Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-280
CWE-280: Improper Handling of Insufficient Permissions or Privileges
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2020-01153 | Уязвимость установщика драйвера графических систем Intel Graphics Drivers, связанная с некорректными разрешениями по умолчанию, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-03288 | Уязвимость операционной системы PAN-OS, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить привилегии суперпользователя |
| BDU:2022-02987 | Уязвимость установщика средств антивирусной защиты ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security Premium, ESET Endpoint Antivirus, ESET Endpoint Security, ESET Server Security for Microsoft Windows Server, ESET File Security for M... |
| BDU:2022-03065 | Уязвимость функции восстановления установщика средств антивирусной защиты ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security Premium, ESET Endpoint Antivirus, ESET Endpoint Security, ESET Server Security for Microsoft Windows Server, E... |
| BDU:2022-04978 | Уязвимость компонента для приема широковещательных сообщений операционных систем Android мобильных устройств Samsung, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01011 | Уязвимость системы резервного копирования и восстановления данных Dell EMC NetWorker, связанная с недостаточной обработкой исключительных состояний, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2023-01887 | Уязвимость режима ядра микропрограммного обеспечения графических процессоров NVIDIA GeForce, Studio, RTX/Quadro, NVS и Tesla, позволяющая нарушителю проводить спуфинг-атаки или вызвать отказ в обслуживании |
| BDU:2023-03627 | Уязвимость функции Faccessa языка программирования Go, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-04444 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с некорректной обработкой недостаточных разрешений, позволяющая нарушителю проводить clickjacking-атаки |
| BDU:2024-00266 | Уязвимость компонента Android Debug Bridge (ADB) браузера Google Chrome операционной системы Chrome OS, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-01951 | Уязвимость реализации прикладного программного интерфейса платформы совместного использования изображений Pixelfed, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-02702 | Уязвимость программного средства управления API-интерфейсами Red Hat 3scale API Management, связанная с некорректной обработкой недостаточных разрешений или привилегий, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04044 | Уязвимость конфигурации агента системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с некорректной обработкой недостаточных разрешений или привилегий, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05248 | Уязвимость модуля ajaxterm панели управления хостингом Webmin, позволяющая нарушителю перехватить консольный сеанс |
| BDU:2024-06057 | Уязвимость функции may_update_sockmap() подсистемы BPF ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2024-11284 | Уязвимость брокера MQTT операционной системы Ruijie Reyee OS, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-02150 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с некорректной обработкой недостаточных разрешений или привилегий, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-05901 | Уязвимость программного решения для мониторинга состояния промышленных систем BR APROL, связанная с некорректной обработкой недостаточных разрешений или привилегий, позволяющая нарушителю получить несанкционированный доступ к учетным данным |
| BDU:2025-06329 | Уязвимость платформы управления данными Microsoft Dataverse, связанная с некорректной обработкой недостаточных разрешений или привилегий, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-08476 | Уязвимость корпоративной платформы Microsoft Teams, связанная с некорректной обработкой недостаточных разрешений или привилегий, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-08693 | Уязвимость службы SFTP микропрограммного обеспечения цифровых оптических сетевых систем Infinera G42, позволяющая нарушителю получить доступ на чтение и запись произвольных файлов |
