Каталог уязвимостей - CWE - CWE-266

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

Каталог Справка открывает раздел документации по каталогам.

Уязвимости CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-266

Incorrect Privilege Assignment

A product incorrectly assigns a privilege to a particular actor, creating an unintended sphere of control for that actor.

Тип уязвимости:	Не зависит от других уязвимостей

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2019-02444	Уязвимость компонента ZebOS операционной системы FortiOS, позволяющая нарушителю изменять настройки маршрутизации
BDU:2019-03317	Уязвимость кросс-браузерной системы для разработки дополнений WebExtensions браузера Firefox ESR, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2020-01385	Уязвимость программного обеспечения управления и конфигурации сети Siemens SINEMA Server, позволяющая нарушителю поставить под угрозу конфиденциальность, целостность и доступность уязвимой системы и базовых компонентов
BDU:2020-03731	Уязвимость программного комплекса защиты конечных точек Global Protect Agent for Linux, связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии до уровня root
BDU:2020-04050	Уязвимость программного обеспечения веб-сервера NPort IAW5000A-I/O Series, связанная с недостатками разграничения доступа, позволяющая нарушителю отправлять произвольные запросы в уязвимую систему
BDU:2020-05171	Уязвимость компонента Microsoft Active Directory платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю повысить свои привилегии
BDU:2020-05795	Уязвимость ядра операционной системы Linux, связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2021-00137	Уязвимость функции io_uring ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии
BDU:2021-00599	Уязвимость службы управления ролями пользователями центра управления сетью Cisco DNA Center, позволяющая нарушителю выполнить произвольные команды
BDU:2021-04142	Уязвимость функции gluster_shared_storage платформы хранения для физических, виртуальных и облачных сред gluster, позволяющая нарушителю повысить свои привилегии
BDU:2021-04521	Уязвимость службы SFTP программной среды агента управления для сетевых элементов ConfD, позволяющая нарушителю повысить свои привилегии
BDU:2021-05104	Уязвимость операционной системы Синергия, связанная с ошибками разграничения доступа в политиках SELinux, позволяющая нарушителю получить доступ на просмотр и копирование файлов из директории admin
BDU:2021-05105	Уязвимость операционной системы Синергия, связанная с ошибками разграничения доступа в политиках SELinux, позволяющая нарушителю получить доступ на чтение к системным файлам
BDU:2021-05808	Уязвимость модуля Network Access Manager средства криптографической защиты Cisco AnyConnect Secure Mobility Client, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2021-05911	Уязвимость интерфейса REST API платформы управления политиками соединений Cisco Identity Services Engine, позволяющая нарушителю выполнить произвольные команды и повысить свои привилегии
BDU:2022-00318	Уязвимость подсистемы инициализации и управления службами systemd, связанная с неправильным присваиванием привилегий, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2022-02432	Уязвимость веб-интерфейса платформы управления политиками соединений Cisco Identity Services Engine, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-03261	Уязвимость компонента CLI операционной системы Cisco IOS XE сетевых устройств Cisco Catalyst 9000 Series, позволяющая нарушителю повысить свои привилегии или выполнить произвольные команды
BDU:2022-03349	Уязвимость интерфейса веб-служб микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю повысить свои привилегии
BDU:2022-03949	Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-03988	Уязвимость механизм аутентификации для администраторов программного обеспечения устройства для маркировки бюллетеней ImageCast X, позволяющая нарушителю повысить свои привилегии
BDU:2022-05548	Уязвимость средства антивирусной защиты для домашних сетей Trend Micro HouseCall, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2022-05769	Уязвимость пакета программ сетевого взаимодействия Samba, связанная с некорректным присваиванием привилегий, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2022-06223	Уязвимость модуля Hitachi Storage для VMware vCenter, позволяющая нарушителю повысить привилегии в системе
BDU:2022-06930	Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загружать произвольные файлы
BDU:2023-00304	Уязвимость интерфейса командной строки (CLI) операционных систем Cisco IOS XE сетевых устройств Cisco Catalyst 9000 Series связана с ошибками присваивания привилегий, позволяющая нарушителю выполнить произвольные команды
BDU:2023-00669	Уязвимость модуля Hitachi Storage Plug-in для VMware vCenter, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии
BDU:2023-00673	Уязвимость модуля Hitachi Storage Plug-in для VMware vCenter, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии
BDU:2023-00716	Уязвимость пакета программ сетевого взаимодействия Samba, связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-00730	Уязвимость графического интерфейса локальной файловой системы Dell GeoDrive, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-01117	Уязвимость реализации прикладного программного интерфейса микропрограммного обеспечения сетевого хранилища Western Digital MyCloud PR4100, позволяющая нарушителю выполнить произвольный код
BDU:2023-02038	Уязвимость файла службы /etc/init.d/openfire сервера PBX корпоративной системы управления IP-телефонией CoreDial sipXcom sipXopenfire, позволяющая нарушителю повысить свои привилегии или выполнить произвольные команды
BDU:2023-02992	Уязвимость портала администрирования платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-03865	Уязвимость модулей отображения веб-страниц WPE WebKit и WebKitGTK, связанная с некорректным присваиванием привилегий, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2023-05560	Уязвимость компонента Project Name Handler навигационных и мультимедийных систем, предназначенных для использования в наземных транспортных средствах, Harman Infotainment, позволяющая получить root-доступ через SSH с помощью ключа USB-to-Ethernet с п...
BDU:2023-06092	Уязвимость программного обеспечения для программирования ПЛК Mitsubishi Electric GX Works3, вызванная неправильными разрешениями, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
BDU:2023-06198	Уязвимость интерфейса CGI микропрограммного обеспечения усилителя беспроводного сигнала D-Link DAP-1325, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-06215	Уязвимость модуля displayengine оболочки EMUI операционной системы HarmonyOS, позволяющая привести к затемнению экрана
BDU:2023-06216	Уязвимость модуля DDMP оболочки EMUI операционной системы HarmonyOS, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-06230	Уязвимость централизованной системы управления сетью Cisco Catalyst SD-WAN Manager, связанная с недостатками процедуры авторизации, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2023-06232	Уязвимость интерфейса CLI централизованной системы управления сетью Cisco Catalyst SD-WAN Manager, позволяющая нарушителю произвести возврат к предыдущей конфигурации на уязвимом экземпляре
BDU:2023-06238	Уязвимость компонента TCC операционных систем watchOS, macOS, позволяющая нарушителю сделать снимок экрана пользователя
BDU:2023-06571	Уязвимость программного обеспечения управления энергопотреблением и мониторинга энергоэффективности зданий и промышленных объектов DEXMA DEXGate, связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-06881	Уязвимость компонента svpn_html/loadfile.php средства межсетевого экранирования Sangfor NGAF, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-06944	Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DIR-820L, связанная с недостатками контроля доступа, позволяющая нарушителю выполнить произвольный код
BDU:2023-07084	Уязвимость программного обеспечения удаленного мониторинга Advantech WebAccess, связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-07091	Уязвимость компонента Core программного обеспечения WebLogic Server, позволяющая нарушителю получить доступ к защищаемой информации
BDU:2023-07556	Уязвимость компонента Management Central операционной системы IBM i, позволяющая нарушителю повысить свои привилегии
BDU:2023-07576	Уязвимость компонента Management Central операционной системы IBM i, позволяющая нарушителю повысить свои привилегии
BDU:2023-07588	Уязвимость системы визуализации данных Grafana Enterprise Metrics, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2023-07598	Уязвимость механизма уведомлений операционной системы "Аврора", позволяющая нарушителю повысить свои привилегии
BDU:2023-07848	Уязвимость программного средства для управления устройствами в сети Zoho ManageEngine Device Control Plus, связанная с недостатками контроля доступа, позволяющая нарушителю обойти ограничение использования USB-накопителей
BDU:2023-08034	Уязвимость облачного персонального помощника Siri операционных систем macOS, watchOS, iOS и iPadOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-08047	Уязвимость компонента MySQL Server системы управления базами данных Oracle MySQL, связанная с некорректным присваиванием привилегий, позволяющая нарушителю выполнить атаку типа "отказ в обслуживании" (DoS)
BDU:2023-08124	Уязвимость службs httpd микропрограммного обеспечения Wi‑Fi роутеров TP-Link TL-WR902AC, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-08136	Уязвимость скрипта установки PHP-агента Cisco AppDynamics PHP Agent, позволяющая нарушителю повысить свои привилегии
BDU:2023-08204	Уязвимость облачного персонального помощника Siri операционных систем macOS, watchOS, iOS и iPadOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-08206	Уязвимость облачного персонального помощника Siri операционных систем macOS, watchOS, iOS и iPadOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-08366	Уязвимость операционных систем iOS, iPadOS, macOS и браузера Safari, связанная с недостатками контроля доступа, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-08537	Уязвимость модуля mod_webdav.so микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AX92U, позволяющая нарушителю получить доступ к защищаемой информации
BDU:2023-08585	Уязвимость функции createPendingIntent (CredentialManagerUi.java) операционной системы Android, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-08611	Уязвимость функции "per-user-override" микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю обойти настроенный список управления доступом
BDU:2023-08612	Уязвимость функции "per-user-override" микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю обойти настроенный список управления доступом
BDU:2023-08617	Уязвимость системы управления содержимым Joomla!, связанная с отсутствием защиты служебных данных, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2023-08619	Уязвимость системы управления контентом BoltWire, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2023-08686	Уязвимость микропрограммного обеспечения коммутатора Ubiquiti Networks UniFi Dream Machine Pro, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти ограничения домена
BDU:2023-08695	Уязвимость подкомпонента Supplier Management компонента Oracle iSupplier Portal системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на чтение данных
BDU:2023-08767	Уязвимость системы управления базами данных IBM DB2, связанная с недостатками разграничения доступа, позволяющая нарушителю выполнить произвольные команды
BDU:2023-09005	Уязвимость сетевых систем хранения данных Hitachi Vantara NAS, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-09064	Уязвимость компонента dropbearpwd микропрограммного обеспечения маршрутизатора TP-Link TL-WR841N, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-09125	Уязвимость метода saveConfig системы управления мобильными устройствами Avalanche, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2024-00161	Уязвимость подсистемы sbcast менеджера управления ресурсами Slurm, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2024-00326	Уязвимость сервера Redfish менеджера хранения maxView Storage Manager, позволяющая нарушителю получить несанкционированный доступ к устройству
BDU:2024-01220	Уязвимость сканера безопасности веб-приложений Fortify ScanCentral DAST, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2024-01563	Уязвимость компонента core.mediamanager системы управления контентом SCHLIX CMS, позволяющая нарушителю выполнить произвольный код
BDU:2024-01988	Уязвимость SSH-клиента операционной системы Cisco IOS XR, позволяющая нарушителю повысить свои привилегии до уровня root
BDU:2024-02571	Уязвимость набора утилит VMware Tools, связанная с некорректным присваиванием привилегий, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2024-02735	Уязвимость микропрограммного обеспечения BIOS серверных плат Server Board S1200RP, S1400FP, S1400SP, S1600JP, S2400BB, S2400EP, S2400SC, S2600CO, S2600CP, S2600GL, S2600GZ, S2600IP, W2600CR, S2600JF, S2600WP, S4600LH, S4600LT, S2600CW, S2600KP, S2600...
BDU:2024-02968	Уязвимость микропрограммного обеспечения модулей программируемых логических контроллеров MELSEC iQ-R Series Safety CPU и Series SIL2 Process CPU, связанная с некорректным присваиванием привилегий, позволяющая нарушителю получить несанкционированный д...
