Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-285
Improper Authorization
The product does not perform or incorrectly performs an authorization check when an actor attempts to access a resource or perform an action.
| Тип уязвимости: | Не зависит от других уязвимостей |
| Вероятность эксплойта: |
High
|
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2014-00047 | Уязвимость операционной системы Zyxel ZLD, позволяющая злоумышленнику вызвать отказ в обслуживании |
| BDU:2016-02046 | Уязвимость браузера Google Chrome, позволяющая нарушителю обойти существующую политику ограничения доступа |
| BDU:2016-02047 | Уязвимость браузера Google Chrome, позволяющая нарушителю обойти существующую политику ограничения доступа |
| BDU:2016-02101 | Уязвимость микропрограммного обеспечения модемов Onecell G3100v2 и Onecell G3001, позволяющая нарушителю получить доступ к устройству |
| BDU:2016-02147 | Уязвимость операционной системы Windows, позволяющая нарушителю подобрать пароль |
| BDU:2017-00055 | Уязвимость операционной системы Android, позволяющая нарушителю получить несанкционированный доступ к памяти |
| BDU:2017-00395 | Уязвимость операционной системы iOS, позволяющая нарушителю обойти существующую политику авторизации |
| BDU:2017-01393 | Уязвимость компонента TrustZone операционной системы Android, позволяющая нарушителю получить доступ к ресурсу |
| BDU:2017-01406 | Уязвимость в Core Kernel операционной системы Android, позволяющая нарушителю получить доступ к ресурсу |
| BDU:2017-02036 | Уязвимость системы управления базами данных PostgreSQL, вызванная недостатками авторизации, позволяющая нарушителю вызвать отказ системы |
| BDU:2018-00226 | Уязвимость микропрограммного обеспечения маршрутизаторов Phoenix Contact FL SWITCH, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ к устройству с привилегиями администратора |
| BDU:2018-00496 | Уязвимость микропрограммного обеспечения коммутационных модулей Siemens EN100, устройств релейной защиты SIPROTEC и пакета программного обеспечения для управления и настройки устройств защиты DIGSI 4, связанная с ошибками в авторизации, позволяющая н... |
| BDU:2018-00652 | Уязвимость встроенного веб-сервера микропрограммного обеспечения модуля управления источников бесперебойного питания APC MGE SNMP/Web Card Transverse 66074, позволяющая нарушителю изменять настройки устройства |
| BDU:2018-01084 | Уязвимость функции смены пароля программного средства Cisco Prime Collaboration Provisioning для централизованного управления продуктами Cisco, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2018-01147 | Уязвимость функции EAFS_BCA_BUSOPR_2 программной платформы SAP Enterprise Financial Services, позволяющая нарушителю повысить свои привилегии |
| BDU:2018-01148 | Уязвимость функции EAFS_BCA_BUSOPR_SEPA программной платформы SAP Enterprise Financial Services, позволяющая нарушителю повысить свои привилегии |
| BDU:2018-01402 | Уязвимость программного средства Microsoft Team Foundation Server, связанная с ошибками процедуры авторизации, позволяющая нарушителю выполнить произвольные команды |
| BDU:2019-00016 | Уязвимость микропрограммного обеспечения межсетевого экрана Cisco Adaptive Security Appliance, связанная с ошибками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-01096 | Уязвимость интерфейса командной строки сетевой операционной системы Cisco NX-OS устройств Cisco, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2019-01108 | Уязвимость интерфейса управления учетными записями сетевой операционной системы Cisco NX-OS маршрутизаторов Cisco, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-01295 | Уязвимость системы управления базами данных PostgreSQL, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-01353 | Уязвимость средства управления журналами vRealize Log Insight, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-01630 | Уязвимость сервера печати CUPS, связанная с ошибками авторизации, позволяющая нарушителю выполнить произвольный код с привилегиями root |
| BDU:2019-01632 | Уязвимость сервера печати CUPS, связанная с ошибками авторизации, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2019-01737 | Уязвимость средства для формирования отчетности SAP Disclosure Management, связанная с недостатками процедуры аутентификации, позволяющая нарушителю повысить привилегии |
| BDU:2019-01760 | Уязвимость компонента Spring Framework программных продуктов Oracle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-01796 | Уязвимость реализации протокола Secure Shell (SSH) микропрограммного обеспечения сетевых устройств Cisco серии Small Business, позволяющая нарушителю получить доступ к конфигурации от имени администратора |
| BDU:2019-01981 | Уязвимость реализации программного интерфейса RESTful Services платформы управления политиками соединений Cisco Identity Services Engine, позволяющая нарушителю генерировать произвольные сертификаты, подписанные службами внутреннего центра сертификац... |
| BDU:2019-02129 | Уязвимость механизма аутентификации службы Secure Shell (SSH) операционной системы Cisco IOS XR, позволяющая нарушителю получить доступ к уязвимому устройству |
