Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-24
CWE-24: Path Traversal: '../filedir'
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2021-05372 | Уязвимость функции read_file службы регистрации ошибок apport операционной системы Ubuntu, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-06176 | Уязвимость функции ZipArchive::extractTo интерпретатора PHP, позволяющая нарушителю создать или перезаписать файлы |
| BDU:2022-00541 | Уязвимость веб-интерфейса управления программного системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager, позволяющая нарушите... |
| BDU:2022-03976 | Уязвимость программного обеспечения устройства для маркировки бюллетеней ImageCast X, связанная с недостатками проверки имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-04486 | Уязвимость системы управления взаимоотношениями с клиентами ASoft CRM, существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю осуществить чтение произвольного файла |
| BDU:2023-01983 | Уязвимость функции загрузки файлов распределенной файловой системы sjqzhang go-fastdfs, позволяющая нарушителю записывать произвольные файлы, а так же выполнить произвольные команды |
| BDU:2023-02719 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю читать произвольные файлы |
| BDU:2023-02720 | Уязвимость интерфейса командной строки (CLI) платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю выйти из изолированной программной среды и повысить свои привилегии до уровня root |
| BDU:2024-05041 | Уязвимость программы для просмотра многостраничных документов Atril, связанная с возможностью обхода каталога с ограниченным доступом, позволяющая нарушителю записать произвольные файлы |
| BDU:2024-11317 | Уязвимость функции res.download() сценария template.js (backend/src/routes/template.js) инструмента автоматизации оформления отчетной документации PwnDoc, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-00910 | Уязвимость реализации протокола Message Queuing Telemetry Transport (MQTT) платформы управления промышленными сетями MXview One, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02750 | Уязвимость камер видеонаблюдения для систем мониторинга и наблюдения IntelBras IP Camera, позволяющая нарушителю получить несанкционированный доступ к устройствам и защищаемой информации |
| BDU:2025-06724 | Уязвимость инструмента обмена сообщениями и видеоконференций Output Messenger, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-11969 | Уязвимость функции decode_utf8 компонента base/gp_utf8.c набора программного обеспечения обработки документов Ghostscript, озволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2026-00163 | Уязвимость пакета управления рассылками электронных писем GNU Mailman, связанная с возможностью обхода каталога с ограниченным доступом, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2026-00339 | Уязвимость архиватора GNU Tar, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю обойти существующие ограничения безопасности и получить доступ на перезапись файлов |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-125033 | rails-cv-app uploaded_files_controller.rb path traversal |
| CVE-2018-25094 | ระบบบัญชีออนไลน์ Online Accounting System image.php path traversal |
| CVE-2019-25087 | RamseyK httpserver URI ResourceHost.cpp getResource path traversal |
| CVE-2020-7882 | anySign directory traversal vulnerability |
| CVE-2020-8567 | Kubernetes Secrets Store CSI Driver plugin directory traversals |
| CVE-2020-8568 | Kubernetes Secrets Store CSI Driver sync/rotate directory traversal |
| CVE-2020-9708 | GHSL-2020-133: Insufficient validation of user input in resolveRepositoryPath function |
| CVE-2021-21706 | ZipArchive::extractTo may extract outside of destination dir |
| CVE-2021-26725 | Authenticated command path traversal on timezone settings in Guardian/CMC before 20.0.7.4 |
| CVE-2021-29466 | Path Traversal at Discord-Recon .recon Command Path |
| CVE-2021-33036 | Apache Hadoop Privilege escalation vulnerability |
| CVE-2021-3710 | Apport info disclosure via path traversal bug in read_file |
| CVE-2022-1743 | 2.2.5 PATH TRAVERSAL: '../FILEDIR' CWE-24 |
| CVE-2022-20656 | Cisco Prime Infrastructure and Cisco Evolved Programmable Network Manager Path Traversal Vulnerability |
| CVE-2022-29253 | Path Traversal in XWiki Platform |
| CVE-2022-36065 | GrowthBook account creation and file upload vulnerability in self-hosted configurations |
| CVE-2023-1398 | XiaoBingBy TeaCMS upload path traversal |
| CVE-2023-1800 | sjqzhang go-fastdfs File Upload uploa upload path traversal |
| CVE-2023-20098 | A vulnerability in the CLI of Cisco SDWAN vManage Software could allow an authenticated, local attacker to delete arbitrary f... |
| CVE-2023-20166 | Cisco Identity Services Engine Path Traversal Vulnerabilities |
| CVE-2023-20167 | Cisco Identity Services Engine Path Traversal Vulnerabilities |
| CVE-2023-3056 | YFCMF index.php path traversal |
| CVE-2023-3057 | YFCMF Ajax.php path traversal |
| CVE-2023-3098 | KylinSoft youker-assistant restore_all_sound_file path traversal |
| CVE-2023-3239 | OTCMS path traversal |
| CVE-2023-3240 | OTCMS usersNews_deal.php path traversal |
| CVE-2023-4171 | Chengdu Flash Flood Disaster Monitoring and Warning System FileDownload.ashx path traversal |
| CVE-2023-52076 | Remote Code Execution Vulnerability in Atril's EPUB ebook parsing |
| CVE-2023-53691 | Hikvision CSMP (Comprehensive Security Management Platform) iSecure Center through 2023-06-25 allows file upload via /center/... |
