Каталог уязвимостей - CWE - CWE-259

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

Каталог Справка открывает раздел документации по каталогам.

Уязвимости CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-259

Use of Hard-coded Password

The product contains a hard-coded password, which it uses for its own inbound authentication or for outbound communication to external components.

Тип уязвимости:	Не зависит от других уязвимостей
Вероятность эксплойта:	High

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2014-00001	Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon Quantum, позволяющая злоумышленнику получить авторизованный доступ к устройству
BDU:2014-00048	Уязвимость операционной системы Zyxel ZLD, позволяющая удаленному злоумышленнику повысить свои привилегии
BDU:2015-10245	Уязвимость микропрограммного обеспечения маршрутизатора D-Link DSR-500, позволяющая злоумышленнику получить права администратора
BDU:2015-11069	Уязвимость микропрограммного обеспечения беспроводных шлюзов Sierra Wireless AirLink GX450, AirLink ES440, AirLink GX440, AirLink LS300, позволяющая нарушителю получить доступ к устройству с правами администратора
BDU:2015-11594	Уязвимость модуля Schneider Electric Quantum Ethernet Module, позволяющая удалённому нарушителю получить привилегированный доступ к системе
BDU:2015-12233	Уязвимость операционной системы ScreenOS, связанная с недостатками процедуры аутентификации, позволяющая нарушителю подключиться к устройству с правами администратора
BDU:2017-00008	Уязвимость средства телеуправления в электроэнергетике SICAM PAS, позволяющая нарушителю получить доступ к базе данных
BDU:2017-01823	Уязвимость средства автономного конфигурирования системы визуализации и управления "умным домом" U.motion Builder, вызванная использованием пароля, предустановленного по умолчанию, и позволяющая нарушителю обойти процедуру аутентификации
BDU:2017-02483	Уязвимость операционной системы ОpenELEC и дистрибутива RasPlex, связанная с использованием предустановленных учетных данных, позволяющая нарушителю получить доступ к устройству
BDU:2019-00104	Уязвимость операционной системы TeNIX программируемых логических контроллеров МФК1500 и МФК3000, позволяющая нарушителю получить полный доступ к системе
BDU:2019-00133	Уязвимость программного обеспечения парковочных зарядных станций EVLink Parking, связанная с использованием предустановленных учетных данных, позволяющая нарушителю получить доступ к устройству
BDU:2019-00816	Уязвимость встроенного программного обеспечения системы с числовым программным управлением CNC11 TITANIUM mini, позволяющая нарушителю получить полный доступ к системе
BDU:2019-01076	Уязвимость средства для сбора информации об устройствах в сети Cisco Common Services Platform Collector, связанная с наличием предустановленной учетной записи, позволяющая нарушителю получить доступ к устройству
BDU:2020-03279	Уязвимость устройства сбора и передачи данных ЭКОМ-3000, связанная с использованием предустановленных учетных данных, позволяющая нарушителю получить доступ к устройству
BDU:2020-05566	Уязвимость реализации протокола взаимодействия между программным обеспечением "АРМ Релейщика" и программным обеспечением "Сервер связи" комплекса программ ЕКRASMS-SP, позволяющая нарушителю получить доступ к регистрационным данным пользователей
BDU:2020-05567	Уязвимость компонентов term.arh и core.arh терминала микропроцессорного серии ЭКРА 200, позволяющая нарушителю получить доступ к конфиденциальной информации и возможность создавать новые конфигурационные файлы
BDU:2021-00190	Уязвимость операционной систем QES, связанная с использованием жёсткого кодирования паролей, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2021-03115	Уязвимость процедуры настройки PPPoE микропрограммного обеспечения маршрутизатора D-Link DIR-2640-US, позволяющая нарушителю измененить информацию о маршрутизации, осуществлять перехват DNS-запросов и проводить фишинговые атаки
BDU:2021-03978	Уязвимость программного средства защиты информации "Блокхост-Сеть К", позволяющая нарушителю получить доступ к защищаемой информации