BDU:2024-04279	Уязвимость компонента YAQL интерфейса для управления конфигурацией сервисов в облачной платформе OpenStack Murano, связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-04779	Уязвимость интерфейса командной строки (CLI) программного средства автоматизации Cisco Crosswork Network Services Orchestrator программной среды агента управления для сетевых элементов ConfD, позволяющая нарушителю повысить свои привилегии
BDU:2024-04854	Уязвимость компонента NVIDIA Virtual GPU Manager драйвера виртуальных графических процессоров NVIDIA Virtual GPU, позволяющая нарушителю повысить свои привилегии или вызвать отказ в обслуживании
BDU:2024-04898	Уязвимость компонента Anti Malware Service антивирусного программного обеспечения VIPRE Advanced Security, позволяющая нарушителю повысить свои привилегии
BDU:2024-05110	Уязвимость интерфейса UART микропрограммного обеспечения маршрутизаторов ASUS RT-N12+ B1, позволяющая нарушителю получить несанкционированный доступ к корневому терминалу
BDU:2024-05388	Уязвимость функции переадресации IP-пакетов IP-Forwarding микропрограммного обеспечения Ethernet-коммутаторов RUGGEDCOM, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-05526	Уязвимость операционной системы PowerScale OneFS, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2024-05527	Уязвимость операционной системы PowerScale OneFS, связанная с некорректным присваиванием привилегий, позволяющая нарушителю вызвать отказ в обслуживании и повысить свои привилегии
BDU:2024-05671	Уязвимость компонента Experimental Permission Model программной платформы Node.js, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-05741	Уязвимость ядра веб-сервера Apache HTTP Server, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-05978	Уязвимость функции admin_push_rules компонента Project-level Deploy Token Handler программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю создавать токен развертывания на уровне проекта
BDU:2024-05979	Уязвимость функции admin_compliance_framework компонента Group Namespace URL Handler программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю изменить URL-адрес группы
BDU:2024-05982	Уязвимость функции admin_group_member компонента Group Member Handler программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю банить произвольных участников группы
BDU:2024-06738	Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-06838	Уязвимость операционной системы PowerScale OneFS, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии до уровня root
BDU:2024-07061	Уязвимость плагина LiteSpeed Cache for WordPress (LSCWP) системы управления содержимым сайта WordPress, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2024-07258	Уязвимость компонента Device Handler кроссплатформенного гипервизора Xen ядра операционной системы Linux, позволяющая нарушителю повысить привилегии
BDU:2024-08968	Уязвимость микропрограммного обеспечения роутеров TOTOLINK LR350, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности
BDU:2024-09147	Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с неправильным назначением привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2024-09348	Уязвимость реализации прикладного программного интерфейса операционных систем Juniper Networks Junos OS Evolved, позволяющая нарушителю обойти ограничения безопасности
BDU:2024-09681	Уязвимость команд SET ROLE, SET SESSION системы управления базами данных PostgreSQL, позволяющая нарушителю повысить свои привилегии и получить доступ к защищаемой информации
BDU:2024-09900	Уязвимость функции Organizations платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю повысить свои привилегии
BDU:2024-10167	Уязвимость средства антивирусной защиты G Data Total Security, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2024-10308	Уязвимость программного обеспечения Spectrum Power 7 ,связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2024-11601	Уязвимость компонента Navigations браузеров Microsoft Edge и Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2025-00030	Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов D-Link DIR-823G, позволяющая нарушителю изменить конфигурации устройства
BDU:2025-00077	Уязвимость системы управления кластерами Kubernetes для запуска облачных приложения на нескольких кластерах Karmada, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2025-00107	Уязвимость функции vibebp_register_user() сценария includes/class.ajax.php плагина VibeBP системы управления содержимым сайта WordPress, позволяющая нарушителю повысить свои привилегии
BDU:2025-00264	Уязвимость модуля Private Content CMS-системы Drupal, связанная с некорректным присваиванием привилегий, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
BDU:2025-00290	Уязвимость модуля Registration role CMS-системы Drupal, связанная с некорректным присваиванием привилегий, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии
BDU:2025-00426	Уязвимость сценария /goform/form2NetSniper.cgi микропрограммного обеспечения беспроводных маршрутизаторов D-Link DIR-816 A2, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-00895	Уязвимость серверного программного средства управление агентами Elastic Agent Elastic Fleet Server, связанная с недостатками контроля доступа, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-00896	Уязвимость сервиса визуализации данных Kibana, связанная с недостатками контроля доступа, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации
BDU:2025-01611	Уязвимость операционных систем FortiOS, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2025-01855	Уязвимость модуля Internal Users системы обнаружения и предотвращения вторжений Wazuh, позволяющая нарушителю обойти существующие ограничения безопасности, получить несанкционированный доступ к защищаемой информации и повысить свои привилегии
BDU:2025-02173	Уязвимость компонента IP QoS Handler микропрограммного обеспечения маршрутизаторов D-Link DIR-816 A2, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2025-02174	Уязвимость службы DDNS Service микропрограммного обеспечения маршрутизаторов D-Link DIR-816 A2, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2025-02175	Уязвимость сценария form2Dhcpd.cgi (/goform/form2Dhcpd.cgi) компонента DHCPD Setting Handler микропрограммного обеспечения маршрутизаторов D-Link DIR-816 A2, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2025-02176	Уязвимость сценария form2AddVrtsrv.cgi (/goform/form2AddVrtsrv.cgi) компонента Virtual Service Handler микропрограммного обеспечения маршрутизаторов D-Link DIR-816 A2, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2025-02177	Уязвимость сценария form2AdvanceSetup.cgi (/goform/form2AdvanceSetup.cgi) компонента WiFi Settings Handler микропрограммного обеспечения маршрутизаторов D-Link DIR-816 A2, позволяющая нарушителю оказать воздействие на целостность защищаемой информаци...
BDU:2025-02178	Уязвимость сценария form2LocalAclEditcfg.cgi (/goform/form2LocalAclEditcfg.cgi) компонента ACL Handler микропрограммного обеспечения маршрутизаторов D-Link DIR-816 A2, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2025-02179	Уязвимость службы Tray Monitor Service программного обеспечения резервного копирования и восстановления данных на компьютерах и серверах Acronis Agent и программного обеспечения защиты данных Acronis Cyber Protect 16, позволяющая нарушителю повысить...
BDU:2025-02263	Уязвимость программного обеспечения разграничения доступа upKeeper Instant Privilege Access, связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии
BDU:2025-02659	Уязвимость программного средства централизованного управления устройствами Fortinet FortiManager и средств отслеживания и анализа событий безопасности FortiAnalyzer, связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить с...
BDU:2025-02919	Уязвимость функции SetUpnpSettings службыUPnP микропрограммного обеспечения маршрутизаторов D-link DIR-823G, позволяющая нарушителю изменить конфигурацию устройства
BDU:2025-03262	Уязвимость сетевой операционной системы SmartFabric OS10, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии
BDU:2025-03334	Уязвимость оркестратора приложений Nomad, связанная с неправильным назначением привилегий, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2025-03675	Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Tenda FH1202, позволяющая нарушителю повысить свои привилегии
BDU:2025-03876	Уязвимость программного обеспечения управления кластерами Kubernets Rancher, связанная с недостатками разграничения доступа, позволяющая нарушителю изменить пароль администраторов и получить доступ к их учетным записям
BDU:2025-04109	Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Tenda F1202, позволяющая нарушителю повысить свои привилегии
BDU:2025-04110	Уязвимость конфигурационного файла default.cfg микропрограммного обеспечения маршрутизаторов Tenda F1202, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-04112	Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Tenda FH1202, позволяющая нарушителю повысить свои привилегии
BDU:2025-04113	Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Tenda FH1202, позволяющая нарушителю повысить свои привилегии
BDU:2025-04272	Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Tenda FH1202, позволяющая нарушителю повысить свои привилегии
BDU:2025-04770	Уязвимость компонента koko системы аудита безопасности эксплуатации и обслуживания JumpServer, позволяющая нарушителю получать токен кластера Kubernetes
BDU:2025-04943	Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Tenda FH1202, позволяющая нарушителю повысить свои привилегии
BDU:2025-05350	Уязвимость платформы для обеспечения безопасности данных IBM Guardium Data Protection, связанная с некорректным присваиванием привилегий, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-05387	Уязвимость сценария cstecgi.cgi (/cgi-bin/cstecgi.cgi) микропрограммного обеспечения роутеров TOTOLINK A720R, позволяющая нарушителю повысить свои привилегии
BDU:2025-05466	Уязвимость компонента Firewall Service микропрограммного обеспечения маршрутизаторов D-Link DIR-618 и DIR-605L, позволяющая нарушителю выполнить произвольный код
BDU:2025-05467	Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DIR-618 и DIR-605L, позволяющая нарушителю выполнить произвольный код
BDU:2025-05468	Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DIR-618 и DIR-605L, позволяющая нарушителю выполнить произвольный код
BDU:2025-05469	Уязвимость функции /goform/formSetPassword микропрограммного обеспечения маршрутизаторов D-Link DIR-618 и DIR-605L, позволяющая нарушителю выполнить произвольный код
BDU:2025-05470	Уязвимость функции /goform/formTcpipSetup микропрограммного обеспечения маршрутизаторов D-Link DIR-618 и DIR-605L, позволяющая нарушителю выполнить произвольный код
BDU:2025-05471	Уязвимость функции /goform/formSetPortTr микропрограммного обеспечения маршрутизаторов D-Link DIR-618 и DIR-605L, позволяющая нарушителю выполнить произвольный код
BDU:2025-05472	Уязвимость функции /goform/formVirtualServ микропрограммного обеспечения маршрутизаторов D-Link DIR-618 и DIR-605L, позволяющая нарушителю выполнить произвольный код
BDU:2025-05473	Уязвимость функции /goform/formSetDDNS микропрограммного обеспечения маршрутизаторов D-Link DIR-618 и DIR-605L, позволяющая нарушителю выполнить произвольный код
BDU:2025-05644	Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Tenda FH1202, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-05703	Уязвимость программного средства для обеспечения безопасного удаленного доступа к данным Palo Alto Networks GlobalProtect App операционных систем macOS, связанная с недостатками разграничения доступа, позволяющая нарушителю вызвать отказ в обслуживан...
BDU:2025-05705	Уязвимость платформы разработки программного обеспечения для защиты конечных точек MetaDefender Endpoint Security SDK (ранее OESIS) и программного средства для обеспечения безопасного удаленного доступа к данным Palo Alto Networks GlobalProtect App о...
BDU:2025-05799	Уязвимость функции setUPnPCfg файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения беспроводных маршрутизаторов TOTOLINK A3700R, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05800	Уязвимость функции setDdnsCfg файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения беспроводных маршрутизаторов TOTOLINK A3700R, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05801	Уязвимость функции setScheduleCfg файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения беспроводных маршрутизаторов TOTOLINK A3700R, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05802	Уязвимость функции setUrlFilterRules файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения беспроводных маршрутизаторов TOTOLINK A3700R, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05803	Уязвимость функции setL2tpServerCfg файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения беспроводных маршрутизаторов TOTOLINK A3700R, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05806	Уязвимость функции setWiFiEasyGuestCfg файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения беспроводных маршрутизаторов TOTOLINK A3700R, позволяющая нарушителю повысить свои привилегии
BDU:2025-05807	Уязвимость функции setWiFiEasyCfg/setWiFiEasyGuestCfg файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения беспроводных маршрутизаторов TOTOLINK A3700R, позволяющая нарушителю повысить свои привилегии
BDU:2025-05808	Уязвимость функции setSmartQosCfg файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения беспроводных маршрутизаторов TOTOLINK A3700R, позволяющая нарушителю повысить свои привилегии
BDU:2025-05843	Уязвимость файла /cgi-bin/ExportSyslog.sh микропрограммного обеспечения роутеров TOTOLINK A3000RU, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2025-05844	Уязвимость файла /cgi-bin/ExportIbmsConfig.sh компонента IBMS Configuration File Handler микропрограммного обеспечения роутеров TOTOLINK A3000RU, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-06167	Уязвимость оркестратора приложений Nomad, связанная с отсутствием авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-06244	Уязвимость плагина Houzez Login Register системы управления содержимым сайта WordPress, позволяющая нарушителю повысить свои привилегии
BDU:2025-06246	Уязвимость плагина Houzez Theme системы управления содержимым сайта WordPress, позволяющая нарушителю повысить свои привилегии
BDU:2025-06682	Уязвимость плагина SureTriggers системы управления содержимым сайта WordPress, позволяющая нарушителю повысить свои привилегии
BDU:2025-06807	Уязвимость механизма поиска ACL-политик на основе префиксов оркестратора приложений Nomad, позволяющая нарушителю обойти существующие механизмы безопасности
BDU:2025-06846	Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Tenda FH1202, позволяющая нарушителю повысить свои привилегии
BDU:2025-06847	Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Tenda FH1202, позволяющая нарушителю повысить свои привилегии
BDU:2025-07331	Уязвимость функции strset_reply_size() модуля net/ethtool/strset.c реализации сетевых функций ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08682	Уязвимость утилиты командной строки devmem микропрограммного обеспечения цифровых оптических сетевых систем Infinera G42, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, повысить свои привилегии или вызвать отказ в...