| BDU:2025-08991 | Уязвимость программного обеспечения Bluetooth Stack, связанная с некорректной обработкой недостаточных разрешений или привилегий, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-10133 | Уязвимость драйвера Windows Cloud Files Mini Filter Driver операционной системы Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-12605 | Уязвимость команд Snapshot/Restore компонента AdminServer централизованной службы для поддержки информации о конфигурации, именования, обеспечения распределенной синхронизации и предоставления групповых служб Apache ZooKeeper, позволяющая нарушителю... |
| BDU:2025-12654 | Уязвимость системы управления учетными данными FortiPAM и компонента GUI операционной системы FortiOS, связанная с некорректной обработкой недостаточных разрешений или привилегий, позволяющая нарушителю, получить несанкционированный доступ к защищаем... |
| BDU:2025-12852 | Уязвимость программного обеспечения Dell Repository Manager, связанная с некорректной обработкой недостаточных разрешений или привилегий, позволяющая нарушителю повысить свои привилегии |
| BDU:2026-00482 | Уязвимость службы регистрации ошибок Windows Error Reporting Service операционной системы Windows, позволяющая нарушителю повысить свои привилегии |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2019-13415 | Search Guard versions before 24.3 had an issue when Cross Cluster Search (CCS) was enabled, authenticated users can gain read... |
| CVE-2019-17437 | PAN-OS: Custom-role users may escalate privileges |
| CVE-2019-6570 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V2.0). Due to insufficient checking of us... |
| CVE-2020-10072 | Improper Handling of Insufficient Permissions or Privileges in zephyr |
| CVE-2020-26195 | Dell EMC PowerScale OneFS versions 8.1.2 – 9.1.0 contain an issue where the OneFS SMB directory auto-create may erroneously c... |
| CVE-2020-29031 | Insecure Direct Object Reference in GateManager WebUI can cause privilege escalation |
| CVE-2020-3427 | Duo Authentication for Windows Logon and RDP Privilege Escalation Vulnerability |
| CVE-2020-8117 | Improper preservation of permissions in Nextcloud Server 14.0.3 causes the event details to be leaked when sharing a non-publ... |
| CVE-2020-8219 | An insufficient permission check vulnerability exists in Pulse Connect Secure <9.1R8 that allows an attacker to change the pa... |
| CVE-2021-37175 | A vulnerability has been identified in RUGGEDCOM ROX MX5000 (All versions < V2.14.1), RUGGEDCOM ROX RX1400 (All versions < V2... |
| CVE-2021-37851 | Local Privilege Escalation in ESET product for Windows |
| CVE-2021-38312 | Gutenberg Template Library & Redux Framework <= 4.2.11 Incorrect Authorization check to Arbitrary plugin installation and pos... |
| CVE-2022-21814 | NVIDIA GPU Display Driver for Linux contains a vulnerability in the kernel driver package, where improper handling of insuffi... |
| CVE-2022-2193 | Insecure Direct Object Reference vulnerability in HYPR Server before version 6.14.1 allows remote authenticated attackers to... |
| CVE-2022-22292 | Unprotected dynamic receiver in Telecom prior to SMR Feb-2022 Release 1 allows untrusted applications to launch arbitrary act... |
| CVE-2022-27167 | Arbitrary File Deletion in ESET products for Windows |
| CVE-2022-30716 | Unprotected broadcast in sendIntentForToastDumpLog in DisplayToast prior to SMR Jun-2022 Release 1 allows untrusted applicati... |
| CVE-2022-30723 | Broadcasting Intent including the BluetoothDevice object without proper restriction of receivers in activateVoiceRecognitionW... |
| CVE-2022-30724 | Broadcasting Intent including the BluetoothDevice object without proper restriction of receivers in sendIntentSessionComplete... |
| CVE-2022-30725 | Broadcasting Intent including the BluetoothDevice object without proper restriction of receivers in sendIntentSessionError fu... |
| CVE-2022-30727 | Improper handling of insufficient permissions vulnerability in addAppPackageNameToAllowList in PersonaManagerService prior to... |
| CVE-2022-34368 | Dell EMC NetWorker 19.2.1.x 19.3.x, 19.4.x, 19.5.x, 19.6.x and 19.7.0.0 contain an Improper Handling of Insufficient Permissi... |
| CVE-2022-36874 | Improper Handling of Insufficient Permissions or Privileges vulnerability in Waterplugin prior to 2.2.11.22040751 allows atta... |