BDU:2021-04994	Уязвимость программного средства контроля сети Moxa MXView, связанная с использованием жёсткого кодирования паролей, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-05549	Уязвимость микропрограммного обеспечения программируемого логического контроллера ioLogik, связанная с жестким кодированием паролей, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2022-00456	Уязвимость микропрограммного обеспечения Wi-Fi роутеров NETGEAR RBK352, RBR350 и RBS350, связанная с использованием предустановленных учетных данных, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2022-00457	Уязвимость микропрограммного обеспечения Wi-Fi роутеров NETGEAR RBK352, RBR350 и RBS350, связанная с использованием предустановленных учетных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2022-00458	Уязвимость микропрограммного обеспечения Wi-Fi роутеров NETGEAR XR1000, связанная с использованием предустановленных учетных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2022-03721	Уязвимость FTP-сервера Titan FTP Server NextGen, связанная с использованием предустановленных учетных данных для учетной записи sa, позволяющая нарушителю повысить свои привилегии
BDU:2022-04242	Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter302, связанная с использованием предустановленных учетных данных, позволяющая нарушителю выполнить произвольные действия
BDU:2022-05330	Уязвимость компонента /etc/shadow.sample микропрограммного обеспечения роутеров TOTOLINK A810R, позволяющая нарушителю повысить свои привилегии
BDU:2022-06877	Уязвимость SCADA-системы "СКАДА-НЕВА", связанная с использованием предустановленных учетных данных, позволяющая нарушителю повысить свои привилегии в системе
BDU:2023-00840	Уязвимость программного обеспечения для программирования ПЛК Mitsubishi Electric GX Works3, связанная c возможностью использования жестко закодированных учетных данных, позволяющая нарушителю получить информацию о файле проекта для модулей безопаснос...
BDU:2023-00950	Уязвимость ПЛК MKLogic-500, связанная с использованием предустановленных учетных данных, позволяющая нарушителю получить доступ к содержимому FTP-сервера
BDU:2023-01472	Уязвимость программного обеспечения для программирования ПЛК Mitsubishi Electric GX Works3, связанная c возможностью использования жестко закодированных учетных данных, позволяющая нарушителю получить доступ к защищаемой информации
BDU:2023-01779	Уязвимость клиент-серверного приложения для управления источниками бесперебойного питания RCCMD, связанная с использованием предустановленных учетных данных, позволяющая нарушителю выполнить произвольный код или получить полный контроль над приложени...
BDU:2023-02267	Уязвимость сборщика данных Fluent Fluentd и его браузерного менеджера fluentd-ui, связанная с использованием по умолчанию стандартного пароля, позволяющая нарушителю выполнить произвольный код
BDU:2023-02713	Уязвимость программного обеспечения парковочных зарядных станций EVlink City. EVlink Parking и EVlink Smart Wallbox, связанная с использованием жёсткого кодирования паролей, позволяющая нарушителю, получить несанкционированные административные привил...
BDU:2023-02881	Уязвимость компонента Edge Gateway системы бизнес-телефонии MiVoice Connect VoIP-устройств Mitel, позволяющая нарушителю вносить произвольные изменения в конфигурацию и выполнять произвольные команды
BDU:2023-03038	Уязвимость функционала FTP-сервера микропрограммного обеспечения программируемых логических контроллеров MELSEC RJ71EIP91, SW1DNN-EIPCT-BD, FX5-ENET/IP, SW1DNN-EIPCTFX5-BD, позволяющая нарушителю получить несанкционированный доступ к защищаемой инфор...
BDU:2023-03249	Уязвимость инструмента настройки среды Kubernetes для разработки и тестирования приложений minikube, связанная с раскрытием информации, позволяющая нарушителю повысить свои привилегии
BDU:2023-03352	Уязвимость операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю реализовать атаку типа "человек посередине"
BDU:2023-05422	Уязвимость программного средства интеграции Google Maps API Super Store Finder, связанная с использованием предустановленных учетных данных, позволяющая нарушителю получить доступ к панели администрирования
BDU:2023-05904	Уязвимость микропрограммного обеспечения WI-FI роутеров Juplink RX4-1500, связанная с использованием предустановленных учетных данных, позволяющая нарушителю повысить свои привилегии
BDU:2023-08131	Уязвимость микропрограммного обеспечения контроллеров для управления насосными станциями Osprey Pump Controller, позволяющая нарушителю получить полный доступ к веб-интерфейсу управления устройства
BDU:2024-02208	Уязвимость микропрограммного обеспечения программируемых логических контроллеров UniLogic Studio серии UniStream, связанная с использованием предустановленных учетных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой инф...
