаточной проверкой введенных пользователем командных аргументов, позволяющая нарушителю повысить свои привилегии путём создания специально сформированного имени пользователя |
| BDU:2023-08007 | Уязвимость системы централизованного управления точками доступа WLAN и коммутаторами LAN Fortinet FortiWLM, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю читать произвольные файлы |
| BDU:2024-00310 | Уязвимость программного обеспечения для развертывания и выполнения моделей искусственного интеллекта NVIDIA Triton Inference Server (ранее TensorRT Inference Server), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации,... |
| BDU:2024-00878 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с обходом относительного пути, позволяющая нарушителю выполнить произвольные файловые операции за пределами директории |
| BDU:2024-00930 | Уязвимость SCADA-системы Rapid SCADA, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю читать произвольные файлы |
| BDU:2024-01383 | Уязвимость компонента Archive Extraction Handler установщика интегрированной среды разработки программного обеспечения IntelliJ IDEA, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-01691 | Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager и межсетевого экрана FortiAnalyzer, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный ко... |
| BDU:2024-02014 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю выполнить произвольные действия |
| BDU:2024-02201 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров UniLogic Studio серии UniStream, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю обойти ограничения безопасности и выполнить прои... |
| BDU:2024-02871 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю считывать данные из JAR-архивов |
| BDU:2024-02879 | Уязвимость функции path.resolve() модели разрешений программной платформы Node.js, позволяющая нарушителю оказать воздействие на целостность, доступность и конфиденциальность защищаемой информации |
| BDU:2024-02932 | Уязвимость операционной среды для управления и обеспечения работы хранилища данных Dell Unity Operating Environment (OE), связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ на з... |
| BDU:2024-03373 | Уязвимость плагина BackUpWordPress системы управления содержимым сайта WordPress, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03470 | Уязвимость системы мониторинга и управления источниками бесперебойного питания PowerPanel Business, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03899 | Уязвимость микропрограммного обеспечения модемов Telit Cinterion, связанная с обходом относительного пути, позволяющая нарушителю получить доступ на чтение и запись произвольных файлов системы |
| BDU:2024-03929 | Уязвимость системы аппаратной виртуализации Windows Hyper-V операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04173 | Уязвимость веб-интерфейса сервера управления и мониторинга экстренных вызовов Cisco Emergency Responder, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2024-04199 | Уязвимость веб-интерфейса управления системы обработки вызовов Cisco Unified Communications Manager IM Presence Service (Unified CM IMP), позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2024-04358 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю читать произвольные файлы с сервера |
| BDU:2024-04385 | Уязвимость библиотеки на языке Rust для работы с Git-репозиториями gitoxide, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04983 | Уязвимость компонентов Handler for User Photo Upload Command и Handler for Picture Upload Command микропрограммного обеспечения биометрических терминалов ZkTeco ProFace X, Smartec ST-FR043 и Smartec ST-FR041ME, позволяющая нарушителю повысить свои пр... |
| BDU:2024-04984 | Уязвимость микропрограммного обеспечения биометрических терминалов ZkTeco ProFace X, Smartec ST-FR043 и Smartec ST-FR041ME, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю обойти ограничения безопасности и полу... |
| BDU:2024-05063 | Уязвимость интерпретатора набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05165 | Уязвимость системы для запуска и управления большими языковыми моделями (LLM) Ollama, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить доступ к произвольным файлам в уязвимой системе |
| BDU:2024-05728 | Уязвимость метода unzip микропрограммного обеспечения многофункциональных устройств Toshiba e-STUDIO, позволяющая нарушителю выполнить произвольный код, создавать новые файлы или перезаписывать существующие |
| BDU:2024-07186 | Уязвимость службы Remote Desktop Licensing Service операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-07195 | Уязвимость службы Remote Desktop Licensing Service операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07895 | Уязвимость функции uploadFile() сценария bigUpload.php микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, позволяющая нарушителю получить несанкционированный доступ к ус... |
| BDU:2024-08055 | Уязвимость Защитника Microsoft (Microsoft Defender for Endpoint) операционных систем Linux, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2024-08748 | Уязвимость платформы для операционного анализа Splunk Enterprise, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю записать произвольный файл в корневой каталог системы Windows |
| BDU:2024-08822 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-09101 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю записывать файлы резервных копий в произвольные директории |
| BDU:2024-09634 | Уязвимость средства защиты Fortinet FortiClient, связанная с ошибками в обработке относительного пути, позволяющая нарушителю загрузить произвольные файлы в систему |
| BDU:2024-09706 | Уязвимость микропрограммного обеспечения модема D-Link DSL6740C, связанная с возможностью обхода пути, позволяющая нарушителю читать произвольные системные файлы, получить MAC-адрес устройства и попытаться войти в систему |
| BDU:2024-10078 | Уязвимость интерфейса командной строки CLI (Command Line Interface) программного средства централизованного управления устройствами Fortinet FortiManager и средств отслеживания и анализа событий безопасности FortiAnalyzer и FortiAnalyzer-BigData, поз... |