| BDU:2019-02517 | Уязвимость компонента daemon/gvfsbackendadmin.c подсистемы GVFS среды рабочего стола GNOME операционных систем Linux, позволяющая нарушителю подключиться к D-Bus серверу |
| BDU:2019-02553 | Уязвимость программного обеспечения платформы для управления системами видеонаблюдения Siveillance VMS, связанная с недостатками контроля доступа, позволяющая нарушителю изменить настройки устройства |
| BDU:2019-02673 | Уязвимость веб-интерфейса управления межсетевого экрана Cisco RV110W Wireless-N VPN Firewall, маршрутизаторов Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router, позволяющая нарушителю получить доступ к списку устро... |
| BDU:2019-02674 | Уязвимость веб-интерфейса управления межсетевого экрана Cisco RV110W Wireless-N VPN Firewall, маршрутизаторов Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router, позволяющая нарушителю получить доступ к защищаемой и... |
| BDU:2019-02675 | Уязвимость веб-интерфейса управления межсетевого экрана Cisco RV110W Wireless-N VPN Firewall, маршрутизаторов Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-02752 | Уязвимость SSL VPN веб-портала операционной системы FortiOS, связанная с ошибками в работе механизма авторизации на веб-портале, позволяющая нарушителю изменить пароль пользователя веб-портала |
| BDU:2019-02867 | Уязвимость веб-интерфейса администрирования маршрутизаторов Cisco Small Business серии 220, позволяющая нарушителю записать произвольные файлы в файловую систему устройства |
| BDU:2019-02912 | Уязвимость веб-интерфейса администрирования межсетевых экранов Cisco Adaptive Security Appliance (ASA), позволяющая нарушителю повысить свои привилегии |
| BDU:2019-02945 | Уязвимость реализации класса Smart Class программного средства для управления системами Red Hat Satellite и приложения для управления, настройки и мониторинга сервера Foreman, позволяющая нарушителю изменить конфигурационные файлы |
| BDU:2019-03037 | Уязвимость веб-сервера программного средства удалённого администрирования серверов Cisco Integrated Management Controller, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-03063 | Уязвимость веб-интерфейса управления программного средства удалённого администрирования серверов Cisco Integrated Management Controller, позволяющая нарушителю внести несанкционированные изменения в конфигурацию системы |
| BDU:2019-03345 | Уязвимость компонента astra-sambadc операционной системы Astra Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-03360 | Уязвимость киоска fly-admin-kiosk рабочей среды FLY операционной системы Astra Linux, связанная с неправильной авторизацией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-03445 | Уязвимость интерфейса командной строки операционной системы Cisco IOS XE, позволяющая нарушителю выполнить произвольные команды в базовой операционной системе |
| BDU:2019-03585 | Уязвимость механизма отображения веб-страниц Blink веб-браузера Google Chrome, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2019-03644 | Уязвимость функции синтаксического анализа DNS-сервера PowerDNS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-03656 | Уязвимость операционной системы Junos OS маршрутизаторов NFX Series, связанная с ошибками процедуры авторизации, позволяющая нарушителю получить доступ к приложению Junos Device Manager (JDM) и полный контроль над системой |
| BDU:2019-03995 | Уязвимость модуля авторизации программного обеспечения системы управления защитой контента Cisco Content Security Management Appliance, позволяющая нарушителю получить доступ к сообщениям категории спам других пользователей |
| BDU:2019-04334 | Уязвимость в функционале изоляции сайтов, возникающую при восстановлении вкладок, браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04335 | Уязвимость в функционале изоляции сайтов, возникающую при использовании Blob URL, браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04338 | Уязвимость модуля отображения Blink браузера Google Chrome, позволяющая нарушителю обойти настроенные фильтры содержимого и оказать воздействие на целостность защищаемой информации |
| BDU:2019-04552 | Уязвимость модуля электронного взаимодействия служб и должностных лиц аппаратно-программной платформы "Безопасный город", связанная с недостатками механизмов авторизации, позволяющая нарушителю определить все существующие имена пользователей |
| BDU:2019-04699 | Уязвимость операционной системы FortiOS, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04860 | Уязвимость отладчика ABAP Debugger, вызванная недостатками процедуры авторизации, позволяющая нарушителю выполнить команду "Go to statement" без процедуры авторизации |
| BDU:2020-00162 | Уязвимость API-интерфейса средства защиты от угроз Threat Intelligence Exchange Server, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2020-00627 | Уязвимость программной интеграционной платформы SAP NetWeaver, вызванная недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-00645 | Уязвимость программного средства управления персоналом SAP ERP HCM, вызванная недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-01537 | Уязвимость системы хранения данных Ceph, связанная с ошибкой процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к ключам шифрования dm-crypt |