BDU:2025-08771	Уязвимость виртуальной машины облачной платформы кибербезопасности Palo Alto Networks Cortex, позволяющая нарушителю повысить свои привилегии до уровня root
BDU:2025-09113	Уязвимость службы FTP Service микропрограммного обеспечения маршрутизаторов TOTOLINK N600R и X2000R, позволяющая нарушителю повысить свои привилегии
BDU:2025-09209	Уязвимость платформы для мониторинга, анализа и автоматического устранения проблем Palo Alto Networks Autonomous Digital Experience Manager, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии до уровня...
BDU:2025-09210	Уязвимость программного средства для обеспечения безопасного удаленного доступа к данным Palo Alto Networks GlobalProtect App, связанная с неправильным назначением привилегий, позволяющая нарушителю оказать воздействие на доступность защищаемой инфор...
BDU:2025-09211	Уязвимость программного средства для обеспечения безопасного удаленного доступа к данным Palo Alto Networks GlobalProtect App операционных систем macOS, связанная с недостатками разграничения доступа, позволяющая нарушителю вызвать отказ в обслуживан...
BDU:2025-09358	Уязвимость файла command.php микропрограммного обеспечения маршрутизаторов D-Link DIR-300 и DIR-600, позволяющая нарушителю выполнить произвольные команды и оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2025-09529	Уязвимость функции SetDDNSSettings() (/HNAP1/) компонента DDNS Service микропрограммного обеспечения маршрутизаторов D-Link DIR-823G, позволяющая нарушителю обойти ограничения безопасности
BDU:2025-09565	Уязвимость платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии до root уровня
BDU:2025-09645	Уязвимость демона vsftpd микропрограммного обеспечения маршрутизатора Trendnet TEW-822DRE, позволяющая нарушителю повысить свои привилегии и получить полный контроль над устройством
BDU:2025-09663	Уязвимость встроенного веб-сервера boa (/server/boa.conf) микропрограммного обеспечения IP-камер TRENDnet TV-IP110WN, позволяющая нарушителю повысить свои привилегии и получить полный контроль над устройством
BDU:2025-09777	Уязвимость программной платформы управления сетевой инфраструктурой Versa Director, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю загружать произвольные файлы
BDU:2025-09921	Уязвимость операционных систем FortiOS, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2025-10734	Уязвимость языка программирования Rust, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2025-10986	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/CE, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и манипулировать данными
BDU:2025-11579	Уязвимость функции createMultiProfilePagerAdapter() модуля ChooserActivity.java операционных систем Android, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2025-11638	Уязвимость компонента Framework операционных систем Android, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2025-12781	Уязвимость платформы для построения систем автоматизации R9, связанная с хранением аутентификационных данных в файлах конфигурации в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к системе
BDU:2025-12860	Уязвимость программного обеспечения централизованного управления системами хранения данных PowerProtect Data Domain Management Center операционных систем Dell EMC Data Domain Operating System (DD OS), связанная с некорректным присваиванием привилегий...
BDU:2025-13440	Уязвимость платформы создания совместных веб-приложений XWiki Platform, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2025-14333	Уязвимость платформы для разработки моделей искусственного интеллекта OpenShift AI, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить привилегии
BDU:2025-14351	Уязвимость программного обеспечения Spectrum Power 4, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2025-14561	Уязвимость реализации стандарта SCIM платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю получить несанкционированный доступ к платформе
BDU:2025-14651	Уязвимость компонента Setting Handler микропрограммного обеспечения маршрутизаторов D-Link DSR-150, DSR-150N и DSR-250, позволяющая нарушителю получить полный доступ к устройствам
BDU:2025-15158	Уязвимость программного средства мониторинга и анализа логов Nagios Log Server, связанная с ошибками в управлении правами доступа, позволяющая нарушителю повысить свои привилегии
BDU:2025-15688	Уязвимость компонента fs/nfs ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2025-16195	Уязвимость портала администрирования платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-16216	Уязвимость утилиты сжатия и распаковки файлов SAPCAR, связанная с некорректным присваиванием привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2025-16221	Уязвимость утилиты сжатия и распаковки файлов SAPCAR, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии
BDU:2025-16307	Уязвимость программной интеграционной платформы SAP NetWeaver Application Server ABAP, связанная с некорректным присваиванием привилегий, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2025-16370	Уязвимость системы сбора и анализа событий безопасности IBM QRadar SIEM, связанная с ошибками присваивания привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2025-16371	Уязвимость системы сбора и анализа событий безопасности IBM QRadar SIEM, связанная с ошибками присваивания привилегий, позволяющая нарушителю повысить свои привилегии
BDU:2026-00202	Уязвимость программного обеспечения восстановления поврежденных файлов Wondershare Repairit, связанная с некорректным присваиванием привилегий, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2026-00333	Уязвимость микропрограммного обеспечения IPTV-станций Flamingo XL, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти защитный механизм песочницы, повысить свои привилегии и выполнить произвольные команды
BDU:2026-00434	Уязвимость функции биометрической проверки подлинности Windows Hello операционных систем Windows, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2026-00479	Уязвимость функции биометрической проверки подлинности Windows Hello операционных систем Windows, позволяющая нарушителю повысить свои привилегии
BDU:2026-00898	Уязвимость компонента NFS ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2026-01051	Уязвимость микропрограммного обеспечения промышленного контроллера SICK TDC-X401GL, связанная с недостатками разграничения доступа, позволяющая нарушителю получить доступ на чтение и изменение системных данных
BDU:2026-01052	Уязвимость микропрограммного обеспечения промышленного контроллера SICK TDC-X401GL, связанная с недостатками разграничения доступа, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2026-01257	Уязвимость функции interrupt_preinit_v3_hw() модуля drivers/scsi/hisi_sas/hisi_sas_v3_hw.c драйвера поддержки устройств SCSI HiSilicon SAS ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2026-01403	Уязвимость функции get_pat_info() модуля arch/x86/mm/pat/memtype.c платформы x86 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2026-01565	Уязвимость функции nfsd_splice_actor() модуля fs/nfsd/vfs.c поддержки сетевой файловой системы NFS ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2026-02538	Уязвимость интерфейса NVUE операционных систем NVIDIA Cumulus Linux и Operating System (NVOS), позволяющая нарушителю повысить свои привилегии

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2016-7066	It was found that the improper default permissions on /tmp/auth directory in JBoss Enterprise Application Platform before 7.1...
CVE-2016-7070	A privilege escalation flaw was found in the Ansible Tower. When Tower before 3.0.3 deploys a PostgreSQL database, it incorre...
CVE-2017-12711	An Incorrect Privilege Assignment issue was discovered in Advantech WebAccess versions prior to V8.2_20170817. A built-in use...
CVE-2017-20199	Buttercup buttercup-browser-extension Vault access control
CVE-2018-1088	A privilege escalation flaw was found in gluster 3.x snapshot scheduler. Any gluster client allowed to mount gluster volumes...
CVE-2018-1101	Ansible Tower before version 3.2.4 has a flaw in the management of system and organization administrators that allows for pri...
CVE-2019-10143	It was discovered freeradius up to and including version 3.0.19 does not correctly configure logrotate, allowing a local atta...
CVE-2019-10940	A vulnerability has been identified in SINEMA Server (All versions < V14.0 SP2 Update 1). Incorrect session validation could...
CVE-2019-11891	Incorrect privilege assignment in the app pairing mechanism of the Bosch Smart Home Controller (SHC)
CVE-2019-11893	Incorrect privilege assignment in the app permission update API of the Bosch Smart Home Controller (SHC)
CVE-2019-14819	A flaw was found during the upgrade of an existing OpenShift Container Platform 3.x cluster. Using CRI-O, the dockergc servic...
CVE-2019-19345	A vulnerability was found in all openshift/mediawiki-apb 4.x.x versions prior to 4.3.0, where an insecure modification vulner...
CVE-2019-19346	An insecure modification vulnerability in the /etc/passwd file was found in the container openshift/mariadb-apb, affecting ve...
CVE-2019-19348	An insecure modification vulnerability in the /etc/passwd file was found in the container openshift/apb-base, affecting versi...
CVE-2019-19349	An insecure modification vulnerability in the /etc/passwd file was found in the container operator-framework/operator-meterin...
CVE-2019-19350	An insecure modification vulnerability in the /etc/passwd file was found in the openshift/ansible-service-broker as shipped i...
CVE-2019-19351	An insecure modification vulnerability in the /etc/passwd file was found in the container openshift/jenkins. An attacker with...
CVE-2019-19352	An insecure modification vulnerability in the /etc/passwd file was found in the operator-framework/presto as shipped in Red H...
CVE-2019-19353	An insecure modification vulnerability in the /etc/passwd file was found in the operator-framework/hive as shipped in Red Hat...
CVE-2019-19354	An insecure modification vulnerability in the /etc/passwd file was found in the operator-framework/hadoop as shipped in Red H...
CVE-2019-19355	An insecure modification vulnerability in the /etc/passwd file was found in the openshift/ocp-release-operator-sdk. An attack...
CVE-2019-3843	It was discovered that a systemd service that uses DynamicUser property can create a SUID/SGID binary that would be allowed t...
CVE-2020-10695	An insecure modification flaw in the /etc/passwd file was found in the redhat-sso-7 container. An attacker with access to the...
CVE-2020-10728	A flaw was found in automationbroker/apb container in versions up to and including 2.0.4-1. This container grants all users s...
CVE-2020-14318	A flaw was found in the way samba handled file and directory permissions. An authenticated user could use this flaw to gain a...
CVE-2020-16120	Unprivileged overlay + shiftfs read access
CVE-2020-1704	An insecure modification vulnerability in the /etc/passwd file was found in all versions of OpenShift ServiceMesh (maistra) b...
CVE-2020-1705	A vulnerability was found in openshift/template-service-broker-operator in all 4.x.x versions prior to 4.3.0, where an insecu...
CVE-2020-1708	It has been found in openshift-enterprise version 3.11 and all openshift-enterprise versions from 4.1 to, including 4.3, that...
CVE-2020-1742	An insecure modification vulnerability flaw was found in containers using nmstate/kubernetes-nmstate-handler. An attacker wit...
CVE-2020-1989	Global Protect Agent: Incorrect privilege assignment allows local privilege escalation
CVE-2020-26182	Dell EMC NetWorker versions prior to 19.3.0.2 contain an incorrect privilege assignment vulnerability. A non-LDAP remote user...
CVE-2020-27122	Cisco Identity Services Engine Privilege Escalation Vulnerability
CVE-2020-35514	An insecure modification flaw in the /etc/kubernetes/kubeconfig file was found in OpenShift. This flaw allows an attacker wit...
CVE-2020-6652	Incorrect privilege assignment allowing non-admin users to upload config files
CVE-2020-7009	Elasticsearch versions from 6.7.0 before 6.8.8 and 7.0.0 before 7.6.2 contain a privilege escalation flaw if an attacker is a...
CVE-2020-7014	The fix for CVE-2020-7009 was found to be incomplete. Elasticsearch versions from 6.7.0 to 6.8.7 and 7.0.0 to 7.6.1 contain a...
CVE-2020-7018	Elastic Enterprise Search before 7.9.0 contain a credential exposure flaw in the App Search interface. If a user is given the...
CVE-2020-7334	Improper privilege assignment vulnerability in the installer component of MACC
CVE-2021-1303	Cisco DNA Center Privilege Escalation Vulnerability
CVE-2021-1412	Cisco Identity Services Engine Sensitive Information Disclosure Vulnerabilities
CVE-2021-1416	Cisco Identity Services Engine Sensitive Information Disclosure Vulnerabilities
CVE-2021-1572	ConfD CLI Secure Shell Server Privilege Escalation Vulnerability
CVE-2021-1594	Cisco Identity Services Engine Privilege Escalation Vulnerability
CVE-2021-20208	A flaw was found in cifs-utils in versions before 6.13. A user when mounting a krb5 CIFS file system from within a container...
CVE-2021-20264	An insecure modification flaw in the /etc/passwd file was found in the openjdk-1.8 and openjdk-11 containers. This flaw allow...
CVE-2021-36097	Agents are able to lock the ticket without the "Owner" permission
CVE-2021-40123	Cisco Identity Services Engine File Download Vulnerability
CVE-2021-40124	Cisco AnyConnect Secure Mobility Client for Windows with Network Access Manager Module Privilege Escalation Vulnerability
CVE-2022-1225	Incorrect Privilege Assignment in phpipam/phpipam
CVE-2022-1746	2.2.8 INCORRECT PRIVILEGE ASSIGNMENT CWE-266
CVE-2022-20681	Cisco IOS XE Software for Cisco Catalyst 9000 Family Switches and Catalyst 9000 Family Wireless Controllers Privilege Escalat...