| BDU:2024-10223 | Уязвимость веб-интерфейса платформы управления сетевыми ресурсами Cisco Nexus Dashboard Fabric Controller (NDFC), позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10617 | Уязвимость функции ABB VPNI компонента S+ Control API программного средства управления и мониторинга ABB Symphony Plus S+ Operations, S+ Engineering, S+ Analyst, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-11202 | Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Server Subscription Edition и Microsoft SharePoint Enterprise Server, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю раскрыть защищ... |
| BDU:2024-11387 | Уязвимость обработчика параметра imagename в CGI-скрипте /ems/cgi-bin/ezrf_lighttpd.cgi графического интерфейса системы централизованного управления точками доступа WLAN и коммутаторами LAN Fortinet FortiWLM, позволяющая нарушителю выполнить произвол... |
| BDU:2024-11514 | Уязвимость модуля AWS S3 платформы для построения порталов разработчиков Backstage, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00738 | Уязвимость графического интерфейса микропрограммного обеспечения устройства системы видеонаблюдения FortiRecorder, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-00932 | Уязвимость пакета Voyager PHP-фреймворка Laravel, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-01024 | Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю удалять произвольные файлы в файловой системе |
| BDU:2025-01025 | Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager и средств отслеживания и анализа событий безопасности FortiAnalyzer, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нар... |
| BDU:2025-01820 | Уязвимость почтового сервера CommuniGate Pro, связанная с ошибками при обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02581 | Уязвимость класса Rack::Static модульного интерфейса между веб-серверами и веб-приложениями Rack, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02750 | Уязвимость камер видеонаблюдения для систем мониторинга и наблюдения IntelBras IP Camera, позволяющая нарушителю получить несанкционированный доступ к устройствам и защищаемой информации |
| BDU:2025-03216 | Уязвимость метода resolveFile единого API для доступа к различным файловым системам Apache Commons VFS (Virtual File System), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03251 | Уязвимость клиента удаленного рабочего стола Remote Desktop Client операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-03463 | Уязвимость платформы мониторинга и управления ИТ-инфраструктурой N-able N-central, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-03988 | Уязвимость графического интерфейса системы управления безопасностью FortiSIEM, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04958 | Уязвимость комплексной платформы для тренировки и применения нейронных сетей в области обработки речи и естественного языка NVIDIA NeMo, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный ко... |
| BDU:2025-05222 | Уязвимость кроссплатформенной интегрированной среды разработки программного обеспечения JetBrains Rider, связанная с обходом относительного пути, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2025-05248 | Уязвимость ZIP-файлов поискового сервера Apache Solr, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании |
| BDU:2025-05379 | Уязвимость модуля Certificates and Keys приложения Device Admin App операционной системы ctrlX OS, позволяющая нарушителю записывать произвольные файлы |
| BDU:2025-05641 | Уязвимость конфигурации Enable API Endpoints компонента ThinServer платформы для централизованного управления приложениями Rockwell Automation ThinManager, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-07163 | Уязвимость программного средства управления человеко-машинными интерфейсами (HMI) Rockwell Automation FactoryTalk View SE, связанная с недостаточной проверкой входных данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-07196 | Уязвимость пакета perl.rte операционной системы IBM AIX и IBM VIOS, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-08231 | Уязвимость приложения Solutions App операционной системы ctrlX OS, позволяющая нарушителю записывать произвольные файлы в произвольные места в файловой системе |
| BDU:2025-08502 | Уязвимость программы мониторинга компьютерной сети NetMRI, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-08534 | Уязвимость клиента удаленного рабочего стола (Remote Desktop Client) операционных систем Windows, связанная с недостатками контроля доступа, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-08664 | Уязвимость модуля iblock системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08665 | Уязвимость модуля iblock системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09147 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками при обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09690 | Уязвимость реализации протокола Kerberos операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-10115 | Уязвимость программного обеспечения TrueConf Server, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10237 | Уязвимость платформы резервного копирования и восстановления данных CommVault, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к файловой системе и выполнить произвольный код |
| BDU:2025-11358 | Уязвимость сервера для управления программами Fortinet FortiClient Enterprise Management Server (EMS) и облачного хранилища FortiClient EMS Cloud, существующая из-за относительного пути обхода в сообщении загрузки, позволяющая оказать воздействие на... |