BDU:2024-03471	Уязвимость системы мониторинга и управления источниками бесперебойного питания PowerPanel Business, связанная с использованием предустановленных учетных данных, позволяющая нарушителю повысить свои привилегии
BDU:2024-04182	Уязвимость компонента /web_cste/cgi-bin/product.ini службы telnet микропрограммного обеспечения беспроводной точки доступа TOTOLINK CP900L, позволяющая нарушителю войти с систему с привилегиями root
BDU:2024-04297	Уязвимость гиперконвергентной инфраструктуры IBM Storage Fusion HCI, связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-04395	Уязвимость системы контроля доступа и мониторинга событий LenelS2 NetBox, связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю обойти процедуру аутентификации
BDU:2024-04751	Уязвимость компонента /etc/passwd микропрограммного обеспечения маршрутизаторов D-Link DIR-605L, позволяющая нарушителю получить доступ к системе с правами root
BDU:2024-04960	Уязвимость микропрограммного обеспечения коммуникационного шлюза SIMATIC CN 4100, связанная с использованием предустановленных учетных данных, позволяющая нарушителю получить несанкционированный доступ к устройству с правами root-пользователя
BDU:2024-04980	Уязвимость файла image.bin микропрограммного обеспечения промышленного преобразователя последовательных интерфейсов в Ethernet Westermo EDW-100, позволяющая нарушителю раскрыть информацию о имени пользователя и пароле для учетной записи root
BDU:2024-05050	Уязвимость системы визуализации и управления промышленными процессами mySCADA myPRO, связанная с использованием предустановленных учетных данных, позволяющая нарушителю получить доступ к системе
BDU:2024-05968	Уязвимость службы SSH операционной системы SmartOS WI-Fi маршрутизаторов AdTran SRG 834-5, позволяющая нарушителю выполнить произвольные команды операционной системы с привилегиями корневого уровня
BDU:2024-05969	Уязвимость службы SSH операционной системы SmartOS WI-Fi маршрутизаторов AdTran SRG 834-5, позволяющая нарушителю выполнить произвольные команды операционной системы
BDU:2024-06006	Уязвимость службы telnet микропрограммного обеспечения маршрутизаторов D-Link DIR-300, позволяющая нарушителю получить полный контроль над устройством
BDU:2024-08575	Уязвимость интерфейса командной строки микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD), позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных или вызвать отказ в обсл...
BDU:2025-02063	Уязвимость микропрограммного обеспечения маршрутизаторов Tenda W18E, связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю получить несанкционированный доступ к консоли управления с правами администратора
BDU:2025-04920	Уязвимость службы Telnet микропрограммного обеспечения роутеров TOTOLINK A810R, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-06465	Уязвимость платформы управления политиками соединений Cisco Identity Services Engine (ISE), связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю изменить конфигурацию программного обеспечения
BDU:2025-07370	Уязвимость микропрограммного обеспечения маршрутизаторов TOTOLINK T10, связанная с использованием предустановленных учетных данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2025-09260	Уязвимость сетевой операционной системы SmartFabric OS10, связанная с использованием предустановленных учетных данных, позволяющая нарушителю повысить свои привилегии
BDU:2025-09330	Уязвимость функции g_F_n_GenPassForQlync микропрограммного обеспечения IP-камеры D-Link DCS-7517, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации
BDU:2025-09781	Уязвимость файла /etc/shadow микропрограммного обеспечения маршрутизатора LB-LINK BL-AC3600, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2025-10203	Уязвимость микропрограммного обеспечения маршрутизаторов Tenda AC20, связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю получить несанкционированный доступ к устройству
BDU:2025-10880	Уязвимость административного интерфейса микропрограммного обеспечения маршрутизаторов Tenda F1202, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-11396	Уязвимость реализации протокола SSH программного обеспечения для управления светофорами Q-Free MaxTime, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2025-13329	Уязвимость сценария force_upgrade.sh микропрограммного обеспечения IP-камер Tenda RP3 Pro, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2025-14590	Уязвимость микропрограммного обеспечения IP-камеры Apeman ID71, связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2026-00178	Уязвимость программного обеспечения для централизованного управления сетевой инфраструктурой Ruckus Network Director, связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю повысить свои привилегии и получить доступ к...