CVE-2022-20759	Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Interface Privilege Escalation...
CVE-2022-20782	Cisco Identity Services Engine Sensitive Information Disclosure Vulnerability
CVE-2022-20819	Cisco Identity Services Engine Sensitive Information Disclosure Vulnerability
CVE-2022-20855	Cisco IOS XE Software for Embedded Wireless Controllers on Catalyst Access Points Privilege Escalation Vulnerability
CVE-2022-2626	Incorrect Privilege Assignment in hestiacp/hestiacp
CVE-2022-2637	Privilege Escalation Vulnerability in Hitachi Storage Plug-in for VMware vCenter
CVE-2022-3436	SourceCodester Web-Based Student Clearance System Photo edit-photo.php unrestricted upload
CVE-2022-3458	SourceCodester Human Resource Management System Image File employeeview.php unrestricted upload
CVE-2022-3496	SourceCodester Human Resource Management System Admin Panel employeeadd.php access control
CVE-2022-3549	SourceCodester Simple Cold Storage Management System Avatar unrestricted upload
CVE-2022-3735	seccome Ehoney signup access control
CVE-2022-3770	Yunjing CMS upload_img.html unrestricted upload
CVE-2022-3771	easyii CMS File Upload Management Upload.php file unrestricted upload
CVE-2022-3826	Huaxia ERP Retail Management list information disclosure
CVE-2022-3876	Click Studios Passwordstate API authorization
CVE-2022-3944	jerryhanjj ERP Commodity Management inventory.php uploadImages unrestricted upload
CVE-2022-4041	Privilege Escalation Vulnerability in Hitachi Storage Plug-in for VMware vCenter
CVE-2022-4232	SourceCodester Event Registration System unrestricted upload
CVE-2022-4272	FeMiner wms unrestricted upload
CVE-2022-4273	SourceCodester Human Resource Management System Content-Type employee.php unrestricted upload
CVE-2022-4276	House Rental System POST Request tenant-engine.php unrestricted upload
CVE-2022-4280	Dot Tech Smart Campus System findUser information disclosure
CVE-2022-4281	Facepay camera.php authorization
CVE-2022-4441	Privilege Escalation Vulnerability in Hitachi Storage Plug-in for VMware vCenter
CVE-2022-4613	Click Studios Passwordstate Browser Extension Provisioning improper authorization
CVE-2023-1174	[minikube] Network Port exposure in minikube running on macOS using Docker driver
CVE-2023-2485	Incorrect Privilege Assignment in GitLab
CVE-2023-26280	IBM Jazz Foundation improper access control
CVE-2023-2816	Consul Envoy Extension Downsteam Proxy Configuration By Upstream Service Owner
CVE-2023-28956	IBM Spectrum Protect Backup-Archive Client privilege escalation
CVE-2023-29066	Incorrect User Management
CVE-2023-3072	Nomad ACL Policies without Label are Applied to Unexpected Resources
CVE-2023-3114	Terraform Enterprise Agent Pool Controls Allowed Unauthorized Workspaces To Target an Agent Pool
CVE-2023-3300	Nomad Search API Leaks Information About CSI Plugins
CVE-2023-3518	JWT Auth in L7 Intentions Allow For Mismatched Service Identity and JWT Providers for Access
CVE-2023-3775	Vault Enterprise's Sentinel RGP Policies Allowed For Cross-Namespace Denial of Service
CVE-2023-47140	IBM CICS Transaction Gateway improper access controls
CVE-2023-49647	Zoom Desktop Client for Windows - Improper Access Control
CVE-2023-5077	Vault's Google Cloud Secrets Engine Removed Existing IAM Conditions When Creating / Updating Rolesets
CVE-2023-5080	A privilege escalation vulnerability was reported in some Lenovo tablet products that could allow local applications access t...
CVE-2023-5913	A potential Privilege Escalation vulnerability in opentext Fortify ScanCentral DAST API.
CVE-2023-6477	Incorrect Privilege Assignment in GitLab
CVE-2023-6815	Incorrect Privilege Assignment vulnerability in Mitsubishi Electric Corporation MELSEC iQ-R Series Safety CPU R08/16/32/120SF...
CVE-2024-0085	CVE
CVE-2024-10654	TOTOLINK LR350 formLoginAuth.htm authorization
CVE-2024-10764	Codezips Online Institute Management System save_user.php unrestricted upload
CVE-2024-10765	Codezips Online Institute Management System profile.php unrestricted upload
CVE-2024-10766	Codezips Free Exam Hall Seating Management System save_user.php unrestricted upload
CVE-2024-10978	PostgreSQL SET ROLE, SET SESSION AUTHORIZATION reset to wrong user ID
CVE-2024-11073	SourceCodester Hospital Management System delete-account.php improper authorization
CVE-2024-11306	Altenergy Power Control Software database improper authorization
CVE-2024-11484	Code4Berry Decoration Management System User Image update_image.php access control
CVE-2024-11485	Code4Berry Decoration Management System User userregister.php permission
CVE-2024-11486	Code4Berry Decoration Management System User Permission user_permission.php
CVE-2024-11860	SourceCodester Best House Rental Management System POST Request ajax.php improper authorization
CVE-2024-12213	WP Job Board Pro <= 1.2.76 - Unauthenticated Privilege Escalation via process_register
CVE-2024-12235	Shenzhen Dashi Tongzhou Information Technology AgileBPM AuthorizationTokenCheckFilter.java doFilter access control
CVE-2024-12303	Incorrect Privilege Assignment in GitLab
CVE-2024-12347	Guangzhou Huayi Intelligent Technology Jeewms Druid Monitoring Interface index.html improper authorization
CVE-2024-12470	School Management System – SakolaWP <= 1.0.8 - Unauthenticated Privilege Escalation
CVE-2024-12666	ClassCMS User Management Page admin insufficient privileges
CVE-2024-12678	Nomad Allocations Vulnerable To Privilege Escalation Within A Namespace Using Unredacted Workload Identity Tokens
CVE-2024-12782	Fujifilm Business Innovation Apeos C3070/Apeos C5570/Apeos C6580 Web Interface index.html#hashHome improper authorization
CVE-2024-12786	X1a0He Adobe Downloader XPC Service com.x1a0he.macOS.Adobe-Downloader.helper shouldAcceptNewConnection privileges management
CVE-2024-12901	FoxCMS API Endpoint Site.php improper authorization
CVE-2024-13030	D-Link DIR-823G Web Management Interface HNAP1 SetVirtualServerSettings access control
CVE-2024-13067	CodeAstro Online Food Ordering System All Users Page all_users.php access control
CVE-2024-13102	D-Link DIR-816 A2 DDNS Service access control
CVE-2024-13103	D-Link DIR-816 A2 Virtual Service form2AddVrtsrv.cgi access control
CVE-2024-13104	D-Link DIR-816 A2 WiFi Settings form2AdvanceSetup.cgi access control
CVE-2024-13105	D-Link DIR-816 A2 DHCPD Setting form2Dhcpd.cgi access control
CVE-2024-13106	D-Link DIR-816 A2 IP QoS form2IPQoSTcAdd access control
CVE-2024-13107	D-Link DIR-816 A2 ACL form2LocalAclEditcfg.cgi access control
CVE-2024-13108	D-Link DIR-816 A2 form2NetSniper.cgi access control
CVE-2024-13109	Beijing Yunfan Internet Technology Yunfan Learning Examination System doc.html improper authorization
CVE-2024-13188	MicroWorld eScan Antivirus Installation var default permission
CVE-2024-13189	ZeroWdd myblog MyBlogMvcConfig.java permission
CVE-2024-13200	wander-chu SpringBoot-Blog HTTP POST Request BaseInterceptor.java preHandle access control
CVE-2024-13206	REVE Antivirus reveinstall default permission
CVE-2024-13211	SingMR HouseRent AdminController.java access control
CVE-2024-13248	Private content - Moderately critical - Access bypass - SA-CONTRIB-2024-012
CVE-2024-13251	Registration role - Critical - Access bypass - SA-CONTRIB-2024-015
CVE-2024-13421	Real Estate 7 WordPress <= 3.5.1 - Unauthenticated Privilege Escalation to Administrator
CVE-2024-20320	A vulnerability in the SSH client feature of Cisco IOS XR Software for Cisco 8000 Series Routers and Cisco Network Convergenc...
CVE-2024-20389	A vulnerability in the ConfD CLI and the Cisco Crosswork Network Services Orchestrator CLI could allow an authenticated, low...
CVE-2024-20466	Cisco Identity Services Engine Sensitive Information Disclosure Vulnerability
CVE-2024-21743	WordPress Houzez Login Register plugin <= 3.2.5 - Privilege Escalation vulnerability
CVE-2024-22303	WordPress Houzez theme <= 3.2.4 - Privilege Escalation vulnerability
CVE-2024-23794	Agents are able to lock the ticket without the "Owner" permission
CVE-2024-23976	BIG-IP Appliance mode iAppsLX vulnerability
CVE-2024-25632	Unauthorised granting of administrator privileges over arbitrary teams under certain circumstances
CVE-2024-25633	In eLabFTW, if administrators can create users, users can too
CVE-2024-27273	IBM AIX privilege escalation
CVE-2024-27275	IBM i privilege escalation
CVE-2024-28000	WordPress LiteSpeed Cache plugin <= 6.3.0.1 - Unauthenticated Privilege Escalation vulnerability
CVE-2024-29119	A vulnerability has been identified in Spectrum Power 7 (All versions < V24Q3). The affected product contains several root-ow...
CVE-2024-3013	Teledyne FLIR AX8 User Registration test_login.php improper authorization
CVE-2024-31912	IBM MQ privilege escalation
CVE-2024-32009	A vulnerability has been identified in Spectrum Power 4 (All versions < V4.70 SP12 Update 2). The affected application is vul...
CVE-2024-32444	WordPress RealHomes theme <= 4.3.6 - Privilege Escalation vulnerability
CVE-2024-32555	WordPress Easy Real Estate plugin <= 2.2.6 - Privilege Escalation vulnerability
CVE-2024-33503	A improper privilege management in Fortinet FortiManager version 7.4.0 through 7.4.3, 7.2.0 through 7.2.5, 7.0.0 through 7.0....
CVE-2024-35122	IBM i denial of service
CVE-2024-37132	Dell PowerScale OneFS versions 8.2.2.x through 9.8.0.0 contain an incorrect privilege assignment vulnerability. A high privil...
CVE-2024-37134	Dell PowerScale OneFS versions 8.2.2.x through 9.8.0.0 contain an improper privilege management vulnerability. A local high p...
CVE-2024-37293	aws-deployment-framework's potential risk can lead to privilege escalation
CVE-2024-38278	A vulnerability has been identified in RUGGEDCOM RMC8388 V5.X (All versions < V5.9.0), RUGGEDCOM RMC8388NC V5.X (All versions...
CVE-2024-39576	Dell Power Manager (DPM), versions 3.15.0 and prior, contains an Incorrect Privilege Assignment vulnerability. A low privileg...
CVE-2024-39579	Dell PowerScale OneFS versions 8.2.2.x through 9.8.0.0 contains an incorrect privilege assignment vulnerability. A local high...
CVE-2024-40591	An incorrect privilege assignment vulnerability [CWE-266] in Fortinet FortiOS version 7.6.0, 7.4.0 through 7.4.4, 7.2.0 throu...
CVE-2024-40681	IBM MQ security bypass
CVE-2024-42441	Zoom Workplace Desktop App for macOS, Zoom Meeting SDK for macOS, Zoom Rooms Client for macOS - Incorrect Privilege Assignme...
CVE-2024-43333	WordPress Admin and Site Enhancements (ASE) Pro Plugin <= 7.6.2.1 - Privilege Escalation vulnerability
CVE-2024-45331	A incorrect privilege assignment in Fortinet FortiAnalyzer versions 7.4.0 through 7.4.3, 7.2.0 through 7.2.5, 7.0.0 through 7...
CVE-2024-4555	User impersonation with MFA when configure in specific way
CVE-2024-45759	Dell PowerProtect Data Domain, versions prior to 8.1.0.0, 7.13.1.10, 7.10.1.40, and 7.7.5.50, contains an escalation of privi...