| CVE-2023-6900 | rmountjoy92 DashMachine delete_file path traversal |
| CVE-2023-7040 | codelyfe Stupid Simple CMS rename.php path traversal |
| CVE-2023-7041 | codelyfe Stupid Simple CMS rename.php path traversal |
| CVE-2023-7058 | SourceCodester Simple Student Attendance System path traversal |
| CVE-2023-7098 | icret EasyImages hide.php path traversal |
| CVE-2023-7134 | SourceCodester Medicine Tracking System path traversal |
| CVE-2024-0341 | Inis GET Request File.php path traversal |
| CVE-2024-0354 | unknown-o download-station index.php path traversal |
| CVE-2024-0416 | DeShang DSMall MemberAuth.php path traversal |
| CVE-2024-0417 | DeShang DSShop MemberAuth.php path traversal |
| CVE-2024-0465 | code-projects Employee Profile Management System download.php path traversal |
| CVE-2024-0882 | qwdigital LinkWechat Universal Download Interface resource path traversal |
| CVE-2024-0989 | Sichuan Yougou Technology KuERP Service.php del_sn_db path traversal |
| CVE-2024-10379 | ESAFENET CDG DecryptApplicationService.java actionViewDecyptFile path traversal |
| CVE-2024-12482 | cjbi wetech-cms Database Backup BackupFileUtil.java backup path traversal |
| CVE-2024-12897 | Intelbras VIP S4320 G2 Web Interface Sha1Account1 path traversal |
| CVE-2024-13130 | Dahua IPC-HFW1200S Web Interface Sha1Account1 path traversal |
| CVE-2024-1459 | Undertow: directory traversal vulnerability |
| CVE-2024-2318 | ZKTeco ZKBio Media Service Port 9999 download path traversal |
| CVE-2024-23657 | Path Traversal: '../filedir' in Nuxt Devtools |
| CVE-2024-2563 | PandaXGO PandaX upload.go DeleteImage path traversal |
| CVE-2024-2564 | PandaXGO PandaX user.go ExportUser path traversal |
| CVE-2024-2825 | lakernote EasyAdmin saveReportFile path traversal |
| CVE-2024-3218 | Shibang Communications IP Network Intercom Broadcasting System busyscreenshotpush.php path traversal |
| CVE-2024-3227 | Panwei eoffice OA Backend save_image.php path traversal |
| CVE-2024-3686 | DedeCMS update_guide.php path traversal |
| CVE-2024-4790 | DedeCMS path traversal |
| CVE-2024-53636 | An arbitrary file upload vulnerability via writefile.php of Serosoft Academia Student Information System (SIS) EagleR-1.0.118... |
| CVE-2024-6746 | NaiboWang EasySpider HTTP GET Request server.js path traversal |
| CVE-2024-6786 | MXview One Series vulnerable to Path Traversal |
| CVE-2024-8409 | ABCD ABCD2 show_image.php path traversal |
| CVE-2025-0390 | Guangzhou Huayi Intelligent Technology Jeewms wmOmNoticeHController.do path traversal |
| CVE-2025-1086 | Safetytest Cloud-Master Server static path traversal |
| CVE-2025-13199 | code-projects Email Logging Interface signup.cpp path traversal |
| CVE-2025-1584 | opensolon Solon StaticMappings.java path traversal |
| CVE-2025-1588 | PHPGurukul Online Nurse Hiring System manage-nurse.php path traversal |
| CVE-2025-1599 | SourceCodester Best Church Management Software profile_crud.php path traversal |
| CVE-2025-27920 | Output Messenger before 2.0.63 was vulnerable to a directory traversal attack through improper file path handling. By using .... |
| CVE-2025-2961 | opensolon org.noear.solon.core.handle.RenderManager aa render_mav path traversal |
| CVE-2025-30343 | A directory traversal issue was discovered in OpenSlides before 4.2.5. Files can be uploaded to OpenSlides meetings and organ... |
| CVE-2025-32807 | A path traversal vulnerability in FusionDirectory before 1.5 allows remote attackers to read arbitrary files on the host that... |
| CVE-2025-43919 | GNU Mailman 2.1.39, as bundled in cPanel (and WHM), allows unauthenticated attackers to read arbitrary files via ../ director... |
| CVE-2025-43928 | In Infodraw Media Relay Service (MRS) 7.1.0.0, the MRS web server (on port 12654) allows reading arbitrary files via ../ dire... |
| CVE-2025-44962 | RUCKUS SmartZone (SZ) before 6.1.2p3 Refresh Build allows ../ directory traversal to read files. |
| CVE-2025-45582 | GNU Tar through 1.35 allows file overwrite via directory traversal in crafted TAR archives, with a certain two-step process.... |
| CVE-2025-46094 | LiquidFiles before 4.1.2 allows directory traversal by configuring the pathname of a local executable file as an Actionscript... |
| CVE-2025-46646 | In Artifex Ghostscript before 10.05.0, decode_utf8 in base/gp_utf8.c mishandles overlong UTF-8 encoding. NOTE: this issue exi... |
| CVE-2025-47423 | Personal Weather Station Dashboard 12_lts allows unauthenticated remote attackers to read arbitrary files via ../ directory t... |
| CVE-2025-48050 | In DOMPurify through 3.2.5 before 6bc6d60, scripts/server.js does not ensure that a pathname is located under the current wor... |
| CVE-2025-53513 | Zip slip vulnerability in Juju |
| CVE-2025-54769 | KL-001-2025-016: Xorux LPAR2RRD File Upload Directory Traversal |
| CVE-2025-59049 | Mockoon has a Path Traversal and LFI in the static file serving endpoint |
| CVE-2025-59342 | esm.sh writes arbitrary files via path traversal in `X-Zone-Id` header |
| CVE-2025-67845 | A Directory Traversal vulnerability in the Static Asset Proxy Endpoint in Mintlify Platform before 2025-11-15 allows remote a... |
| CVE-2025-68430 | CVAT vulnerable to directory traversal via mounted share listing |
| CVE-2026-21436 | eopkg has Path Traversal: '../filedir' vulnerability |
| CVE-2026-21857 | Redaxo has Path Traversal in Backup Addon Leading to Arbitrary File Read |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.