| BDU:2025-11460 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с ошибками при обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-11967 | Уязвимость инструмента для создания контейнеров Buildah, связанная с ошибками проверки пути к каталогу, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2025-12440 | Уязвимость межсетевого экрана веб-приложений FortiWeb, связанная с ошибками механизма обработки относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-12661 | Уязвимость функции django.utils.archive.extract() программной платформы для веб-приложений Django, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-13433 | Уязвимость компонента org.xwiki.platform:xwiki-platform-skin-skinx платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-13434 | Уязвимость компонента org.xwiki.platform:xwiki-platform-webjars-api платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-13742 | Уязвимость сервера приложений Apache Tomcat, связанная с обходом относительного пути, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-14084 | Уязвимость функций cgi_auth() и cgi_process() межсетевого экрана веб-приложений FortiWeb, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-14501 | Уязвимость программной платформы управления идентификацией и доступом PingAM Java Policy Agent, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14678 | Уязвимость программного обеспечения для безопасности электронной почты SonicWall Email Security, связанная с ошибками механизма обработки относительного пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информац... |
| BDU:2025-15634 | Уязвимость пакета программ Microsoft Office, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код |
| BDU:2026-00060 | Уязвимость системы управления контентом Umbraco CMS, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2026-00183 | Уязвимость микропрограммного обеспечения контроллеров беспроводных сетей Ruckus Virtual SmartZone, связанная с обходом относительного пути, позволяющая нарушителю загружать произвольные файлы и получить несанкционированный доступ к конфиденциальной и... |
| BDU:2026-00301 | Уязвимость систем управления контентом Sitecore Experience Manager (XM), Experience Platform (XP) и платформы для персонализированного процесса покупок Experience Commerce (XC), связанная с ошибками в обработке относительного пути к каталогу, позволя... |
| BDU:2026-00528 | Уязвимость набора вложенных под каталогов на ftp- или http-серверах Fedora Repository, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю удалять произвольные файлы в файловой системе |
| BDU:2026-00957 | Уязвимость сценариев fetching/binary-fetcher/src/index.ts и resolving/resolver-base/src/index.ts менеджера пакетов pnpm, позволяющая нарушителю записывать произвольные файлы |
| BDU:2026-00958 | Уязвимость менеджера пакетов pnpm, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю записывать произвольные файлы |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2012-5972 | SpecView Directory Traversal |
| CVE-2012-6069 | 3S CoDeSys Relative Path Traversal |
| CVE-2017-0918 | Gitlab Community Edition version 10.3 is vulnerable to a path traversal issue in the GitLab CI runner component resulting in... |
| CVE-2017-13996 | A Relative Path Traversal issue was discovered in LOYTEC LVIS-3ME versions prior to 6.2.0. The web user interface fails to pr... |
| CVE-2017-9664 | In ABB SREA-01 revisions A, B, C: application versions up to 3.31.5, and SREA-50 revision A: application versions up to 3.32.... |
| CVE-2018-10615 | Directory traversal may lead to files being exfiltrated or deleted on the GE MDS PulseNET and MDS PulseNET Enterprise version... |
| CVE-2018-12473 | path traversal in obs-service-tar_scm |
| CVE-2018-12476 | obs-service-extract_file's outfilename parameter allows to write files outside of package directory |
| CVE-2018-13299 | Relative path traversal vulnerability in Attachment Uploader in Synology Calendar before 2.2.2-0532 allows remote authenticat... |
| CVE-2018-14795 | DeltaV Versions 11.3.1, 12.3.1, 13.3.0, 13.3.1, and R5 is vulnerable due to improper path validation which may allow an attac... |
| CVE-2018-18990 | LCDS Laquis SCADA prior to version 4.1.0.4150 allows a user-supplied path in file operations prior to proper validation. An a... |
| CVE-2018-5448 | Medtronic 2090 Carelink Programmer Relative Path Traversal |
| CVE-2019-0074 | Junos OS: NFX150 Series, QFX10K Series, EX9200 Series, MX Series, PTX Series: Path traversal vulnerability in NFX150 and NG-R... |
| CVE-2019-11822 | Relative path traversal vulnerability in SYNO.PhotoStation.File in Synology Photo Station before 6.8.11-3489 and before 6.3-2... |
| CVE-2019-11826 | Relative path traversal vulnerability in SYNO.PhotoTeam.Upload.Item in Synology Moments before 1.3.0-0691 allows remote authe... |
| CVE-2019-13408 | Advan VD-1 allows users to download arbitrary files |
| CVE-2019-13944 | A vulnerability has been identified in EN100 Ethernet module DNP3 variant (All versions), EN100 Ethernet module IEC 61850 var... |
| CVE-2019-17640 | In Eclipse Vert.x 3.4.x up to 3.9.4, 4.0.0.milestone1, 4.0.0.milestone2, 4.0.0.milestone3, 4.0.0.milestone4, 4.0.0.milestone5... |
| CVE-2019-18338 | A vulnerability has been identified in Control Center Server (CCS) (All versions < V1.5.0). The Control Center Server (CCS) c... |
| CVE-2019-19287 | A vulnerability has been identified in XHQ (All Versions < 6.1). The web interface could allow attackers to traverse through... |
| CVE-2019-3943 | MikroTik RouterOS versions Stable 6.43.12 and below, Long-term 6.42.12 and below, and Testing 6.44beta75 and below are vulner... |
| CVE-2019-3976 | RouterOS 6.45.6 Stable, RouterOS 6.44.5 Long-term, and below are vulnerable to an arbitrary directory creation vulnerability... |
| CVE-2020-10619 | An attacker could use a specially crafted URL to delete files outside the WebAccess/NMS's (versions prior to 3.0.2) control. |
| CVE-2020-10631 | An attacker could use a specially crafted URL to delete or read files outside the WebAccess/NMS's (versions prior to 3.0.2) c... |
| CVE-2020-12006 | Advantech WebAccess Node, Version 8.4.4 and prior, Version 9.0.0. Multiple relative path traversal vulnerabilities exist that... |
| CVE-2020-12010 | Advantech WebAccess Node, Version 8.4.4 and prior, Version 9.0.0. Multiple relative path traversal vulnerabilities exist that... |