CVE-2024-46974	GPU DDK - Arbitrary write of read-only dmabuf
CVE-2024-47595	Local Privilege Escalation in SAP Host Agent
CVE-2024-47653	Missing Authorization Vulnerability
CVE-2024-47904	A vulnerability has been identified in InterMesh 7177 Hybrid 2.0 Subscriber (All versions < V8.2.12), InterMesh 7707 Fire Sub...
CVE-2024-49217	WordPress Adding drop down roles in registration plugin <= 1.1 - Privilege Escalation vulnerability
CVE-2024-49219	WordPress RS-Members plugin <= 1.0.3 - Privilege Escalation vulnerability
CVE-2024-49322	WordPress Job Board Manager for WordPress plugin <= 1.0 - Privilege Escalation vulnerability
CVE-2024-49348	IBM Cloud Pak for Business Automation incorrect privilege assignment
CVE-2024-49561	Dell SmartFabric OS10 Software, version(s) 10.5.4.x, 10.5.5.x, 10.5.6.x, 10.6.0.x, contain(s) an Incorrect Privilege Assignme...
CVE-2024-49608	WordPress GERRYWORKS Post by Mail plugin <= 1.0 - Privilege Escalation vulnerability
CVE-2024-49644	WordPress Accessibility by AllAccessible plugin <= 1.3.4 - Privilege Escalation vulnerability
CVE-2024-50481	WordPress Bstone Demo Importer plugin <= 1.0.1 - Privilege Escalation vulnerability
CVE-2024-50485	WordPress Exam Matrix plugin <= 1.5 - Privilege Escalation vulnerability
CVE-2024-50504	WordPress Bulk Change Role plugin <= 1.1 - Privilege Escalation vulnerability
CVE-2024-50506	WordPress Marketing Automation by AZEXO plugin <= 1.27.80 - Privilege Escalation vulnerability
CVE-2024-50550	WordPress LiteSpeed Cache plugin <= 6.5.1 - Privilege Escalation vulnerability
CVE-2024-50701	TeamPass before 3.1.3.1, when retrieving information about access rights for a folder, does not properly check whether a fold...
CVE-2024-50702	TeamPass before 3.1.3.1 does not properly check whether a mail_me (aka action_mail) operation is on behalf of an administrato...
CVE-2024-51800	WordPress Homey theme <= 2.4.1 - Privilege Escalation vulnerability
CVE-2024-51888	WordPress Homey Login Register Plugin <= 2.4.0 - Privilege Escalation vulnerability
CVE-2024-52048	A LogServer link following vulnerability in Trend Micro Apex One could allow a local attacker to escalate privileges on affec...
CVE-2024-52049	A LogServer link following vulnerability in Trend Micro Apex One could allow a local attacker to escalate privileges on affec...
CVE-2024-52442	WordPress UserPlus plugin <= 2.0 - Privilege Escalation vulnerability
CVE-2024-54229	WordPress SV100 Companion plugin <= 2.0.02 - Privilege Escalation vulnerability
CVE-2024-54293	WordPress CE21 Suite plugin <= 2.2.0 - Privilege Escalation vulnerability
CVE-2024-54363	WordPress Wp NssUser Register plugin <= 1.0.0 - Privilege Escalation vulnerability
CVE-2024-54365	WordPress KH Easy User Settings plugin <= 1.0.0 - Privilege Escalation vulnerability
CVE-2024-54383	WordPress WooCommerce - PDF Vouchers plugin < 4.9.9 - Broken Authentication vulnerability
CVE-2024-55542	Local privilege escalation due to excessive permissions assigned to Tray Monitor service. The following products are affected...
CVE-2024-56000	WordPress K Elements plugin < 5.4.0 - Unauthenticated Account Takeover vulnerability
CVE-2024-56040	WordPress VibeBP plugin <= 1.9.9.4.1 - Unauthenticated Privilege Escalation vulnerability
CVE-2024-56043	WordPress WPLMS plugin <= 1.9.9 - Unauthenticated Privilege Escalation vulnerability
CVE-2024-56071	WordPress Simple Dashboard plugin <= 2.0 - Privilege Escalation vulnerability
CVE-2024-56205	WordPress AI Magic – SEO Content Generator & Article Writer plugin <= 1.0.4 - Privilege Escalation vulnerability
CVE-2024-56220	WordPress SSL Wireless SMS Notification plugin <= 3.5.0 - Privilege Escalation vulnerability
CVE-2024-56280	WordPress WPGuppy plugin <= 1.1.0 - Privilege Escalation vulnerability
CVE-2024-56513	Karmada PULL Mode Cluster Privilege Escalation
CVE-2024-57967	PVWA (Password Vault Web Access) in CyberArk Privileged Access Manager Self-Hosted before 14.4 has potentially elevated privi...
CVE-2024-58273	Nagios Log Server < 2024R1.0.2 LPE from Apache/Backend Shell User to Root
CVE-2024-6322	Access control for plugin data sources protected by the ReqActions json field of the plugin.json is bypassed if the user or s...
CVE-2024-6758	Improper Privilege Management vulnerability in Sprecher Automation SPRECON-E
CVE-2024-7480	Improper access control in Avaya Aura System Manager
CVE-2024-8253	Post Grid and Gutenberg Blocks 2.2.87 - 2.2.90 - Authenticated (Subscriber+) Privilege Escalation
CVE-2024-8420	DHVC Form <= 2.4.7 - Unauthenticated Privilege Escalation
CVE-2024-9082	SourceCodester Online Eyewear Shop User Creation Users.php improper authorization
CVE-2024-9180	Vault Operators in Root Namespace May Elevate Their Privileges
CVE-2024-9476	Privilege escalation vulnerability for Organizations in Grafana
CVE-2024-9478	Improper Privilege Management vulnerability in upKeeper Solutions upKeeper Instant Privilege Access allows Privilege Escalati...
CVE-2024-9479	Improper Privilege Management vulnerability in upKeeper Solutions upKeeper Instant Privilege Access allows Privilege Escalati...
CVE-2024-9519	UserPlus <= 2.0 - Authenticated (Editor+) Registration Form Update to Privilege Escalation
CVE-2024-9863	Miniorange OTP Verification with Firebase <= 3.6.0 - Privilege Escalation via Registration due to Administrator Default User...
CVE-2025-0131	GlobalProtect App: Incorrect Privilege Management Vulnerability in OPSWAT MetaDefender Endpoint Security SDK
CVE-2025-0135	GlobalProtect App on macOS: Non Admin User Can Disable the GlobalProtect App
CVE-2025-0139	Autonomous Digital Experience Manager: Privilege Escalation (PE) Vulnerability
CVE-2025-0140	GlobalProtect App: Non Admin User Can Disable the GlobalProtect App
CVE-2025-0206	code-projects Online Shoe Store index.php access control
CVE-2025-0484	Fanli2012 native-php-cms Backend sysconfig_doedit.php improper authorization
CVE-2025-0628	Improper Authorization in BerriAI/litellm
CVE-2025-0783	pankajindevops scale API Endpoint access control
CVE-2025-0797	MicroWorld eScan Antivirus Quarantine Microworld default permission
CVE-2025-0802	SourceCodester Best Employee Management System Administrative Endpoint View_user.php access control
CVE-2025-0849	CampCodes School Management Software Staff edit-staff improper authorization
CVE-2025-10013	Portabilis i-Educar exportacao-para-o-seb access control
CVE-2025-10014	elunez eladmin Email Address updateEmail updateUserEmail improper authorization
CVE-2025-10038	Binary MLM Plan <= 3.0 - Unauthenticated Limited Privilege Escalation
CVE-2025-10070	Portabilis i-Educar enturmacao-em-lote access control
CVE-2025-10071	Portabilis i-Educar cancelar-enturmacao-em-lote access control
CVE-2025-10072	Portabilis i-Educar enturmar access control
CVE-2025-10073	Portabilis i-Educar turma improper authorization
CVE-2025-10084	elunez eladmin SysLogController 1 queryErrorLogDetail improper authorization
CVE-2025-10086	fuyang_lipengjun platform AdPositionController queryAll improper authorization
CVE-2025-10209	Papermerge DMS Authorization Token improper authorization
CVE-2025-10247	JEPaaS Filter doFilterInternal access control
CVE-2025-10275	YunaiV yudao-cloud transfer improper authorization
CVE-2025-10276	YunaiV ruoyi-vue-pro transfer improper authorization
CVE-2025-10277	YunaiV yudao-cloud submit improper authorization
CVE-2025-10278	YunaiV ruoyi-vue-pro transfer improper authorization
CVE-2025-10291	linlinjava litemall cancel WxAftersaleController improper authorization
CVE-2025-10318	JeecgBoot WebSocket Message sendWebSocketMsg improper authorization
CVE-2025-10319	JeecgBoot Tenant Log Export exportLog improper authorization
CVE-2025-10374	Shenzhen Sixun Business Management System OperatorStop improper authorization
CVE-2025-10384	yangzongzhuan RuoYi Role cancelAll improper authorization
CVE-2025-10389	CRMEB Administrator Password SystemAdminServices.php save improper authorization
CVE-2025-10390	CRMEB UserAddressServices.php editAddress improper authorization
CVE-2025-10422	newbee-mall Order Status paySuccess improper authorization
CVE-2025-10576	Sound Research SECOMNService Escalation of Privilege
CVE-2025-10577	Sound Research SECOMNService Escalation of Privilege
CVE-2025-10608	Portabilis i-Educar enrollment-history access control
CVE-2025-10644	Wondershare Repairit SAS Token Incorrect Permission Assignment Authentication Bypass Vulnerability
CVE-2025-10674	fuyang_lipengjun platform queryAll AttributeCategoryController improper authorization
CVE-2025-10675	fuyang_lipengjun platform queryAll AttributeController improper authorization
CVE-2025-10676	fuyang_lipengjun platform queryAll BrandController improper authorization
CVE-2025-10707	JeecgBoot sendMsg improper authorization
CVE-2025-10725	Openshift-ai: overly permissive clusterrole allows authenticated users to escalate privileges to cluster admin
CVE-2025-1078	AppHouseKitchen AlDente Charge Limiter XPC Service com.apphousekitchen.aldente-pro.helper shouldAcceptNewConnection improper...
CVE-2025-10819	fuyang_lipengjun platform queryAll UserCouponController improper authorization
CVE-2025-10820	fuyang_lipengjun platform queryAll TopicController improper authorization
CVE-2025-10821	fuyang_lipengjun platform queryAll TopicCategoryController improper authorization
CVE-2025-10822	fuyang_lipengjun platform queryAll SysSmsLogController improper authorization
CVE-2025-10941	Topaz SERVCore Teller Installer SERVCoreTeller_2.0.40D.msi permission
CVE-2025-10976	JeecgBoot getDepartUserList improper authorization
CVE-2025-10977	JeecgBoot deleteBatch improper authorization
CVE-2025-10978	JeecgBoot Filter exportXls improper authorization
CVE-2025-10979	JeecgBoot exportXls improper authorization
CVE-2025-10980	JeecgBoot exportXls improper authorization
CVE-2025-10981	JeecgBoot exportXls improper authorization
CVE-2025-10987	YunaiV yudao-cloud HTTP Request transfer improper authorization
CVE-2025-10988	YunaiV ruoyi-vue-pro transfer improper authorization
CVE-2025-10989	yangzongzhuan RuoYi selectAll improper authorization
CVE-2025-10992	roncoo roncoo-pay lookupList improper authorization
CVE-2025-11030	Tutorials-Website Employee Management System HTTP Request all-applied-leave.php improper authorization
CVE-2025-11047	Portabilis i-Educar aluno improper authorization
CVE-2025-11048	Portabilis i-Educar consulta-dispensas improper authorization
CVE-2025-11049	Portabilis i-Educar unificacao-aluno improper authorization
CVE-2025-11050	Portabilis i-Educar periodo-lancamento improper authorization
CVE-2025-11080	zhuimengshaonian wisdom-education ExamInfoController.java selectStudentExamInfoList improper authorization
CVE-2025-11272	SeriaWei ZKEACMS POST Request UrlRedirectionController.cs Delete improper authorization
CVE-2025-11281	Frappe LMS Unpublished Course courses access control
CVE-2025-11440	JhumanJ OpnForm edit access control
CVE-2025-11554	Portabilis i-Educar User Type AccessLevelController.php insecure inherited permissions
CVE-2025-11641	Tomofun Furbo 360/Furbo Mini Trial Restriction access control
CVE-2025-11646	Tomofun Furbo 360/Furbo Mini GATT Service access control
CVE-2025-11853	Sismics Teedy API Endpoint file access control
CVE-2025-12103	Openshift-ai: trusty ai grants all authenticated users to list pods in any namespace
CVE-2025-1226	ywoa setup.jsp improper authorization
CVE-2025-12304	dulaiduwang003 TIME-SEA-PLUS Order Status PayController.java alipayIsSucceed improper authorization
CVE-2025-13114	macrozheng mall-swarm attr updateAttr improper authorization
CVE-2025-13115	macrozheng mall-swarm/mall Order Details detail improper authorization
CVE-2025-13116	macrozheng mall-swarm/mall cancelUserOrder improper authorization
CVE-2025-13117	macrozheng mall-swarm/mall cancelOrder improper authorization
CVE-2025-13118	macrozheng mall-swarm/mall paySuccess improper authorization
CVE-2025-13130	Radarr Service Radarr.Console.exe default permission
CVE-2025-13131	Sonarr Service Sonarr.Console.exe default permission
CVE-2025-13250	WeiYe-Jing datax-web Job triggerJob access control
CVE-2025-1413	Dylib Hijacking in DaVinci Resolve
CVE-2025-1653	Directory Listings WordPress plugin – uListing <= 2.1.7 - Authenticated (Subscriber+) Privilege Escalation
CVE-2025-1806	Eastnets PaymentSafe URL Default.aspx improper authorization
CVE-2025-1815	pbrong hrms resource.go HrmsDB improper authorization
CVE-2025-1847	zj1983 zz improper authorization
CVE-2025-1881	i-Drive i11/i12 Video Footage/Live Video Stream access control
CVE-2025-2089	StarSea99 starsea-mall com.siro.mall.controller.mall.UserController updateInfo updateUserInfo access control
CVE-2025-2090	PHPGurukul Pre-School Enrollment System Sub Admin add-subadmin.php access control
CVE-2025-2098	Dylib Hijacking in Fast CAD Reader
CVE-2025-21092	GMOD Apollo Incorrect Privilege Assignment
CVE-2025-2114	Shenzhen Sixun Software Sixun Shanghui Group Business Management System Reset Password Interface OperatorStop.asp improper au...