BDU:2026-00226	Уязвимость операционной системы FydeOS, связанная с возможностью использования жёстко заданных учётных данных, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2012-5862	Sinapsi eSolar Hard-Coded Password
CVE-2014-125030	taoeffect Empress hard-coded password
CVE-2014-2363	Morpho Itemiser 3 Hard-Coded Credential
CVE-2014-5405	Hospira MedNet Use of Hard-coded Password
CVE-2014-5431	Baxter SIGMA Spectrum Infusion System version 6.05 (model 35700BAX) with wireless battery module (WBM) version 16 contains a...
CVE-2014-5434	Baxter SIGMA Spectrum Infusion System version 6.05 (model 35700BAX) with wireless battery module (WBM) version 16 has a defau...
CVE-2015-3953	Hard-coded accounts may be used to access Hospira Plum A+ Infusion System version 13.4 and prior, Plum A+3 Infusion System ve...
CVE-2016-9358	A Hard-Coded Passwords issue was discovered in Marel Food Processing Systems M3000 terminal associated with the following sys...
CVE-2017-20039	SICUNET Access Controller hard-coded password
CVE-2017-6022	A hard-coded password issue was discovered in Becton, Dickinson and Company (BD) PerformA, Version 2.0.14.0 and prior version...
CVE-2017-6039	A Use of Hard-Coded Password issue was discovered in Phoenix Broadband PowerAgent SC3 BMS, all versions prior to v6.87. Use o...
CVE-2018-25069	Netis Netcore Router hard-coded password
CVE-2018-8870	Medtronic MyCareLink Patient Monitor Use of Hard-coded Password
CVE-2019-10881	Default hidden Privileged Account Vulnerability in multiple XEROX devices
CVE-2019-13530	Philips IntelliVue WLAN, portable patient monitors, WLAN Version A, Firmware A.03.09, WLAN Version A, Firmware A.03.09, Part...
CVE-2019-3908	Premisys Identicard version 3.1.190 stores backup files as encrypted zip files. The password to the zip is hard-coded and unc...
CVE-2020-12012	Baxter ExactaMix EM 2400 & EM 1200, Versions ExactaMix EM2400 Versions 1.10, 1.11, 1.13, 1.14, ExactaMix EM1200 Versions 1.1,...
CVE-2020-12016	Baxter ExactaMix EM 2400 & EM 1200, Versions ExactaMix EM2400 Versions 1.10, 1.11, 1.13, 1.14, ExactaMix EM1200 Versions 1.1,...
CVE-2020-12037	Baxter PrismaFlex all versions, PrisMax all versions prior to 3.x, The affected devices do not implement data-in-transit encr...
CVE-2020-12039	Baxter Sigma Spectrum Infusion Pumps Sigma Spectrum Infusion System v's6.x model 35700BAX & Baxter Spectrum Infusion System v...
CVE-2020-12045	The Baxter Spectrum WBM (v17, v20D29, v20D30, v20D31, and v22D24) when used in conjunction with a Baxter Spectrum v8.x (model...
CVE-2020-12047	The Baxter Spectrum WBM (v17, v20D29, v20D30, v20D31, and v22D24), when used with a Baxter Spectrum v8.x (model 35700BAX2) in...
CVE-2020-2499	Hard-coded Password Vulnerability in QES
CVE-2020-5351	Dell EMC Data Protection Advisor versions 6.4, 6.5 and 18.1 contain an undocumented account with limited privileges that is p...
CVE-2020-7590	A vulnerability has been identified in DCA Vantage Analyzer (All versions < V4.5 are affected by CVE-2020-7590. In addition,...
CVE-2021-21818	A hard-coded password vulnerability exists in the Zebra IP Routing Manager functionality of D-LINK DIR-3040 1.13B03. A specia...
CVE-2021-22729	A CWE-259: Use of Hard-coded Password vulnerability exists in EVlink City (EVC1S22P4 / EVC1S7P4 all versions prior to R8 V3.4...
CVE-2021-27254	This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of NETGEAR R7800. Aut...
CVE-2021-27440	The software contains a hard-coded password it uses for its own inbound authentication or for outbound communication to exter...
CVE-2021-27452	The software contains a hard-coded password that could allow an attacker to take control of the merging unit using these hard...