| CVE-2020-12026 | Advantech WebAccess Node, Version 8.4.4 and prior, Version 9.0.0. Multiple relative path traversal vulnerabilities exist that... |
| CVE-2020-17518 | Apache Flink directory traversal attack: remote file writing through the REST API |
| CVE-2020-1904 | A path validation issue in WhatsApp for iOS prior to v2.20.61 and WhatsApp Business for iOS prior to v2.20.61 could have allo... |
| CVE-2020-25150 | B. Braun SpaceCom, Battery Pack SP with Wi-Fi, and Data module compactplus |
| CVE-2020-25172 | B. Braun OnlineSuite |
| CVE-2020-25176 | Rockwell Automation ISaGRAF5 Runtime Relative Path Traversal |
| CVE-2020-27304 | The CivetWeb web library does not validate uploaded filepaths when running on an OS other than Windows, when using the built-... |
| CVE-2020-3597 | Cisco Nexus Data Broker Software Path Traversal Vulnerability |
| CVE-2020-4039 | Directory Traversal Vulnerability in SUSI.AI Server |
| CVE-2020-5237 | Relative Path Traversal in oneup/uploader-bundle |
| CVE-2020-5280 | Local file inclusion vulnerability in http4s |
| CVE-2020-5284 | Directory Traversal in Next.js versions below 9.3.2 |
| CVE-2020-5405 | Directory Traversal with spring-cloud-config-server |
| CVE-2020-5410 | Directory Traversal with spring-cloud-config-server |
| CVE-2020-7008 | VISAM VBASE Editor version 11.5.0.2 and VBASE Web-Remote Module may allow input passed in the URL that is not properly verifi... |
| CVE-2020-7376 | Rapid7 Metasploit Framework Relative Path Traversal in enum_osx module |
| CVE-2020-7377 | Rapid7 Metasploit Framework Relative Path Traversal in telpho10_credential_dump module |
| CVE-2020-7861 | AnySupport directory traversing vulnerability |
| CVE-2020-8254 | A vulnerability in the Pulse Secure Desktop Client < 9.1R9 has Remote Code Execution (RCE) if users can be convinced to conne... |
| CVE-2020-8271 | Unauthenticated remote code execution with root privileges in Citrix SD-WAN Center versions before 11.2.2, 11.1.2b and 10.2.8 |
| CVE-2020-8570 | Kubernetes Java client libraries unvalidated path traversal in Copy implementation |
| CVE-2020-8865 | This vulnerability allows remote attackers to execute local PHP files on affected installations of Horde Groupware Webmail Ed... |
| CVE-2021-20040 | A relative path traversal vulnerability in the SMA100 upload funtion allows a remote unauthenticated attacker to upload craft... |
| CVE-2021-22281 | Zip Slip Vulnerability in B&R Automation Studio Project Import |
| CVE-2021-22674 | The affected product is vulnerable to a relative path traversal condition, which may allow an attacker access to unauthorized... |
| CVE-2021-22870 | Path traversal in GitHub Enterprise Server hosted Pages leads to unauthorized file read access |
| CVE-2021-24035 | A lack of filename validation when unzipping archives prior to WhatsApp for Android v2.21.8.13 and WhatsApp Business for Andr... |
| CVE-2021-28798 | Relative Path Traversal Vulnerability in QTS and QuTS hero |
| CVE-2021-29100 | ArcGIS Earth has a File Parsing Directory Traversal Vulnerability |
| CVE-2021-29101 | ArcGIS GeoEvent Server has a Directory Traversal security vulnerability. |
| CVE-2021-29488 | Creation of files outside the Download Folder through malicious PAR2 files |
| CVE-2021-32825 | ZipSlip vulnerability in bblfshd |
| CVE-2021-32949 | MDT AutoSave Relative Path Traversal |
| CVE-2021-32954 | Advantech WebAccess/SCADA Versions 9.0.1 and prior is vulnerable to a directory traversal, which may allow an attacker to rem... |
| CVE-2021-32964 | Claroty Secure Remote Access Site - Authentication Bypass Using an Alternate Path or Channel |
| CVE-2021-34594 | Beckhoff: Relative path traversal vulnerability through TwinCAT OPC UA Server |
| CVE-2021-34605 | Xinje XD/E Series PLC Program Tool Zip Slip |
| CVE-2021-37196 | A vulnerability has been identified in COMOS V10.2 (All versions only if web components are used), COMOS V10.3 (All versions... |
| CVE-2021-38399 | Honeywell Experion PKS and ACE Controllers Relative Path Traversal |
| CVE-2021-41127 | Maliciously Crafted Model Archive Can Lead To Arbitrary File Write in rasa |
| CVE-2021-41152 | Path Traversal in Folder Component Leading to Local File Inclusion |
| CVE-2021-41178 | File Traversal affecting SVG files on Nextcloud Server |
| CVE-2021-41242 | Path Traversal in some REST methods leading to file upload to arbitrary places |
| CVE-2021-43176 | The GOautodial API prior to commit 3c3a979 made on October 13th, 2021 takes a user-supplied “action” parameter and appends a... |
| CVE-2021-43555 | mySCADA myDESIGNER |
| CVE-2021-4459 | SMA: Directory Traversal in Sunny Boy <3.10.27.R |
| CVE-2022-1373 | Softing Secure Integration Server Relative Path Traversal |
| CVE-2022-1648 | Relative Path Traversal to Remote Code Execution in File Manager |
| CVE-2022-1661 | Keysight N6854A Geolocation server and N6841A RF Sensor software |
| CVE-2022-20754 | Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities |
| CVE-2022-20755 | Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities |
| CVE-2022-20790 | Cisco Unified Communications Products Arbitrary File Read Vulnerability |
| CVE-2022-20862 | Cisco Unified Communications Manager Arbitrary File Read Vulnerability |
| CVE-2022-20913 | Cisco Nexus Dashboard Arbitrary File Write Vulnerability |
| CVE-2022-2106 | Elcomplus SmartICS Path Traversal |
| CVE-2022-21177 | There is a path traversal vulnerability in CAMS for HIS Log Server contained in the following Yokogawa Electric products: CEN... |
| CVE-2022-2120 | OFFIS DCMTK Path Traversal |
| CVE-2022-2139 | Advantech iView |
| CVE-2022-21808 | Path traversal vulnerability exists in CAMS for HIS Server contained in the following Yokogawa Electric products: CENTUM CS 3... |
| CVE-2022-22245 | Junos OS: Path traversal vulnerability in J-Web |
| CVE-2022-22279 | A post-authentication arbitrary file read vulnerability impacting end-of-life Secure Remote Access (SRA) products and older f... |
| CVE-2022-23531 | Arbitrary file write when scanning a specially-crafted local PyPI package |