| BDU:2020-01897 | Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, связанная с недостатками контроля доступа, позволяющая нарушителю осуществить обход процесса аутентификации между EcoStruxure... |
| BDU:2020-02010 | Уязвимость инструмента для ввода Astra Linux SE/CE в домен MS Windows AD astra-winbind, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2020-02012 | Уязвимость системы управления ЕПП службы Astra Linux Directory (ALD), связанная с некорректной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании |
| BDU:2020-02749 | Уязвимость программного средства автоматизации работы операторов Cisco Unified Contact Center Express, связанная с ошибками авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-02853 | Уязвимость сервиса AJP Connector сервера приложений Apache Tomcat, позволяющая нарушителю получить несанкционированный доступ на чтения файлов веб-приложений |
| BDU:2020-02868 | Уязвимость виртуальной машины Eclipse OpenJ9, связанная с ошибками разграничения доступа к диагностическим операциям, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-03424 | Уязвимость веб-интерфейса управления межсетевого экрана Cisco RV110W Wireless-N VPN Firewall и микропрограммного обеспечения маршрутизатора Cisco RV215W Wireless-N VPN Router, позволяющая нарушителю получить несанкционированный доступ к защищаемой ин... |
| BDU:2020-03621 | Уязвимость реализации протокола TLS программной платформы Node.js, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-03791 | Уязвимость веб-интерфейса системы сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю повысить свои привилегии |
| BDU:2020-03829 | Уязвимость веб-интерфейса управления программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-03899 | Уязвимость программной платформы для управления виртуальными средами CloudForms Management Engine, связанная с ошибками авторизации, позволяющая нарушителю создавать существующих и несуществующих пользователей управления доступом на основе ролей с гр... |
| BDU:2020-03900 | Уязвимость программной платформы для управления виртуальными средами CloudForms Management Engine, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-04138 | Уязвимость функции Enable Secret сетевой операционной системы Cisco NX-OS маршрутизаторов Cisco Nexus серии 9000, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-05127 | Уязвимость компонента интеграции программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, удалять сведе... |
| BDU:2020-05128 | Уязвимость компонента Inventory программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информац... |
| BDU:2020-05129 | Уязвимость компонента Inventory программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2020-05131 | Уязвимость компонента интеграции программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю удалять cms-страницы через REST API без авторизации |
| BDU:2020-05591 | Уязвимость программ просмотра PDF-файлов Adobe Reader Document Cloud, Adobe Reader и программ редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat, связанная с ошибками процедуры авторизации, позволяющая нарушителю выполнить произвол... |
| BDU:2020-05638 | Уязвимость микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 модуля SC150, связанная с некорректной авторизацией пользователей, позволяющая нарушителю просматривать и из... |
| BDU:2020-05794 | Уязвимость веб-интерфейса системы сетевого управления центром обработки данных Cisco Data Center Network Manager, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-05797 | Уязвимость веб-интерфейса системы сетевого управления центром обработки данных Cisco Data Center Network Manager, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2021-00045 | Уязвимость реализации механизма Strict Transport Security (HSTS) браузера Mozilla Firefox, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-00219 | Уязвимость программного обеспечения TrueConf Server, связанная с недостатками механизма управления токенами пользователей, позволяющая нарушителю получить доступ к учетной записи пользователя |
| BDU:2021-00253 | Уязвимость реализации механизма контроля доступа к функциям модуля мониторинга сервера Mind Server, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-00675 | Уязвимость планировщика заданий операционной системы Windows, позволяющая нарушителю выполнить произвольный код с привилегиями системы |
| BDU:2021-01543 | Уязвимость компонента интеграции программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01933 | Уязвимость службы XPC средства антивирусной защиты Kaspersky Internet Security для операционных систем MacOS, позволяющая нарушителю отключить антивирусную защиту |