CVE-2021-28813	Insufficiently Protected Credentials Vulnerability in QSW-M2116P-2T2S and QuNetSwitch
CVE-2021-32521	QSAN Storage Manager, XEVO, SANOS - Use of Hard-coded Password
CVE-2021-32525	QSAN Storage Manager - Use of Hard-coded Password-2
CVE-2021-34601	Bender Charge Controller: Hardcoded Credentials in Charge Controller
CVE-2021-36312	Dell EMC CloudLink 7.1 and all prior versions contain a Hard-coded Password Vulnerability. A remote high privileged attacker,...
CVE-2021-38456	Moxa MXview Network Management Software
CVE-2022-22144	A hard-coded password vulnerability exists in the libcommonprod.so prod_change_root_passwd functionality of TCL LinkHub Mesh...
CVE-2022-26388	Use of Hard-Coded Password Vulnerability in ELI Electrocardiograph Devices
CVE-2022-27172	A hard-coded password vulnerability exists in the console infactory functionality of InHand Networks InRouter302 V3.5.37. A s...
CVE-2022-29825	Use of Hard-coded Password vulnerability in Mitsubishi Electric GX Works3 versions from 1.000A to 1.090U, GT Designer3 Versio...
CVE-2022-29831	Use of Hard-coded Password vulnerability in Mitsubishi Electric Corporation GX Works3 versions from 1.015R to 1.095Z allows a...
CVE-2022-41653	Daikin SVMPC1 version 2.1.22 and prior and SVMPC2 version 1.2.3 and prior are vulnerable to an attacker obtaining user login...
CVE-2022-45444	CVE-2022-45444
CVE-2023-0808	Deye/Revolt/Bosswerk Inverter Access Point Setting hard-coded password
CVE-2023-1944	[minikube] ssh server with default password
CVE-2023-2061	Authentication bypass vulnerability in MELSEC iQ-R Series / iQ-F Series EtherNet/IP Modules
CVE-2023-23770	Motorola MBTS Site Controller accepts hard-coded backdoor password. The Motorola MBTS Site Controller Man Machine Interface (...
CVE-2023-23771	Motorola MBTS Base Radio accepts hard-coded backdoor password. The Motorola MBTS Base Radio Man Machine Interface (MMI), allo...
CVE-2023-2645	USR USR-G806 Web Management Page hard-coded password
CVE-2023-2799	cnoa OA hard-coded password
CVE-2023-28895	Hard-coded password for access to power controller chip memory
CVE-2023-29103	A vulnerability has been identified in SIMATIC Cloud Connect 7 CC712 (All versions >= V2.0 < V2.1), SIMATIC Cloud Connect 7 C...
CVE-2023-32145	D-Link DAP-1360 Hardcoded Credentials Authentication Bypass Vulnerability
CVE-2023-3237	OTCMS hard-coded password
CVE-2023-41030	Juplink RX4-1500 Hard-coded Credential Vulnerability
CVE-2023-41713	SonicOS Use of Hard-coded Password vulnerability in the 'dynHandleBuyToolbar' demo function.
CVE-2023-46685	A hard-coded password vulnerability exists in the telnetd functionality of LevelOne WBR-6013 RER4_A_v3411b_2T2R_LEV_09_170623...
CVE-2023-50948	IBM Storage Fusion HCI information disclosure
CVE-2023-51629	D-Link DCS-8300LHV2 ONVIF Hardcoded PIN Authentication Bypass Vulnerability
CVE-2023-5222	Viessmann Vitogate 300 Web Management Interface vitogate.cgi isValidUser hard-coded password
CVE-2024-11026	Intelligent Apps Freenow App Keystore SSL.java hard-coded password
CVE-2024-11630	E-Lins H685/H685f/H700/H720/H750/H820/H820Q/H820Q0/H900 OEM Backend hard-coded credentials
CVE-2024-1228	Hardcoded password in Eurosoft Przychodnia
CVE-2024-13688	Admin and Site Enhancements (ASE) < 7.6.10 - Password Protection Bypass
CVE-2024-20412	A vulnerability in Cisco Firepower Threat Defense (FTD) Software for Cisco Firepower 1000, 2100, 3100, and 4200 Series could...