CVE-2025-2121	Thinkware Car Dashcam F800 Pro File Storage access control
CVE-2025-2179	GlobalProtect App: Non Admin User Can Disable the GlobalProtect App
CVE-2025-2218	LoveCards LoveCardsV2 Setting other access control
CVE-2025-22736	WordPress User Management plugin <= 1.2 - Privilege Escalation vulnerability
CVE-2025-2320	274056675 springboot-openai-chatgpt User submit improper authorization
CVE-2025-23260	NVIDIA AIStore contains a vulnerability in the AIS Operator where a user may gain elevated k8s cluster access by using the Se...
CVE-2025-2334	274056675 springboot-openai-chatgpt Chat History chat deleteChat access control
CVE-2025-23391	Rancher: Restricted Administrator can change Administrator's passwords
CVE-2025-23407	Incorrect privilege assignment vulnerability in the WEB UI (the setting page) exists in Wi-Fi AP UNIT 'AC-WPS-11ac series'. I...
CVE-2025-2345	IROAD Dash Cam X5/Dash Cam X6 improper authorization
CVE-2025-23528	WordPress DD Roles plugin <= 4.1 - Privilege Escalation vulnerability
CVE-2025-2359	D-Link DIR-823G DDNS Service HNAP1 SetDDNSSettings improper authorization
CVE-2025-2360	D-Link DIR-823G UPnP Service HNAP1 SetUpnpSettings improper authorization
CVE-2025-2397	China Mobile P22g-CIac Telnet Service improper authorization
CVE-2025-23970	WordPress Service Finder Booking <= 6.0 - Privilege Escalation Vulnerability
CVE-2025-23974	WordPress One-Login <= 1.4 - Privilege Escalation Vulnerability
CVE-2025-24648	WordPress Admin and Site Enhancements (ASE) Plugin <= 7.6.2.1 - Privilege Escalation vulnerability
CVE-2025-2470	Service Finder Bookings <= 5.1 - Unauthenticated Privilege Escalation via 'nsl_registration_store_extra_input'
CVE-2025-25023	IBM Security Guardium information disclosure
CVE-2025-2546	D-Link DIR-618/DIR-605L Firewall Service formAdvFirewall access control
CVE-2025-2547	D-Link DIR-618/DIR-605L formAdvNetwork access control
CVE-2025-2548	D-Link DIR-618/DIR-605L formSetDomainFilter access control
CVE-2025-2549	D-Link DIR-618/DIR-605L formSetPassword access control
CVE-2025-2550	D-Link DIR-618/DIR-605L DDNS Service formSetDDNS access control
CVE-2025-2551	D-Link DIR-618/DIR-605L formSetPortTr access control
CVE-2025-2552	D-Link DIR-618/DIR-605L formTcpipSetup access control
CVE-2025-2553	D-Link DIR-618/DIR-605L formVirtualServ access control
CVE-2025-2557	Audi UTR Dashcam Command API access control
CVE-2025-2589	code-projects Human Resource Management System Account.go Index improper authorization
CVE-2025-2637	JIZHICMS Account Profile Page userinfo.html improper authorization
CVE-2025-2638	JIZHICMS Article release.html improper authorization
CVE-2025-2639	JIZHICMS Article release.html improper authorization
CVE-2025-26512	CVE-2025-26512 Privilege Escalation Vulnerability in SnapCenter
CVE-2025-26517	CVE-2025-26517 Privilege Escalation Vulnerability in StorageGRID (formerly StorageGRID Webscale)
CVE-2025-26523	Insufficient Authorization Vulnerability in RupeeWeb trading platform
CVE-2025-2653	FoxCMS improper authorization
CVE-2025-2686	mingyuefusu 明月复苏 tushuguanlixitong 图书管理系统 Backend admin doFilter access control
CVE-2025-2688	TOTOLINK A3000RU Syslog Configuration File ExportSyslog.sh access control
CVE-2025-27007	WordPress SureTriggers <= 1.0.82 - Privilege Escalation Vulnerability
CVE-2025-27028	Read access of deprivileged Radiflow iSAP Smart Collector user
CVE-2025-27095	JumpServer has a Kubernetes Token Leak Vulnerability
CVE-2025-2713	Improper File Permission Handling in Google gVisor runsc
CVE-2025-2843	Observability-operator: observability operator privilege escalation
CVE-2025-2850	GL.iNet GL-A1300 Slate Plus Download Interface improper authorization
CVE-2025-2898	IBM Maximo Application Suite privilege escalation
CVE-2025-2954	mannaandpoem OpenManus File file_saver.py execute access control
CVE-2025-2955	TOTOLINK A3000RU IBMS Configuration File ExportIbmsConfig.sh access control
CVE-2025-2989	Tenda FH1202 Web Management Interface AdvSetWrl access control
CVE-2025-2990	Tenda FH1202 Web Management Interface AdvSetWrlGstset access control
CVE-2025-2991	Tenda FH1202 Web Management Interface AdvSetWrlmacfilter access control
CVE-2025-2992	Tenda FH1202 Web Management Interface AdvSetWrlsafeset access control
CVE-2025-2993	Tenda FH1202 default.cfg access control
CVE-2025-2994	Tenda FH1202 Web Management Interface qossetting access control
CVE-2025-2995	Tenda FH1202 Web Management Interface SysToolChangePwd access control
CVE-2025-2996	Tenda FH1202 Web Management Interface SysToolDDNS access control
CVE-2025-31420	WordPress wpForo Forum plugin <= 2.4.2 - Privilege Escalation vulnerability
CVE-2025-31524	WordPress WP User Profiles plugin <= 2.6.2 - Privilege Escalation vulnerability
CVE-2025-31560	WordPress Salon booking system plugin <= 10.11 - Privilege Escalation vulnerability
CVE-2025-31918	WordPress Simple Business Directory Pro <= 15.4.8 - Privilege Escalation Vulnerability
CVE-2025-3199	ageerle ruoyi-ai API Interface SysModelController.java improper authorization
CVE-2025-3202	ageerle ruoyi-ai SysNoticeController.java improper authorization
CVE-2025-3236	Tenda FH1202 Web Management Interface VirSerDMZ access control
CVE-2025-3237	Tenda FH1202 wrlwpsset access control
CVE-2025-32491	WordPress Rankology SEO – On-site SEO <= 2.2.3 - Privilege Escalation Vulnerability
CVE-2025-3255	xujiangfei admintwo home access control
CVE-2025-3256	xujiangfei admintwo updateSet access control
CVE-2025-32648	WordPress Projectopia - Project Magement Plugin <= 5.1.16 - Privilege Escalation vulnerability
CVE-2025-32695	WordPress Checkout Mestres WP <= 8.7.5 - Privilege Escalation Vulnerability
CVE-2025-3298	SourceCodester Online Eyewear Shop Registration Master.php access control
CVE-2025-3305	1902756969/code-projects IKUN_Library Borrow MvcConfig.java addInterceptors access control
CVE-2025-3325	iteaj iboot 物联网网关 Admin Password pwd access control
CVE-2025-3398	lenve VBlog WebSecurityConfig.java configure access control
CVE-2025-34112	Riverbed SteelCentral NetProfiler / NetExpress 10.8.7 RCE
CVE-2025-3517	Incorrect privilege assignment in PAM JIT elevation feature in Devolutions Server 2025.1.5.0 and earlier allows a PAM user to...
CVE-2025-3536	Tutorials-Website Employee Management System delete-user.php improper authorization
CVE-2025-3537	Tutorials-Website Employee Management System update-user.php improper authorization
CVE-2025-3550	wowjoy 浙江湖州华卓信息科技有限公司 Internet Doctor Workstation System detail improper authorization
CVE-2025-3564	huanfenz/code-projects StudentManager Teacher String improper authorization
CVE-2025-3567	veal98 小牛肉 Echo 开源社区系统 Ticket LoginTicketInterceptor.java preHandle improper authorization
CVE-2025-3569	JamesZBL/code-projects db-hospital-drug ShiroConfig.java improper authorization
CVE-2025-3587	ZeroWdd/code-projects studentmanager getTeacherList improper authorization
CVE-2025-36007	IBM QRadar SIEM incorrect privilege assignment
CVE-2025-36612	SupportAssist for Business PCs, version(s) 4.5.3 and prior, contain(s) an Incorrect Privilege Assignment vulnerability. A low...
CVE-2025-36613	SupportAssist for Home PCs versions 4.6.3 and prior and SupportAssist for Business PCs versions 4.5.3 and prior, contain(s) a...
CVE-2025-3663	TOTOLINK A3700R Password cstecgi.cgi setWiFiEasyGuestCfg access control
CVE-2025-3664	TOTOLINK A3700R cstecgi.cgi setWiFiEasyGuestCfg access control
CVE-2025-3665	TOTOLINK A3700R cstecgi.cgi setSmartQosCfg access control
CVE-2025-3666	TOTOLINK A3700R cstecgi.cgi setDdnsCfg access control
CVE-2025-3667	TOTOLINK A3700R cstecgi.cgi setUPnPCfg access control
CVE-2025-3668	TOTOLINK A3700R cstecgi.cgi setScheduleCfg access control
CVE-2025-3674	TOTOLINK A3700R cstecgi.cgi setUrlFilterRules access control
CVE-2025-3675	TOTOLINK A3700R cstecgi.cgi setL2tpServerCfg access control
CVE-2025-3744	Nomad Vulnerable To Violation Of Mandatory Sentinel Policies in Nomad Job Submissions via Policy Override
CVE-2025-3790	baseweb JSite Apache Druid Monitoring Console index.html access control
CVE-2025-38738	SupportAssist for Home PCs Installer exe version(s) 4.8.2.29006 and prior, contain(s) an Incorrect Privilege Assignment vulne...