| CVE-2022-23732 | Path traversal in GitHub Enterprise Server management console leading to a bypass of CSRF protections |
| CVE-2022-23854 | AVEVA InTouch Access Anywhere versions 2020 R2 and older are vulnerable to a path traversal exploit that could allow an unaut... |
| CVE-2022-28814 | Path traversal in Carlo Gavazzi UWP 3.0 could lead to full device access |
| CVE-2022-29097 | Dell WMS 3.6.1 and below contains a Path Traversal vulnerability in Device API. A remote attacker could potentially exploit t... |
| CVE-2022-2922 | Relative Path Traversal in dnnsoftware/dnn.platform |
| CVE-2022-29844 | Western Digital My Cloud OS 5 arbitrary file read and write vulnerability via ftp |
| CVE-2022-30299 | A path traversal vulnerability [CWE-23] in the API of FortiWeb 7.0.0 through 7.0.1, 6.3.0 through 6.3.19, 6.4 all versions, 6... |
| CVE-2022-30300 | A relative path traversal vulnerability [CWE-23] in FortiWeb 7.0.0 through 7.0.1, 6.3.6 through 6.3.18, 6.4 all versions may... |
| CVE-2022-31163 | TZInfo relative path traversal vulnerability allows loading of arbitrary files |
| CVE-2022-3162 | Unauthorized read of Custom Resources |
| CVE-2022-33937 | Dell GeoDrive, Versions 1.0 - 2.2, contain a Path Traversal Vulnerability in the reporting function. A local, low privileged... |
| CVE-2022-34378 | Dell PowerScale OneFS, versions 9.0.0 up to and including 9.1.0.20, 9.2.1.13, 9.3.0.6, and 9.4.0.3, contain a relative path t... |
| CVE-2022-34836 | ABB Ability TM Operations Data Management Zenon Zenon Log Server file access control |
| CVE-2022-36081 | Wikmd vulnerable to Local File Enumeration when accessing /list |
| CVE-2022-38202 | BUG-000152121 - Directory traversal vulnerability in ArcGIS Server. |
| CVE-2022-38205 | Portal for ArcGIS has a directory traversal vulnerability (10.9.1, 10.8.1 and 10.7.1 only) |
| CVE-2022-39345 | Gin-vue-admin arbitrary file upload vulnerability caused by path traversal |
| CVE-2022-4123 | A flaw was found in Buildah. The local path and the lowest subdirectory may be disclosed due to incorrect absolute path trave... |
| CVE-2022-41335 | A relative path traversal vulnerability [CWE-23] in Fortinet FortiOS version 7.2.0 through 7.2.2, 7.0.0 through 7.0.8 and bef... |
| CVE-2022-42470 | A relative path traversal vulnerability in Fortinet FortiClient (Windows) 7.0.0 - 7.0.7, 6.4.0 - 6.4.9, 6.2.0 - 6.2.9 and 6.0... |
| CVE-2022-42474 | A relative path traversal vulnerability [CWE-23] in Fortinet FortiOS version 7.2.0 through 7.2.3, version 7.0.0 through 7.0.9... |
| CVE-2022-42476 | A relative path traversal vulnerability [CWE-23] in Fortinet FortiOS version 7.2.0 through 7.2.2, 7.0.0 through 7.0.8 and bef... |
| CVE-2022-42892 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2023-0339 | AM Web Policy Agent path traversal |
| CVE-2023-0511 | AM Java Policy Agent path traversal |
| CVE-2023-0745 | Arbitrary File Write in High Availability Backup Upload |
| CVE-2023-1043 | MuYuCMS index.php path traversal |
| CVE-2023-1044 | MuYuCMS index.php path traversal |
| CVE-2023-1045 | MuYuCMS filesdel.html path traversal |
| CVE-2023-1112 | Drag and Drop Multiple File Upload Contact Form 7 admin-ajax.php path traversal |
| CVE-2023-20040 | A vulnerability in the NETCONF service of Cisco Network Services Orchestrator (NSO) could allow an authenticated, remote atta... |
| CVE-2023-20066 | Cisco IOS XE Software Web UI Path Traversal Vulnerability |
| CVE-2023-23379 | Microsoft Defender for IoT Elevation of Privilege Vulnerability |
| CVE-2023-23391 | Office for Android Spoofing Vulnerability |
| CVE-2023-2356 | Relative Path Traversal in mlflow/mlflow |
| CVE-2023-23778 | A relative path traversal vulnerability [CWE-23] in FortiWeb version 7.0.1 and below, 6.4 all versions, 6.3 all versions, 6.2... |
| CVE-2023-23784 | A relative path traversal in Fortinet FortiWeb version 7.0.0 through 7.0.2, FortiWeb version 6.3.6 through 6.3.20, FortiWeb 6... |
| CVE-2023-27993 | A relative path traversal [CWE-23] in Fortinet FortiADC version 7.2.0 and before 7.1.1 allows a privileged attacker to delete... |
| CVE-2023-2913 | Rockwell Automation ThinManager ThinServer Path Traversal Vulnerability |
| CVE-2023-29189 | HTTP Verb Tampering vulnerability in SAP CRM (WebClient UI) |
| CVE-2023-31036 | CVE |
| CVE-2023-33144 | Visual Studio Code Spoofing Vulnerability |
| CVE-2023-34117 | Relative path traversal in the Zoom Client SDK before version 5.15.0 may allow an unauthorized user to enable information dis... |
| CVE-2023-34394 | Keysight N6845A Relative Path Traversal |
| CVE-2023-34990 | A relative path traversal in Fortinet FortiWLM version 8.6.0 through 8.6.5 and 8.5.0 through 8.5.4 allows attacker to execute... |
| CVE-2023-3512 | Relative path traversal in Setelsa Security ConacWin CB |
| CVE-2023-35359 | Windows Kernel Elevation of Privilege Vulnerability |
| CVE-2023-35816 | DevExpress before 23.1.3 allows arbitrary TypeConverter conversion. |
| CVE-2023-3701 | Relative path traversal in Aqua eSolutions |
| CVE-2023-37288 | SmartBPM.NET - Path Traversal |
| CVE-2023-37913 | org.xwiki.platform:xwiki-platform-office-importer vulnerable to arbitrary server side file writing from account through offic... |
| CVE-2023-38185 | Microsoft Exchange Server Remote Code Execution Vulnerability |
| CVE-2023-3940 | Multiple arbitrary file reads in ZkTeco-based OEM devices |
| CVE-2023-3941 | Multiple arbitrary file writes in ZkTeco-based OEM devices |
| CVE-2023-40714 | A relative path traversal in Fortinet FortiSIEM versions 7.0.0, 6.7.0 through 6.7.2, 6.6.0 through 6.6.3, 6.5.1, 6.5.0 allows... |
| CVE-2023-42456 | sudo-rs Session File Relative Path Traversal vulnerability |
| CVE-2023-42783 | A relative path traversal in Fortinet FortiWLM version 8.6.0 through 8.6.5 and 8.5.0 through 8.5.4 and 8.4.2 through 8.4.0 an... |
| CVE-2023-42791 | A relative path traversal in Fortinet FortiManager version 7.4.0 and 7.2.0 through 7.2.3 and 7.0.0 through 7.0.8 and 6.4.0 th... |
| CVE-2023-46119 | Parse Server may crash when uploading file without extension |
| CVE-2023-4760 | Remote Code Execution in Eclipse RAP on Windows |