CVE-2024-2197	Chirp Systems Chirp Access Use of Hard-coded Password
CVE-2024-21990	Default Privileged Account Credentials Vulnerability in ONTAP Select Deploy administration utility
CVE-2024-2420	LenelS2 NetBox Hardcoded Credentials
CVE-2024-26196	Microsoft Edge for Android (Chromium-based) Information Disclosure Vulnerability
CVE-2024-27164	Hardcoded credentials
CVE-2024-27774	Unitronics Unistream Unilogic – Versions prior to 1.35.227 CWE-259: Use of Hard-coded Password
CVE-2024-28010	Use of Hard-coded Password in NEC Corporation Aterm WG1800HP4, WG1200HS3, WG1900HP2, WG1200HP3, WG1800HP3, WG1200HS2, WG1900H...
CVE-2024-28023	A vulnerability exists in the message queueing mechanism that if exploited can lead to the exposure of resources or function...
CVE-2024-29011	Use of hard-coded password in the GMS ECM endpoint leading to authentication bypass vulnerability. This issue affects GMS: 9...
CVE-2024-32741	A vulnerability has been identified in SIMATIC CN 4100 (All versions < V3.0). The affected device contains hard coded passwor...
CVE-2024-33625	CyberPower PowerPanel business Use of Hard-coded Password
CVE-2024-34025	CyberPower PowerPanel business Use of Hard-coded Password
CVE-2024-3699	Hardcoded password in drEryk Gabinet
CVE-2024-3700	Hardcoded password in Estomed Sp. z o.o. Simple Care software
CVE-2024-39585	Dell SmartFabric OS10 Software, version(s) 10.5.5.4 through 10.5.5.10 and 10.5.6.x, contain(s) an Use of Hard-coded Password...
CVE-2024-43423	Dover Fueling Solutions ProGauge MAGLINK LX CONSOLE Use of Hard-coded Password
CVE-2024-4708	mySCADA myPRO Use of Hard-coded Password
CVE-2024-48831	Dell SmartFabric OS10 Software, version(s) 10.5.6.x, contain(s) a Use of Hard-coded Password vulnerability. An unauthenticate...
CVE-2024-4996	Hardcoded Password in Wapro ERP Desktop
CVE-2024-5275	Hard-coded password in FileCatalyst Direct 3.8.10 Build 138 TransferAgent (and earlier) and FileCatalyst Workflow 5.1.6 Build...
CVE-2024-7155	TOTOLINK A3300R shadow.sample hard-coded password
CVE-2024-7159	TOTOLINK A3600R Telnet Service product.ini hard-coded password
CVE-2024-7170	TOTOLINK A3000RU product.ini hard-coded password
CVE-2024-7216	TOTOLINK LR1200 shadow.sample hard-coded password
CVE-2024-7332	TOTOLINK CP450 Telnet Service product.ini hard-coded password
CVE-2024-8580	TOTOLINK AC1200 T8 shadow.sample hard-coded password
CVE-2025-1100	A CWE-259 "Use of Hard-coded Password" for the root account in Q-Free MaxTime less than or equal to version 2.11.0 allows an...
CVE-2025-11126	Apeman ID71 system.ini hard-coded credentials
CVE-2025-11284	Zytec Dalian Zhuoyun Technology Central Authentication Service HTTP Header git hard-coded password
CVE-2025-11643	Tomofun Furbo 360/Furbo Mini MQTT Client Certificate furbo_img hard-coded credentials
CVE-2025-11649	Tomofun Furbo 360/Furbo Mini Root Account hard-coded password
CVE-2025-11666	Tenda RP3 Pro Firmware Update force_upgrade.sh hard-coded password
CVE-2025-12676	KiotViet Sync <= 1.8.5 - Use of Hard-coded Password to Authorization Bypass
CVE-2025-13252	shsuishang ShopSuite ModulithShop RSA/OAuth2/Database hard-coded credentials
CVE-2025-1879	i-Drive i11/i12 APK hard-coded credentials
CVE-2025-20286	ISE on AWS Static Credential
CVE-2025-2322	274056675 springboot-openai-chatgpt OpenController.java hard-coded credentials
CVE-2025-2342	IROAD X5 Mobile App API Endpoint hard-coded credentials
CVE-2025-2343	IROAD Dash Cam X5/Dash Cam X6 Device Pairing hard-coded credentials
CVE-2025-2402	Hard-coded password for object store of KNIME Business Hub
CVE-2025-2555	Audi Universal Traffic Recorder App FTP Credentials hard-coded password
CVE-2025-2556	Audi UTR Dashcam Video Stream hard-coded credentials
CVE-2025-36609	Dell SmartFabric OS10 Software, versions prior to 10.6.0.5, contains a Use of Hard-coded Password vulnerability. A low privil...