CVE-2025-39366	WordPress wProject theme < 5.8.0 - Subscriber+ Privilege Escalation vulnerability
CVE-2025-39405	WordPress WPAMS plugin <= 44.0 (17-08-2023) - Privilege Escalation vulnerability
CVE-2025-39459	WordPress Real Estate 7 theme <= 3.5.2 - Privilege Escalation vulnerability
CVE-2025-39489	WordPress CouponXL <= 4.5.0 - Privilege Escalation Vulnerability
CVE-2025-39542	WordPress Xelion Webchat <= 9.1.0 - Privilege Escalation Vulnerability
CVE-2025-3967	itwanger paicoding Article post improper authorization
CVE-2025-3977	iteachyou Dreamer CMS Attachment download improper authorization
CVE-2025-3980	wowjoy 浙江湖州华卓信息科技有限公司 Internet Doctor Workstation System list improper authorization
CVE-2025-3981	wowjoy 浙江湖州华卓信息科技有限公司 Internet Doctor Workstation System details improper authorization
CVE-2025-4016	20120630 Novel-Plus LogController.java deleteIndex improper authorization
CVE-2025-4017	20120630 Novel-Plus LogController.java list improper authorization
CVE-2025-4036	201206030 Novel Chapter AuthorController.java updateBookChapter access control
CVE-2025-40571	A vulnerability has been identified in Mendix OIDC SSO (Mendix 10 compatible) (All versions < V4.1.0), Mendix OIDC SSO (Mendi...
CVE-2025-4064	ScriptAndTools Online-Travling-System viewenquiry.php access control
CVE-2025-4065	ScriptAndTools Online-Travling-System addadvertisement.php access control
CVE-2025-4066	ScriptAndTools Online-Travling-System addpackage.php access control
CVE-2025-4067	ScriptAndTools Online-Travling-System viewpackage.php access control
CVE-2025-4118	Weitong Mall Product History historyList access control
CVE-2025-4119	Weitong Mall Product Statistics queryTotal access control
CVE-2025-41255	Cyberduck and Mountain Duck - Improper Certificate Store Handling
CVE-2025-4136	Weitong Mall Sale Endpoint improper authorization
CVE-2025-4228	Cortex XDR Broker VM: Privilege Escalation (PE) Vulnerability
CVE-2025-4269	TOTOLINK A720R Log cstecgi.cgi access control
CVE-2025-42936	Missing Authorization check in SAP NetWeaver Application Server for ABAP
CVE-2025-42992	Multiple Privilege Escalation Vulnerabilities in SAPCAR
CVE-2025-43001	Multiple Privilege Escalation Vulnerabilities in SAPCAR
CVE-2025-4374	Quay: incorrect privilege assignment
CVE-2025-43914	Dell PowerProtect Data Domain BoostFS for Linux Ubuntu systems of Feature Release versions 7.7.1.0 through 8.3.0.15, LTS2025...
CVE-2025-4493	Improper privilege assignment in PAM JIT privilege sets in Devolutions Server allows a PAM user to perform PAM JIT requests...
CVE-2025-4692	ABUP IoT Cloud Platform Incorrect Privilege Assignment
CVE-2025-47291	containerd CRI plugin: Incorrect cgroup hierarchy assignment for containers running in usernamespaced Kubernetes pods.
CVE-2025-47539	WordPress Eventin <= 4.0.26 - Privilege Escalation Vulnerability
CVE-2025-47561	WordPress MapSVG plugin < 8.6.13 - Privilege Escalation Vulnerability
CVE-2025-47631	WordPress Hospital Management System plugin <= 47.0(20-11-2023) - Privilege Escalation vulnerability
CVE-2025-48082	WordPress Progress Planner plugin <= 1.8.0 - Privilege Escalation vulnerability
CVE-2025-48129	WordPress Spreadsheet Price Changer for WooCommerce and WP E-commerce – Light <= 2.4.37 - Privilege Escalation Vulnerability
CVE-2025-48142	WordPress Bookify <= 1.0.9 - Privilege Escalation Vulnerability
CVE-2025-48164	WordPress SureDash <= 1.0.3 - Privilege Escalation Vulnerability
CVE-2025-48165	WordPress DELUCKS SEO Plugin <= 2.6.0 - Privilege Escalation Vulnerability
CVE-2025-4819	y_project RuoYi Offline Logout batchForceLogout improper authorization
CVE-2025-48348	WordPress Site Offline plugin <= 1.5.7 - Broken Access Control vulnerability
CVE-2025-48695	An issue was discovered in CyberDAVA before 1.1.20. A privilege escalation vulnerability allows a low-privileged user to esca...
CVE-2025-48741	A Broken Access Control vulnerability in StrangeBee TheHive 5.2.0 before 5.2.16, 5.3.0 before 5.3.11, and 5.4.0 before 5.4.10...
CVE-2025-48911	Vulnerability of improper permission assignment in the note sharing module Impact: Successful exploitation of this vulnerabil...
CVE-2025-4922	Nomad Vulnerable To Incorrect ACL Policy Lookup Attached To A Job
CVE-2025-49388	WordPress Miraculous Core Plugin Plugin <= 2.0.7 - Privilege Escalation Vulnerability
CVE-2025-49580	XWiki allows privilege escalation through link refactoring
CVE-2025-49867	WordPress RealHomes <= 4.4.0 - Privilege Escalation Vulnerability
CVE-2025-49900	WordPress Advanced scrollbar plugin <= 1.1.8 - Privilege Escalation vulnerability
CVE-2025-49924	WordPress Wholesale Suite plugin <= 2.2.4.2 - Privilege Escalation vulnerability
CVE-2025-5163	yangshare 技术杨工 warehouseManager 仓库管理系统 access control
CVE-2025-5175	erdogant pypickle pypickle.py save improper authorization
CVE-2025-52726	WordPress CouponXxL Custom Post Types plugin <= 3.0 - Privilege Escalation Vulnerability
CVE-2025-52836	WordPress The E-Commerce ERP <= 2.1.1.3 - Privilege Escalation Vulnerability
CVE-2025-53425	WordPress Dokan plugin <= 4.1.2 - Privilege Escalation vulnerability
CVE-2025-53428	WordPress Simple User Registration plugin <= 6.4 - Privilege Escalation vulnerability
CVE-2025-53580	WordPress Simple Business Directory Pro Plugin < 15.6.9 - Privilege Escalation Vulnerability
CVE-2025-53744	An incorrect privilege assignment vulnerability [CWE-266] in FortiOS Security Fabric version 7.6.0 through 7.6.2, 7.4.0 throu...
CVE-2025-5387	JeeWMS File generateController.do dogenerate access control
CVE-2025-5389	JeeWMS File generateController.do dogenerateOne2Many access control
CVE-2025-5390	JeeWMS File filedeal.do filedeal access control
CVE-2025-54049	WordPress Custom API for WP <= 4.2.2 - Privilege Escalation Vulnerability
CVE-2025-5409	Mist Community Edition API Token views.py create_token access control
CVE-2025-5417	Rhdh: red hat developer hub user permissions
CVE-2025-5421	juzaweb CMS Plugin Editor Page editor access control
CVE-2025-5422	juzaweb CMS Email Logs Page email access control
CVE-2025-5423	juzaweb CMS General Setting Page general access control
CVE-2025-5424	juzaweb CMS Media Page media access control
CVE-2025-5425	juzaweb CMS Theme Editor Page default access control
CVE-2025-5426	juzaweb CMS Menu Page menus access control
CVE-2025-5427	juzaweb CMS Permalinks Page permalinks access control
CVE-2025-5428	juzaweb CMS Error Logs Page log-viewer access control
CVE-2025-5429	juzaweb CMS Plugins Page install access control
CVE-2025-54697	WordPress Kadence WooCommerce Email Designer Plugin <= 1.5.16 - Privilege Escalation Vulnerability
CVE-2025-54735	WordPress CubeWP Framework Plugin <= 1.1.24 - Privilege Escalation Vulnerability
CVE-2025-5511	quequnlong shiyi-blog photos improper authorization
CVE-2025-5522	jack0240 魏 bskms 蓝天幼儿园管理系统 User Creation addUser improper authorization
CVE-2025-55707	WordPress PostX Plugin <= 4.1.35 - Privilege Escalation Vulnerability
CVE-2025-5649	SourceCodester Student Result Management System Register Interface new_user access control
CVE-2025-57797	Incorrect privilege assignment vulnerability exists in ScanSnap Manager installers versions prior to V6.5L61. If this vulnera...
CVE-2025-5791	Users: `root` appended to group listings
CVE-2025-58322	NAVER MYBOX Explorer for Windows before 3.0.8.133 allows a local attacker to escalate privileges to NT AUTHORITY\SYSTEM by in...
CVE-2025-58323	NAVER MYBOX Explorer for Windows before 3.0.8.133 allows a local attacker to escalate privileges to NT AUTHORITY\SYSTEM by ex...
CVE-2025-58710	WordPress Hotel Listing plugin <= 1.4.0 - Privilege Escalation vulnerability
CVE-2025-58841	WordPress Media Author Plugin <= 1.0.4 - Broken Access Control Vulnerability
CVE-2025-59134	WordPress Sale! Immigration law, Visa services support, Migration Agent Consulting theme <= 1.5.8 - Privilege Escalation vuln...
CVE-2025-59580	WordPress Goodlayers Core plugin < 2.1.7 - Privilege Escalation vulnerability
CVE-2025-59945	SysReptor Susceptible to Privilege Escalation by Authenticated Users
CVE-2025-5999	Vault Root Namespace Operator May Elevate Token Privileges
CVE-2025-60195	WordPress Atarim plugin <= 4.2 - Privilege Escalation vulnerability
CVE-2025-60211	WordPress WooCommerce Registration Fields Plugin - Custom Signup Fields plugin <= 3.2.3 - Privilege Escalation vulnerability
CVE-2025-60220	WordPress CouponXxL theme <= 3.0.0 - Privilege Escalation vulnerability
CVE-2025-60222	WordPress SUMO Memberships for WooCommerce plugin <= 7.6.0 - Privilege Escalation vulnerability
CVE-2025-60243	WordPress Selling Commander for WooCommerce plugin <= 1.2.46 - Privilege Escalation vulnerability
CVE-2025-6099	szluyu99 gin-vue-blog PATCH Request manager.go improper authorization
CVE-2025-61785	Deno's --deny-write check does not prevent permission bypass
CVE-2025-62007	WordPress Voice Feedback plugin <= 1.0.3 - Privilege Escalation vulnerability
CVE-2025-62034	WordPress Togo theme < 1.0.4 - Privilege Escalation vulnerability
CVE-2025-62645	The Restaurant Brands International (RBI) assistant platform through 2025-09-06 allows a remote authenticated attacker to obt...