| CVE-2022-39872 | Improper restriction of broadcasting Intent in ShareLive prior to version 13.2.03.5 leaks MAC address of the connected Blueto... |
| CVE-2022-39885 | Improper access control vulnerability in BootCompletedReceiver_CMCC in DeviceManagement prior to SMR Nov-2022 Release 1 allow... |
| CVE-2022-39886 | Improper access control vulnerability in IpcRxServiceModeBigDataInfo in RIL prior to SMR Nov-2022 Release 1 allows local atta... |
| CVE-2022-39912 | Improper handling of insufficient permissions vulnerability in setSecureFolderPolicy in PersonaManagerService prior to Androi... |
| CVE-2022-4863 | Improper Handling of Insufficient Permissions or Privileges in usememos/memos |
| CVE-2023-0181 | NVIDIA GPU Display Driver for Windows and Linux contains a vulnerability in a kernel mode layer handler, where memory permiss... |
| CVE-2023-2020 | Unauthorized scheduling of downtimes via REST API |
| CVE-2023-21421 | Improper Handling of Insufficient Permissions or Privileges vulnerability in KnoxCustomManagerService prior to SMR Jan-2023 R... |
| CVE-2023-22737 | wire-server vulnerable to unauthorized removal of Bots from Conversations |
| CVE-2023-2480 | Elevation of Privilege in M-Files Desktop Client |
| CVE-2023-25543 | Dell Power Manager, versions prior to 3.14, contain an Improper Authorization vulnerability in DPM service. A low privileged... |
| CVE-2023-28114 | `cilium-cli` disables etcd authorization for clustermesh clusters |
| CVE-2023-32489 | Dell PowerScale OneFS 8.2x -9.5x contains a privilege escalation vulnerability. A local attacker with high privileges could... |
| CVE-2023-39249 | Dell SupportAssist for Business PCs version 3.4.0 contains a local Authentication Bypass vulnerability that allows locally a... |
| CVE-2023-41972 | Revert password check incorrect type validation |
| CVE-2023-43087 | Dell PowerScale OneFS 8.2.x, 9.0.0.x-9.5.0.x contains an improper handling of insufficient permissions. A low privileged rem... |
| CVE-2023-43591 | Improper privilege management in Zoom Rooms for macOS before version 5.16.0 may allow an authenticated user to conduct an es... |
| CVE-2023-6189 | Improper Permission Handling in M-Files Server |
| CVE-2024-0560 | Apicast: use_3scale_oidc_issuer_endpoint of token introspection policy isn't compatible with rh-sso 7.5 or later versions |
| CVE-2024-12430 | An attacker who successfully exploited these vulnerabilities could cause enable command execution. A vulnerability exists in... |
| CVE-2024-25108 | Insufficient authorization allowing elevated access to resources in pixelfed |
| CVE-2024-32000 | Truncated content of messages can be leaked from matrix-appservice-irc |
| CVE-2024-32882 | Permission check bypass when editing a model with per-field restrictions in wagtail |
| CVE-2024-35228 | Improper Handling of Insufficient Permissions in Wagtail |
| CVE-2024-36112 | Nautobot dynamic-group-members doesn't enforce permission restrictions on member objects |
| CVE-2024-39691 | Malicious Matrix homeserver can leak truncated message content of messages it shouldn't have access to |
| CVE-2024-4211 | Multiple missing permission checks |
| CVE-2024-42194 | HCL BigFix Inventory is affected by an access control vulnerability |
| CVE-2024-43702 | GPU DDK - MLIST/PM render state buffers writable allowing arbitrary writes to kernel memory pages |
| CVE-2024-43705 | GPU DDK - Security: Exploitable PVRSRVBridgePhysmemWrapExtMem may lead to overwrite read-only file/memory (e.g. libc.so) |
| CVE-2024-46874 | Ruijie Reyee OS Improper Handling of Insufficient Permissions or Privileges |
| CVE-2024-4692 | Multiple missing permission checks |
| CVE-2024-46988 | Tuleap does not properly check permissions for email notifications in trackers |
| CVE-2024-47766 | Permissions are incorrectly verified for project administrators in the cross tracker search widget |
| CVE-2024-47767 | Tuleap lists trackers in the quick add actions of the backlog without any permissions check |
| CVE-2024-51459 | IBM InfoSphere Server Information command execution |
| CVE-2024-55604 | Appsmith's Broken Access Control Allows Viewer Role User to Query Datasources |