CVE-2025-3920	Hard-coded Password in SUR-FBD CMMS
CVE-2025-44955	RUCKUS Network Director (RND) before 4.5 allows jailed users to obtain root access vis a weak, hardcoded password.
CVE-2025-47818	Flock Safety Gunshot Detection devices before 1.3 have a hard-coded password for a connection.
CVE-2025-47821	Flock Safety Gunshot Detection devices before 1.3 have a hardcoded password for a system.
CVE-2025-47823	Flock Safety LPR (License Plate Reader) devices with firmware through 2.2 have a hardcoded password for a system.
CVE-2025-5379	NuCom NC-WR744G Console Application hard-coded credentials
CVE-2025-54754	Cognex In-Sight Explorer and In-Sight Camera Firmware Use of Hard-coded Password
CVE-2025-57788	Unauthorized API Access Risk
CVE-2025-58081	Use of hard-coded password issue/vulnerability in SS1 Ver.16.0.0.10 and earlier (Media version:16.0.0a and earlier) allows a...
CVE-2025-6139	TOTOLINK T10 shadow.sample hard-coded password
CVE-2025-6932	D-Link DCS-7517 Qlync Password Generation httpd g_F_n_GenPassForQlync hard-coded password
CVE-2025-7079	mao888 bluebell-plus JWT Token jwt.go hard-coded password
CVE-2025-7080	Done-0 Jank JWT Token jwt_utils.go hard-coded password
CVE-2025-7453	saltbo zpan JSON Web Token token.go NewToken hard-coded password
CVE-2025-7564	LB-LINK BL-AC3600 shadow hard-coded credentials
CVE-2025-7577	Teledyne FLIR FB-Series O/FLIR FH-Series ID hard-coded password
CVE-2025-8231	D-Link DIR-890L UART Port rgbin hard-coded credentials
CVE-2025-8730	Belkin F9K1009/F9K1010 Web Interface hard-coded credentials
CVE-2025-8974	linlinjava litemall JSON Web Token JwtHelper.java hard-coded credentials
CVE-2025-9091	Tenda AC20 shadow hard-coded credentials
CVE-2025-9309	Tenda AC10 MD5 Hash shadow hard-coded credentials
CVE-2025-9310	yeqifu carRental Druid login.html hard-coded credentials
CVE-2025-9380	FNKvision Y215 CCTV Camera Firmware passwd hard-coded credentials
CVE-2025-9725	Cudy LT500E Web shadow hard-coded password
CVE-2025-9731	Tenda AC9 Administrative shadow hard-coded credentials
CVE-2025-9778	Tenda W12 Administrative shadow hard-coded credentials
CVE-2025-9806	Tenda F1202 Administrative shadow hard-coded credentials
CVE-2026-1610	Tenda AX12 Pro V2 Telnet Service hard-coded credentials
CVE-2026-25753	PlaciPy has a Hard-Coded Default Password for All Student Accounts (Account Takeover)
CVE-2026-2616	Beetel 777VR1 Web Management hard-coded credentials
CVE-2026-2702	Beetel 777VR1 WPA2 PSK hard-coded credentials
CVE-2026-4216	i-SENS SmartLog App air.SmartLog.android hard-coded credentials
CVE-2026-4219	INDEX Conferences & Exhibitions Organization YWF BPOF APGCS App ae.index.apgcs BuildConfig.java hard-coded credentials

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20240503-1	03.05.2024	Обход безопасности в SonicWall GMS
VULN:20240513-38	13.05.2024	Повышение привилегий в PowerPanel
VULN:20240517-1	17.05.2024	Получение конфиденциальной информации в SIMATIC CN 4100
VULN:20240617-63	17.06.2024	Получение конфиденциальной информации в EDW-100
VULN:20240708-23	08.07.2024	Выполнение произвольного кода в myPRO
VULN:20241111-20	11.11.2024	Получение конфиденциальной информации в Cisco Firepower Threat Defense Software for Firepower 1000, 2100, 3100 and 4200 Series
VULN:20250618-65	18.06.2025	Получение конфиденциальной информации в Cisco Identity Services Engine on Cloud Platforms

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.