| BDU:2021-02416 | Уязвимость веб-интерфейса vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02525 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02558 | Уязвимость интерфейса управления кластером программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02559 | Уязвимость интерфейса управления кластером программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03282 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03283 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03307 | Уязвимость функции cp_plugins_do_button_job_later_callback плагина Tree Sitemap WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-03386 | Уязвимость сервера хранения объектов MinIO, связанная с ошибками авторизации, позволяющая нарушителю обойти политику readOnly и оказать воздействие на целостность защищаемой информации |
| BDU:2021-03522 | Уязвимость программного средства Cisco Business Process Automation, связанная с некорректными настройками авторизации для команд управления и настройками доступа к журналам действий, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-03523 | Уязвимость программного средства Cisco Business Process Automation, связанная с некорректными настройками авторизации для команд управления и настройками доступа к журналам действий, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-03573 | Уязвимость интерфейса REST API платформы для организации безопасности, автоматизации и реагирования Cortex XSOAR, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04535 | Уязвимость модуля pam_shells пакета файлов конфигурации и настройки системы Setup операционных систем Red Hat Enterprise Linux и Fedora, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04925 | Уязвимость службы rhttpproxy средства управления виртуальной инфраструктурой VMware vCenter Server, платформы виртуализации VMware Cloud Foundation, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2021-04975 | Уязвимость службы JMS Connector Service сервера веб-приложений SAP NetWeaver Java Application Server, позволяющая нарушителю обойти существующие ограничения безопасности или выполнить произвольный код |
| BDU:2021-04980 | Уязвимость средства управления виртуальной инфраструктурой VMware vCenter Server, связанная с некорректным определением URI конечных точек, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05089 | Уязвимость приложения для резервного копирования и аварийного восстановления данных HBS 3 (Hybrid Backup Sync) операционных систем QTS, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-05548 | Уязвимость микропрограммного обеспечения программируемого логического контроллера ioLogik, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии в системе |
| BDU:2021-05887 | Уязвимость файлового менеджера Adobe Bridge, связанная с неправильной авторизацией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-05929 | Уязвимость сервисов MasterCard Tokenisation Service (MDES), Visa Tokenisation Service (VTS), связанная с отсутствием критичных полей в алгоритме криптограмм ARQC (например 9F15 MCC), позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-05930 | Уязвимость сервисов MasterCard Tokenisation Service (MDES), Visa Tokenisation Service (VTS), связанная с произвольной модификацией поля Amount в пакете Authorisation Request ISO 8583, позволяющая нарушителю использовать криптограммы для совершения мо... |
| BDU:2021-05931 | Уязвимость сервиса MasterCard Tokenisation Service (MDES), связанная с использованием недостатков пары GPay/MasterCard, позволяющая нарушителю клонировать транзакции и совершать платежи выше лимитов Tap Go |
| BDU:2021-05932 | Уязвимость токенизационных сервисов MasterCard, Visa, American Express, связанная с недостаточной авторизацией криптограмм ARQC генерируемых мобильными кошельками Apple Pay, Samsung Pay, GPay, позволяющая нарушителю использовать на токенизационных се... |
| BDU:2021-06207 | Уязвимость интерфейса J-Web операционных систем Junos OS, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2021-06265 | Уязвимость сервера автоматизации Jenkins, связанная с некорректной процедурой авторизации, позволяющая нарушителю создавать произвольные файлы |
| BDU:2021-06313 | Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060 и Adam-6050 D, связанная с ошибками в работе механизма восстановления пароля, позволяющая нарушителю восстановить настройки по умолчанию |
| BDU:2021-06315 | Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060 и Adam-6050 D, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить полный доступ к устройству с привилегии администратора |
| BDU:2022-00341 | Уязвимость реализации команды cutmem загрузчика операционных систем Grub2, позволяющая нарушителю получить доступ к конфиденциальным данным, оказать влияние на целостность данных, а также вызвать отказ в обслуживании |
| BDU:2022-01258 | Уязвимость компонента интеграции программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю выполнить обход функций безопасности, а так же получить несанкционированны... |