| CVE-2023-47613 | A CWE-23: Relative Path Traversal vulnerability exists in Telit Cinterion BGS5, Telit Cinterion EHS5/6/8, Telit Cinterion PDS... |
| CVE-2023-4897 | Relative Path Traversal in mintplex-labs/anything-llm |
| CVE-2023-4914 | Relative Path Traversal in cecilapp/cecil |
| CVE-2023-49801 | Lif Auth Server vulnerable to uncontrolled data in path expression |
| CVE-2023-50255 | Zip Path Traversal in Deepin-Compressor |
| CVE-2023-5189 | Hub: insecure galaxy-importer tarfile extraction |
| CVE-2023-6307 | jeecgboot JimuReport image path traversal |
| CVE-2023-6722 | Relative Path Traversal in Repox |
| CVE-2024-0335 | Malformed Packet Handling |
| CVE-2024-0520 | Remote Code Execution due to Full Controlled File Write in mlflow/mlflow |
| CVE-2024-0549 | Relative Path Traversal in mintplex-labs/anything-llm |
| CVE-2024-0550 | Privileged User using traversal to read system files |
| CVE-2024-10019 | Path Traversal and OS Command Injection in parisneo/lollms-webui |
| CVE-2024-10200 | Wellchoose Administrative Management System - Arbitrary File Read through Path Traversal |
| CVE-2024-10513 | Path Traversal in mintplex-labs/anything-llm |
| CVE-2024-11067 | D-Link DSL6740C - Arbitrary File Reading through Path Traversal |
| CVE-2024-11309 | TRCore DVC - Arbitrary File Read through Path Traversal |
| CVE-2024-11310 | TRCore DVC - Arbitrary File Read through Path Traversal |
| CVE-2024-11311 | TRCore DVC - Arbitrary File Upload through Path Traversal |
| CVE-2024-11312 | TRCore DVC - Arbitrary File Upload through Path Traversal |
| CVE-2024-11313 | TRCore DVC - Arbitrary File Upload through Path Traversal |
| CVE-2024-11314 | TRCore DVC - Arbitrary File Upload through Path Traversal |
| CVE-2024-11315 | TRCore DVC - Arbitrary File Upload through Path Traversal |
| CVE-2024-12019 | Arbitrary File Read via Document API |
| CVE-2024-12482 | cjbi wetech-cms Database Backup BackupFileUtil.java backup path traversal |
| CVE-2024-12642 | Chunghwa Telecom TenderDocTransfer - Arbitrary File Write |
| CVE-2024-12645 | Chunghwa Telecom topm-client - Arbitrary File Read |
| CVE-2024-12897 | Intelbras VIP S4320 G2 Web Interface Sha1Account1 path traversal |
| CVE-2024-13130 | Dahua IPC-HFW1200S Web Interface Sha1Account1 path traversal |
| CVE-2024-13791 | Bit Assist <= 1.5.2 - Path Traversal to Authenticated (Administrator+) Arbitrary File Read via downloadResponseFile Function |
| CVE-2024-1485 | Registry-support: decompress can delete files outside scope via relative paths |
| CVE-2024-20310 | A vulnerability in the web-based interface of Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) co... |
| CVE-2024-20352 | A vulnerability in Cisco Emergency Responder could allow an authenticated, remote attacker to conduct a directory traversal a... |
| CVE-2024-20449 | Cisco Nexus Dashboard Fabric Controller Remote Code Execution Vulnerability |
| CVE-2024-2053 | Artica Proxy Unauthenticated LFI Protection Bypass Vulnerability |
| CVE-2024-22096 | Relative Path Traversal in Rapid SCADA |
| CVE-2024-22226 | Dell Unity, versions prior to 5.4, contain a path traversal vulnerability in its svc_supportassist utility. An authenticated... |
| CVE-2024-22415 | Unsecured endpoints in the jupyter-lsp server extension |
| CVE-2024-22421 | Potential authentication and CSRF tokens leak in JupyterLab |
| CVE-2024-2318 | ZKTeco ZKBio Media Service Port 9999 download path traversal |
| CVE-2024-24578 | RaspberryMatic Unauthenticated Remote Code Execution vulnerability through HMServer File Upload |
| CVE-2024-2461 | If exploited an attacker could traverse the file system to access files or directories that would otherwise be inaccessible |
| CVE-2024-25944 | Dell OpenManage Enterprise, v4.0 and prior, contain(s) a path traversal vulnerability. An unauthenticated remote attacker cou... |
| CVE-2024-27770 | Unitronics Unistream Unilogic – Versions prior to 1.35.227 CWE-23: Relative Path Traversal |
| CVE-2024-30010 | Windows Hyper-V Remote Code Execution Vulnerability |
| CVE-2024-3025 | Path Traversal in mintplex-labs/anything-llm |
| CVE-2024-3122 | CHANGING Mobile One Time Password - Arbitrary File Reading |
| CVE-2024-32005 | Local File Inclusion in NiceGUI leaflet component |
| CVE-2024-32115 | A relative path traversal vulnerability [CWE-23] in Fortinet FortiManager version 7.4.0 through 7.4.2 and before 7.2.5 allow... |
| CVE-2024-32116 | Multiple relative path traversal vulnerabilities [CWE-23] in Fortinet FortiManager version 7.4.0 through 7.4.2 and before 7.2... |
| CVE-2024-33615 | CyberPower PowerPanel business Relative Path Traversal |
| CVE-2024-34712 | Oceanic allows unsanitized user input to lead to path traversal in URLs |
| CVE-2024-3497 | Directory Traversal Remote Code Execution Vulnerability |
| CVE-2024-35186 | gix traversal outside working tree enables arbitrary code execution |
| CVE-2024-35274 | An improper limitation of a pathname to a restricted directory ('Path Traversal') vulnerability [CWE-22] in Fortinet FortiAna... |
| CVE-2024-37138 | Dell PowerProtect DD, versions prior to 8.0, LTS 7.13.1.0, LTS 7.10.1.30, LTS 7.7.5.40 on DDMC contain a relative path traver... |
| CVE-2024-38258 | Windows Remote Desktop Licensing Service Information Disclosure Vulnerability |
| CVE-2024-40588 | Multiple relative path traversal vulnerabilities [CWE-23] in Fortinet FortiMail version 7.6.0 through 7.6.1 and before 7.4.3,... |
| CVE-2024-4330 | Path Traversal in parisneo/lollms-webui |
| CVE-2024-43399 | Mobile Security Framework (MobSF) has a Zip Slip Vulnerability in .a Static Library Files |
| CVE-2024-43454 | Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability |
| CVE-2024-43614 | Microsoft Defender for Endpoint for Linux Spoofing Vulnerability |
| CVE-2024-45731 | Potential Remote Command Execution (RCE) through arbitrary file write to Windows system root directory when Splunk Enterprise... |
| CVE-2024-45816 | Storage bucket Directory Traversal in @backstage/plugin-techdocs-backend |