| CVE-2024-6302 | Improper Handling of Insufficient Permissions or Privileges in Conduit |
| CVE-2024-6697 | Hitachi Vantara Pentaho Business Analytics Server - Improper Handling of Insufficient Permissions or Privileges |
| CVE-2024-7314 | anji-plus AJ-Report Authentication Bypass |
| CVE-2024-8315 | Improper Handling of Insufficient Permissions or Privileges in B&R APROL |
| CVE-2024-8451 | PLANET Technology switch devices - SSH server DoS attack |
| CVE-2025-0468 | GPU DDK - ui64RobustnessAddress can overwrite Freelist / HWRT (and bypass PMMETA) |
| CVE-2025-0478 | GPU DDK - PMMETA_PROTECT PMR can be exported as dma-buf file / GEM object |
| CVE-2025-20649 | In Bluetooth Stack SW, there is a possible information disclosure due to a missing permission check. This could lead to remot... |
| CVE-2025-22129 | Initial effort field does not respect field permissions in the Taskboard REST card representation in Tuleap |
| CVE-2025-22256 | A improper handling of insufficient permissions or privileges in Fortinet FortiPAM 1.4.0 through 1.4.1, 1.3.0, 1.2.0, 1.1.0 t... |
| CVE-2025-22395 | Dell Update Package Framework, versions prior to 22.01.02, contain(s) a Local Privilege Escalation Vulnerability. A local low... |
| CVE-2025-24029 | Artifact permissions are not verified in the Cross Tracker Search widget in Tuleap |
| CVE-2025-25179 | GPU DDK - Freelist GPU VA can be remapped to another reservation/PMR to trigger GPU arbitrary write to physical memory |
| CVE-2025-27024 | Improper File Access in Infinera G42 |
| CVE-2025-27025 | Improper File Access in Infinera G42 |
| CVE-2025-27521 | Vulnerability of improper access permission in the process management module Impact: Successful exploitation of this vulnerab... |
| CVE-2025-29826 | Microsoft Dataverse Elevation of Privilege Vulnerability |
| CVE-2025-31172 | Memory write permission bypass vulnerability in the kernel futex module Impact: Successful exploitation of this vulnerability... |
| CVE-2025-31173 | Memory write permission bypass vulnerability in the kernel futex module Impact: Successful exploitation of this vulnerability... |
| CVE-2025-3931 | Yggdrasil: local privilege escalation in yggdrasil |
| CVE-2025-45376 | Dell Repository Manager (DRM), versions 3.4.7 and 3.4.8, contains an Improper Handling of Insufficient Permissions or Privile... |
| CVE-2025-46584 | Vulnerability of improper authentication logic implementation in the file system module Impact: Successful exploitation of th... |
| CVE-2025-46708 | GPU DDK - Guest VM can delay the FW and GPU from processing workloads from other VMs |
| CVE-2025-46740 | Improper Handling of Insufficient Permissions |
| CVE-2025-49731 | Microsoft Teams Elevation of Privilege Vulnerability |
| CVE-2025-50170 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability |
| CVE-2025-58121 | Insufficient permission validation on multiple REST API endpoints |
| CVE-2025-58122 | Insufficient permission validation when configuring notification parameters |
| CVE-2025-58410 | GPU DDK - Multiple calls into PhysmemGEMPrimeExport can inherit write access permission for an existing read-only dma_buf imp... |
| CVE-2025-58457 | Apache ZooKeeper: Insufficient Permission Check in AdminServer Snapshot/Restore Commands |
| CVE-2025-58770 | TCG2 TPM RT Not Locked Issue |
| CVE-2025-59040 | Tuleap backlog item representations do not verify the permissions of the child trackers |
| CVE-2025-5998 | PPWP < 1.9.11 - Subscriber+ Access Bypass via REST API |
| CVE-2025-62176 | Mastadon streaming server allows OAuth clients without the `read` scope to subscribe to public channels |
| CVE-2025-62509 | FileRise improper ownership/permission validation allowed cross-tenant file operations |
| CVE-2025-62510 | FileRise insecure folder visibility via name-based mapping and incomplete ACL checks |
| CVE-2025-64997 | Insufficient permission validation when showing agent information |
| CVE-2025-6573 | GPU DDK - RGXFW_CTL.pui8FWScratchBuf Leak/Overwrite |
| CVE-2025-8109 | GPU DDK - GPU shader shared memory corrupted using ptrace to disrupt GPU operation |
| CVE-2026-20817 | Windows Error Reporting Service Elevation of Privilege Vulnerability |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.