CVE-2025-6325	WordPress King Addons for Elementor plugin <= 51.1.36 - Privilege Escalation vulnerability
CVE-2025-64188	WordPress Soledad theme <= 8.6.9 - Privilege Escalation vulnerability
CVE-2025-64761	OpenBao Privileged Operator Identity Group Root Escalation
CVE-2025-65094	WBCE CMS is Vulnerable to Privilege Escalation via Group ID Manipulation (IDOR)
CVE-2025-6525	70mai 1S Configuration Config.cgi improper authorization
CVE-2025-6527	70mai M300 Web Server access control
CVE-2025-6531	SIFUSM/MZZYG BD S1 RTSP Live Video Stream Endpoint access control
CVE-2025-6532	NOYAFA/Xiami LF9 Pro RTSP Live Video Stream Endpoint access control
CVE-2025-66296	Grav vulnerable to Privilege Escalation in Grav Admin: Missing Username Uniqueness Check Allows Admin Account Takeover
CVE-2025-6702	linlinjava litemall post improper authorization
CVE-2025-6735	juzaweb CMS Import Page imports improper authorization
CVE-2025-6736	juzaweb CMS Add New Themes Page install improper authorization
CVE-2025-6765	Intelbras InControl HTTP PUT Request operador permission
CVE-2025-67953	WordPress Booking Activities plugin <= 1.16.44 - Privilege Escalation vulnerability
CVE-2025-67966	WordPress Lawyer Directory plugin <= 1.3.3 - Privilege Escalation vulnerability
CVE-2025-68027	WordPress Hydra Booking plugin <= 1.1.32 - Privilege Escalation vulnerability
CVE-2025-68869	WordPress LazyTasks plugin <= 1.4.01 - Privilege Escalation vulnerability
CVE-2025-69182	WordPress Institutions Directory plugin <= 1.3.4 - Privilege Escalation vulnerability
CVE-2025-69183	WordPress Hospital Doctor Directory plugin <= 1.3.9 - Privilege Escalation vulnerability
CVE-2025-69292	WordPress WP Membership plugin <= 1.6.4 - Privilege Escalation vulnerability
CVE-2025-69293	WordPress Final User plugin <= 1.2.5 - Privilege Escalation vulnerability
CVE-2025-69378	WordPress Product Filter for WooCommerce plugin <= 9.1.2 - Privilege Escalation vulnerability
CVE-2025-7076	BlackVue Dashcam 590X Configuration upload.cgi access control
CVE-2025-7552	Dromara Northstar Path AuthorizationInterceptor.java preHandle access control
CVE-2025-7576	Teledyne FLIR FB-Series O/FLIR FH-Series ID Production Tools production.html access control
CVE-2025-7947	jshERP Account delete improper authorization
CVE-2025-8181	TOTOLINK N600R/X2000R FTP Service vsftpd.conf least privilege violation
CVE-2025-8261	Vaelsys User Creation vgrid_server.php improper authorization
CVE-2025-8547	atjiu pybbs Email Verification improper authorization
CVE-2025-8756	TDuckCloud tduck-platform manage preHandle improper authorization
CVE-2025-8757	TRENDnet TV-IP110WN Embedded Boa Web Server boa.conf least privilege violation
CVE-2025-8758	TRENDnet TEW-822DRE vsftpd least privilege violation
CVE-2025-8790	Portabilis i-Educar API Endpoint pessoa improper authorization
CVE-2025-8791	LitmusChaos Litmus list_projects improper authorization
CVE-2025-8795	LitmusChaos Litmus login access control
CVE-2025-8797	LitmusChaos Litmus LocalStorage permission
CVE-2025-8839	jshERP Endpoint addUser improper authorization
CVE-2025-8840	jshERP Endpoint deleteBatch improper authorization
CVE-2025-9151	LiuYuYang01 ThriveX-Blog web updateJsonValueByName improper authorization
CVE-2025-9602	Xinhu RockOA index.php publicsaveAjax improper authorization
CVE-2025-9609	Portabilis i-Educar consulta improper authorization
CVE-2025-9687	Portabilis i-Educar processamentoApi improper authorization
CVE-2025-9760	Portabilis i-Educar Matricula API matricula improper authorization
CVE-2025-9936	fuyang_lipengjun platform queryAll AdController improper authorization
CVE-2025-9937	elunez eladmin LocalStorageController deleteFile improper authorization
CVE-2026-0574	yeqifu warehouse Request UserController.java saveUserRole improper authorization
CVE-2026-0871	Org.keycloak/keycloak-services: keycloak: unauthorized modification of unmanaged user attributes by administrators
CVE-2026-1106	Chamilo LMS Legal Consent SocialController.php deleteLegal improper authorization
CVE-2026-1112	Sanluan PublicCMS Trade Address Deletion Endpoint TradeAddressController.java delete improper authorization
CVE-2026-1141	PHPGurukul News Portal Add Sub-Admin add-subadmins.php improper authorization
CVE-2026-1193	MineAdmin View view improper authorization
CVE-2026-1411	Beetel 777VR1 UART access control
CVE-2026-1550	PHPGurukul Hospital Management System Admin Dashboard adminviews.py improper authorization
CVE-2026-1597	Bdtask SalesERP Administrative Endpoint improper authorization
CVE-2026-1702	SourceCodester Pet Grooming Management Software User Management user.php improper authorization
CVE-2026-1733	Zhong Bang CRMEB :uni tidyOrder improper authorization
CVE-2026-1892	WeKan REST API boards.js setBoardOrgs improper authorization
CVE-2026-1894	WeKan REST API checklistItems.js Checklist REST Bleed improper authorization
CVE-2026-1895	WeKan Attachment Storage lists.js applyWipLimit ListWIPBleed access control
CVE-2026-1896	WeKan Migration Operation comprehensiveBoardMigration.js ComprehensiveBoardMigration MigrationBleed access control
CVE-2026-1898	WeKan LDAP User Sync syncUser.js SyncLDAPBleed access control
CVE-2026-1962	WeKan Attachment Migration attachmentMigration.js AttachmentMigrationBleed access control
CVE-2026-1963	WeKan Attachment Storage attachments.js MoveStorageBleed access control
CVE-2026-1964	WeKan REST Endpoint boards.js BoardTitleRESTBleed access control
CVE-2026-2009	SourceCodester Gas Agency Management System createUser.php access control
CVE-2026-2010	Sanluan PublicCMS Trade Payment TradePaymentService.java paid improper authorization
CVE-2026-2015	Portabilis i-Educar Final Status Import FinalStatusImportService.php improper authorization
CVE-2026-2075	yeqifu warehouse Role-Permission Binding RoleController.java saveRolePermission access control
CVE-2026-2076	yeqifu warehouse User Management Endpoint UserController.java deleteUser improper authorization
CVE-2026-2077	yeqifu warehouse Role Management RoleController.java deleteRole improper authorization
CVE-2026-2078	yeqifu warehouse Permission Management PermissionController.java deletePermission improper authorization
CVE-2026-2079	yeqifu warehouse Menu Management MenuController.java deleteMenu improper authorization
CVE-2026-20804	Windows Hello Tampering Vulnerability
CVE-2026-20852	Windows Hello Tampering Vulnerability
CVE-2026-2105	yeqifu warehouse Department Management DeptController.java deleteDept improper authorization
CVE-2026-2106	yeqifu warehouse Notice Management NoticeController.java batchDeleteNotice improper authorization
CVE-2026-2107	yeqifu warehouse Log Info LoginfoController.java batchDeleteLoginfo improper authorization
CVE-2026-2109	jsbroks COCO Annotator Delete Category undo improper authorization
CVE-2026-2141	WuKongOpenSource WukongCRM URL PermissionServiceImpl.java improper authorization
CVE-2026-21425	Dell PowerScale OneFS, versions prior to 9.10.1.6 and versions 9.11.0.0 through 9.12.0.1, contains an incorrect privilege ass...
CVE-2026-2206	WeKan Administrative Repair fixDuplicateLists.js FixDuplicateBleed access control
CVE-2026-2209	WeKan Custom Translation translationBody.js setCreateTranslation improper authorization
CVE-2026-22267	Dell PowerProtect Data Manager, version(s) prior to 19.22, contain(s) an Incorrect Privilege Assignment vulnerability. A low...
CVE-2026-22268	Dell PowerProtect Data Manager, version(s) prior to 19.22, contain(s) an Incorrect Privilege Assignment vulnerability. A low...
CVE-2026-22907	An attacker may gain unauthorized access to the host filesystem, potentially allowing them to read and modify system data.
CVE-2026-22908	Uploading unvalidated container images may allow remote attackers to gain full access to the system, potentially compromising...
CVE-2026-22914	An attacker with limited permissions may still be able to write files to specific locations on the device, potentially leadin...
CVE-2026-22916	An attacker with low privileges may be able to trigger critical system functions such as reboot or factory reset without prop...
CVE-2026-23550	WordPress Modular DS plugin <= 2.5.1 - Privilege Escalation vulnerability
CVE-2026-23800	WordPress Modular DS plugin <= 2.5.2 - Privilege Escalation vulnerability
CVE-2026-24963	WordPress Amelia plugin <= 1.2.38 - Privilege Escalation vulnerability
CVE-2026-2549	zhanghuanhao LibrarySystem 图书馆管理系统 BookController.java access control
CVE-2026-2561	JingDong JD Cloud Box AX6600 jdcweb_rpc jdcapi web_get_ddns_uptime privileges management
CVE-2026-2562	JingDong JD Cloud Box AX6600 jdcweb_rpc jdcapi cast_streen privileges management
CVE-2026-2563	JingDong JD Cloud Box AX6600 jdcapp_rpc controlDevice get_status privileges management
CVE-2026-2667	Rongzhitong Visual Integrated Command and Dispatch Platform api access control
CVE-2026-2668	Rongzhitong Visual Integrated Command and Dispatch Platform User add access control
CVE-2026-2669	Rongzhitong Visual Integrated Command and Dispatch Platform User delete access control
CVE-2026-2676	GoogTech sms-ssm API LoginInterceptor.java preHandle improper authorization
CVE-2026-2693	CoCoTeaNet CyreneAdmin System Info Endpoint getCount improper authorization
CVE-2026-27541	WordPress Wholesale Suite plugin <= 2.2.6 - Privilege Escalation vulnerability
CVE-2026-27983	WordPress LMS Elementor Pro plugin <= 1.0.4 - Privilege Escalation vulnerability
CVE-2026-2849	yeqifu warehouse Cache Sync CacheController.java syncCache access control
CVE-2026-2850	yeqifu warehouse Customer Endpoint CustomerController.java deleteCustomer access control
CVE-2026-2851	yeqifu warehouse Inport Endpoint InportController.java deleteInport access control
CVE-2026-2852	yeqifu warehouse Sales Endpoint SalesController.java deleteSales access control
CVE-2026-2860	feng_ha_ha/megagao ssm-erp/production_ssm EmployeeController.java improper authorization
CVE-2026-2896	funadmin Configuration Ajax.php setConfig improper authorization
CVE-2026-2938	SourceCodester Student Result Management System update_smtp.php access control
CVE-2026-2983	SourceCodester Student Result Management System Bulk Import import_users.php access control
CVE-2026-3209	fosrl Pangolin Role verifyApiKeyRoleAccess access control
CVE-2026-3263	go2ismail Asp.Net-Core-Inventory-Order-Management-System Security API improper authorization
CVE-2026-3265	go2ismail Free-CRM Security API improper authorization
CVE-2026-3268	psi-probe PSI Probe Session Attribute RemoveSessAttributeController.java access control
CVE-2026-3667	Freedom Factory dGEN1 org.ethosmobile.ethoslauncher FakeAppService improper authorization
CVE-2026-3668	Freedom Factory dGEN1 org.ethosmobile.webpwaemul AndroidEthereum access control
CVE-2026-3669	Freedom Factory dGEN1 com.dgen.alarm AlarmService improper authorization
CVE-2026-3670	Freedom Factory dGEN1 com.dgen.alarm improper authorization
CVE-2026-3671	Freedom Factory dGEN1 org.ethereumphone.walletmanager.testing123 TokenBalanceContentProvider improper authorization
CVE-2026-3674	Freedom Factory dGEN1 org.ethosmobile.ethoslauncher FakeAppProvider improper authorization
CVE-2026-3675	Freedom Factory dGEN1 org.ethosmobile.ethoslauncher FakeAppReceiver improper authorization
CVE-2026-3724	SourceCodester Patients Waiting Area Queue Management System checkin.php improper authorization
CVE-2026-3734	SourceCodester Client Database Management System Endpoint fetch_manager_details.php improper authorization
CVE-2026-3737	SourceCodester Pet Grooming Management Software User Creation add_user.php improper authorization
CVE-2026-3738	SourceCodester Pet Grooming Management Software Financial Report improper authorization
CVE-2026-3761	SourceCodester Client Database Management System Endpoint superadmin_user_delete.php improper authorization
CVE-2026-3762	SourceCodester Client Database Management System Endpoint superadmin_delete_manager.php improper authorization
CVE-2026-3764	SourceCodester Client Database Management System superadmin_user_update.php improper authorization
CVE-2026-3796	Qi-ANXIN QAX Virus Removal Mini Filter Driver QKSecureIO_Imp.sys ZwTerminateProcess access control
CVE-2026-3817	SourceCodester Patients Waiting Area Queue Management System patient-search.php improper authorization
CVE-2026-4013	SourceCodester Web-based Pharmacy Product Management System add_admin.php improper authorization
CVE-2026-4180	D-Link DIR-816 goahead redirect.asp access control
CVE-2026-4193	D-Link DIR-823G goahead UpdateClientInfo access control
CVE-2026-4194	D-Link DNS-1550-04 system_mgr.cgi cgi_set_wto access control

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20230526-37	26.05.2023	Выполнение произвольного кода в Delta Electronics InfraSuite Device Master
VULN:20231009-12	09.10.2023	Выполнение произвольного кода в Microsoft PC Manager
VULN:20231009-13	09.10.2023	Выполнение произвольного кода в Microsoft PC Manager
VULN:20231122-3	22.11.2023	Выполнение произвольного кода в D-Link
VULN:20240325-18	25.03.2024	Повышение привилегий в Cisco IOS XR
VULN:20240517-6	17.05.2024	Повышение привилегий в Crosswork Network Services Orchestrator
VULN:20240830-14	30.08.2024	Повышение привилегий в LiteSpeed Technologies LiteSpeed Cache plugin for WordPress
VULN:20241007-39	07.10.2024	Повышение привилегий в eLabFTW
VULN:20241106-49	06.11.2024	Выполнение произвольного кода в Siemens InterMesh Subscriber Devices
VULN:20250303-4	03.03.2025	Повышение привилегий в FortiOS
VULN:20250821-61	21.08.2025	Повышение привилегий в Vault Enterprise, Vault Community Edition

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.