| CVE-2024-46664 | A relative path traversal in Fortinet FortiRecorder [CWE-23] version 7.2.0 through 7.2.1 and before 7.0.4 allows a privileged... |
| CVE-2024-47051 | Remote Code Execution & File Deletion in Asset Uploads |
| CVE-2024-47637 | WordPress LiteSpeed Cache plugin <= 6.4.1 - Path Traversal vulnerability |
| CVE-2024-47769 | IDURAR has a Path Traversal (unauthenticated user can read sensitive data) |
| CVE-2024-48892 | A relative path traversal vulnerability [CWE-23] in FortiSOAR 7.6.0, 7.5.0 through 7.5.1, 7.4 all versions, 7.3 all versions... |
| CVE-2024-49062 | Microsoft SharePoint Information Disclosure Vulnerability |
| CVE-2024-49253 | WordPress Analyse Uploads plugin <= 0.5 - Arbitrary File Deletion vulnerability |
| CVE-2024-50453 | WordPress The Pack Elementor addons plugin <= 2.0.9 - Local File Inclusion vulnerability |
| CVE-2024-52012 | Apache Solr: Configset upload on Windows allows arbitrary path write-access |
| CVE-2024-54449 | Remote Code Execution (RCE) via Arbitrary File Write In Document API |
| CVE-2024-54461 | Unsanitized Filenames in Flutter package file_selector_android Allow File Overwrites |
| CVE-2024-54462 | Unsanitized Filenames in Flutter package image_picker_android Allow File Overwrites |
| CVE-2024-5547 | Directory Traversal in stitionai/devika |
| CVE-2024-56340 | IBM Cognos Analytics path traversal |
| CVE-2024-6433 | Local File Inclusion in stitionai/devika |
| CVE-2024-6483 | Arbitrary File/Directory Deletion in aimhubio/aim |
| CVE-2024-6583 | Path Traversal in stangirard/quivr |
| CVE-2024-6985 | Path Traversal in api open_personality_folder in parisneo/lollms-webui |
| CVE-2024-7058 | Relative Path Traversal in parisneo/lollms-webui |
| CVE-2024-7693 | Team Johnlong software Raiden MAILD Remote Management System - Arbitrary File Reading through Path Traversal |
| CVE-2024-8510 | N-central Path Traversal |
| CVE-2024-8551 | Path Traversal in modelscope/agentscope |
| CVE-2024-9363 | Unauthorized File Deletion in polyaxon/polyaxon |
| CVE-2024-9405 | An incorrect limitation of a path to a restricted directory (path traversal) has been detected in Pluck CMS, affecting versio... |
| CVE-2024-9922 | TEAMPLUS TECHNOLOGY Team+ - Arbitrary File Read through Path Traversal |
| CVE-2024-9923 | TEAMPLUS TECHNOLOGY Team+ - Arbitrary File Move through Path Traversal |
| CVE-2024-9983 | Ragic Enterprise Cloud Database - Arbitrary File Read through Path Traversal |
| CVE-2025-0225 | Tsinghua Unigroup Electronic Archives System exampleDownload.html path traversal |
| CVE-2025-0390 | Guangzhou Huayi Intelligent Technology Jeewms wmOmNoticeHController.do path traversal |
| CVE-2025-0822 | Bit Assist <= 1.5.2 - Path Traversal to Authenticated (Subscriber+) Arbitrary File Read via fileID Parameter |
| CVE-2025-10203 | Relative Path Traversal Vulnerability in Digilent WaveForms |
| CVE-2025-10249 | Slider Revolution <= 6.7.37 - Missing Authorization to Authenticated (Contributor+) Arbitrary File Read |
| CVE-2025-1086 | Safetytest Cloud-Master Server static path traversal |
| CVE-2025-11898 | Flowring Technology|Agentflow - Arbitrary File Reading through Path Traversal |
| CVE-2025-13161 | IQ Service International|IQ-Support - Arbitrary File Read |
| CVE-2025-13199 | code-projects Email Logging Interface signup.cpp path traversal |
| CVE-2025-1584 | opensolon Solon StaticMappings.java path traversal |
| CVE-2025-1588 | PHPGurukul Online Nurse Hiring System manage-nurse.php path traversal |
| CVE-2025-1599 | SourceCodester Best Church Management Software profile_crud.php path traversal |
| CVE-2025-20059 | PingAM Java Policy Agent path traversal |
| CVE-2025-2007 | Import Export Suite for CSV and XML Datafeed <= 7.19 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2025-2056 | WP Ghost <= 5.4.01 - Unauthenticated Limited File Read |
| CVE-2025-22859 | A Relative Path Traversal vulnerability [CWE-23] in FortiClientEMS 7.4.0 through 7.4.1 and FortiClientEMS Cloud 7.4.0 through... |
| CVE-2025-23011 | Fedora Repository archive extraction path traversal |
| CVE-2025-23360 | NVIDIA Nemo Framework contains a vulnerability where a user could cause a relative path traversal issue by arbitrary file wri... |
| CVE-2025-23410 | GMOD Apollo Relative Path Traversal |
| CVE-2025-25048 | IBM Jazz Foundation path traversal |
| CVE-2025-25130 | WordPress Delete Comments By Status plugin <= 1.5.3 - Local File Inclusion vulnerability |
| CVE-2025-26349 | A CWE-23 "Relative Path Traversal" in the file upload mechanism in Q-Free MaxTime less than or equal to version 2.11.0 allows... |
| CVE-2025-26645 | Remote Desktop Client Remote Code Execution Vulnerability |
| CVE-2025-27410 | PwnDoc Arbitrary File Write to RCE using Path Traversal in backup restore as admin |
| CVE-2025-27553 | Apache Commons VFS: Possible path traversal issue when using NameScope.DESCENDENT |
| CVE-2025-27610 | Local File Inclusion in Rack::Static |
| CVE-2025-27791 | Collabora Online Vulnerable to Arbitrary File Write |
| CVE-2025-2961 | opensolon org.noear.solon.core.handle.RenderManager aa render_mav path traversal |
| CVE-2025-29789 | OpenEMR Has Directory Traversal in Load Code feature |
| CVE-2025-30159 | Kirby vulnerable to path traversal of snippet names in the `snippet()` helper |
| CVE-2025-30207 | Kirby vulnerable to path traversal in the router for PHP's built-in server |
| CVE-2025-31493 | Path traversal of collection names during file system lookup |
| CVE-2025-32017 | Umbraco has a Management API Vulnerability to Path Traversal With Authenticated Users |
| CVE-2025-32137 | WordPress s2Member plugin <= 250214 - Local File Inclusion vulnerability |
| CVE-2025-32409 | Ratta SuperNote A6 X2 Nomad before December 2024 allows remote code execution because an arbitrary firmware image (signed wit... |
| CVE-2025-33112 | IBM AIX command execution |
| CVE-2025-3365 | Relative Path Traversal in OnlineSuite |
| CVE-2025-34510 | Sitecore XM, XC, and XP Post-Auth RCE via Zip Slip |
| CVE-2025-46363 | Dell Secure Connect Gateway (SCG) 5.0 Application and Appliance version(s) 5.26.00.00 - 5.30.00.00, contain a Relative Path T... |
| CVE-2025-47445 | WordPress Eventin <= 4.0.26 - Arbitrary File Download Vulnerability |
| CVE-2025-47788 | Missing Path Validation Enables Path Traversal in Controller.php |
| CVE-2025-48817 | Remote Desktop Client Remote Code Execution Vulnerability |
| CVE-2025-48957 | AstrBot Has Path Traversal Vulnerability in /api/chat/get_file |
| CVE-2025-49466 | aerc before 93bec0d allows directory traversal in commands/msgview/open.go because of direct path concatenation of the name o... |
| CVE-2025-52207 | PBXCoreREST/Controllers/Files/PostController.php in MikoPBX through 2024.1.114 allows uploading a PHP script to an arbitrary... |
| CVE-2025-52922 | Innoshop through 0.4.1 allows directory traversal via FileManager API endpoints. An authenticated attacker with access to the... |
| CVE-2025-53082 | An 'Arbitrary File Deletion' in Samsung DMS(Data Management Server) allows attackers to delete arbitrary files from unintende... |
| CVE-2025-53609 | A Relative Path Traversal vulnerability [CWE-23] in FortiWeb 7.6.0 through 7.6.4, 7.4.0 through 7.4.8, 7.2.0 through 7.2.11,... |
| CVE-2025-53779 | Windows Kerberos Elevation of Privilege Vulnerability |
| CVE-2025-54317 | An issue was discovered in Logpoint before 7.6.0. An attacker with operator privileges can exploit a path traversal vulnerabi... |
| CVE-2025-55013 | Assemblyline 4 Service Client: Arbitrary Write through path traversal in Client code |
| CVE-2025-55115 | BMC Control-M/Agent path traversal local privilege escalation |
| CVE-2025-55202 | Opencast has a partial path traversal vulnerability in UI config |
| CVE-2025-55747 | XWiki Platform's configuration files can be accessed through the webjars API |
| CVE-2025-55748 | XWiki Platform's configuration files can be accessed through jsx and sx endpoints |
| CVE-2025-55752 | Apache Tomcat: Directory traversal via rewrite with possible RCE if PUT is enabled |
| CVE-2025-58078 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-58429 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-58456 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-58463 | Download Station |
| CVE-2025-58464 | QuMagie |
| CVE-2025-58752 | Vite's `server.fs` settings were not applied to HTML files |
| CVE-2025-58760 | Tautulli vulnerable to Unauthenticated Path Traversal in `/image` endpoint |
| CVE-2025-59336 | Relative Path Traversal in Luanox |
| CVE-2025-59341 | Local File Inclusion in esm.sh |
| CVE-2025-59682 | An issue was discovered in Django 4.2 before 4.2.25, 5.1 before 5.1.13, and 5.2 before 5.2.7. The django.utils.archive.extrac... |
| CVE-2025-59776 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-59835 | LangBot has a cross-directory file upload vulnerability, which could lead to system takeover |
| CVE-2025-60020 | nncp before 8.12.0 allows path traversal (for reading or writing) during freqing and file saving via a crafted path in packet... |
| CVE-2025-60023 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-62187 | In Ankitects Anki before 25.02.6, crafted sound file references could cause files to be written to arbitrary locations on Win... |
| CVE-2025-62498 | AutomationDirect Productivity Suite Relative Path Traversal |
| CVE-2025-62552 | Microsoft Access Remote Code Execution Vulnerability |
| CVE-2025-64446 | A relative path traversal vulnerability in Fortinet FortiWeb 8.0.0 through 8.0.1, FortiWeb 7.6.0 through 7.6.4, FortiWeb 7.4.... |
| CVE-2025-64714 | PrivateBin's template-switching feature allows arbitrary local file inclusion through path traversal |
| CVE-2025-64757 | Astro Development Server is Vulnerable to Arbitrary Local File Read |
| CVE-2025-66386 | app/Model/EventReport.php in MISP before 2.5.27 allows path traversal in view picture for a site-admin. |
| CVE-2025-66626 | argoproj/argo-workflows is vulnerable to RCE via ZipSlip and symbolic links |
| CVE-2025-68472 | MindsDB has improper sanitation of filepath that leads to information disclosure and DOS |
| CVE-2025-7146 | Jhenggao iPublish System - Arbitrary File Reading through Path Traversal |
| CVE-2025-7619 | WellChoose|BatchSignCS - Arbitrary File Write through Path Traversal |
| CVE-2025-8464 | Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.9.0 - Directory Traversal via `wpcf7_guest_user_id` Cookie |
| CVE-2025-9570 | Sunnet|eHRD CTMS - Arbitrary File Reading through Path Traversal |
| CVE-2025-9639 | Ai3|QbiCRMGateway - Arbitrary File Reading through Path Traversal |
| CVE-2026-1022 | Gotac|Statistics Database System - Arbitrary File Read |
| CVE-2026-1762 | Enervista UR Setup Directory Traversal Vulnerability |
| CVE-2026-21620 | TFTP Path Traversal |
| CVE-2026-21659 | Johnson Controls -Frick Quantum HD-Unauthenticated Remote Code Execution and Information Disclosure due to Local File Inclusi... |
| CVE-2026-23888 | pnpm: Binary ZIP extraction allows arbitrary file write via path traversal (Zip Slip) |
| CVE-2026-23890 | pnpm scoped bin name Path Traversal allows arbitrary file creation outside node_modules/.bin |
| CVE-2026-24909 | vlt before 1.0.0-rc.10 mishandles path sanitization for tar, leading to path traversal during extraction. |
| CVE-2026-25057 | Zip Slip in MarkUs config upload allowing RCE |
| CVE-2026-25121 | apko is vulnerable to path traversal in apko dirFS which allows filesystem writes outside base |
| CVE-2026-25575 | NavigaTUM has a Path Traversal Vulnerability in the propose_edits functionality |
| CVE-2026-25951 | FUXA has a Path Traversal Sanitization Bypass |
| CVE-2026-26362 | Dell Unisphere for PowerMax, version(s) 10.2, contain(s) a Relative Path Traversal vulnerability. A low privileged attacker w... |
| CVE-2026-27117 | bit7z has a path traversal vulnerability |
| CVE-2026-27202 | GetSimple CMS: Uploaded Files (feature) Arbitrary File Read Vulnerability |
| CVE-2026-2818 | Zip Slip Path Traversal in Snapshot Archive Extraction (Windows-Specific) |
| CVE-2026-29778 | pyLoad: Arbitrary File Write via Path Traversal in edit_package() |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.