| BDU:2022-01407 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01517 | Уязвимость реализации сценария cron/save_allow.cgi модуля Scheduled Cron Jobs веб-интерфейса системного администрирования для UNIX-подобных операционных систем Webmin, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-02487 | Уязвимость веб-интерфейса микропрограммного обеспечения маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345, RV345P, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2022-02493 | Уязвимость веб-интерфейса микропрограммного обеспечения маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345, RV345P, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2022-02690 | Уязвимость scada-сервера Elcomplus SmartPPT, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-02710 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, связанная с ошибками процедуры авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-03622 | Уязвимость серверного корпоративного программного обеспечения мониторинга и управления проектами баз знаний Adobe RoboHelp Server, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03702 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab Enterprise Edition, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-03745 | Уязвимость функции PAM auth системы управления конфигурациями и удалённого выполнения операций Salt, позволяющая нарушителю выполнять произвольные команды |
| BDU:2022-04213 | Уязвимость приложения Galaxy Store, связанная с неправильной авторизацией, позволяющая нарушителю устанавливать приложения из Galaxy Store без взаимодействия с пользователем |
| BDU:2022-04236 | Уязвимость компонента RegexRequestMatcher Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-04822 | Уязвимость компонента NVIDIA Virtual GPU Manager драйвера виртуальных графических процессоров NVIDIA Virtual GPU, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность, доступность защищаемой информации |
| BDU:2022-05249 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-05283 | Уязвимость системы аппаратной виртуализации Windows Hyper-V операционной системы Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-05321 | Уязвимость компонента API диспетчера межсайтовых политик Cisco ACI Multi-Site Orchestrator (MSO) , позволяющая нарушителю повысить свои привилегии |
| BDU:2022-05604 | Уязвимость программного обеспечения управления кластерами Kubernets Rancher, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-06005 | Уязвимость реализации технологии LTE микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-06084 | Уязвимость компонента MIFF кроссплатформенной библиотеки для работы с графикой GraphicsMagick, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2022-06189 | Уязвимость веб-интерфейса управления операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-06190 | Уязвимость SMTP-сервера системы управления взаимоотношениями с клиентами SuiteCRM, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2022-06277 | Уязвимость системы управления взаимоотношениями с клиентами SuiteCRM, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании |
| BDU:2022-06451 | Уязвимость системы хранения данных Cloud Mobility for Dell Storage, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2022-06941 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00072 | Уязвимость SCADA-систем EcoStruxure Geo SCADA Expert 2020, EcoStruxure Geo SCADA Expert 2019, связанная с ошибками разграничения доступа, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-00099 | Уязвимость платформы управления контейнерами Portainer, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить полный доступ к файловой системе |
| BDU:2023-00539 | Уязвимость компонента iotdb-web-workbench базы данных для интернет вещей IoT Apache IoTDB, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-00657 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2023-00890 | Уязвимость антивирусного программного средства Apex One, вызванная недостатками процедуры авторизации, позволяющая нарушителю загрузить произвольные файлы в каталог SampleSubmission |
| BDU:2023-00937 | Уязвимость средства управления доступом к сети Fortinet FortiNAC, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-01004 | Уязвимость веб-интерфейса управления программного средства удаленного управления компьютером Unified Remote, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-01062 | Уязвимость драйвера Dell DBUtil (dbutil_2_3.sys), вызванная недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии, раскрыть защищаемую информацию и вызвать отказ в обслуживании |
| BDU:2023-01072 | Уязвимость компонента AbstractSessionListener программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю получить доступ к сеансу пользователя |
| BDU:2023-01073 | Уязвимость программного средства Dell Command Intel vPro Out of Band, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01154 | Уязвимость программного обеспечения для настройки, тестирования и ввода в эксплуатацию распределительного щита Schneider Electric EcoStruxure Power Commission, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01761 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-01790 | Уязвимость расширения femanager системы управления контентом TYPO3, позволяющая нарушителю установить произвольный пароль для пользователей системы |
| BDU:2023-01888 | Уязвимость программного интерфейса API диспетчера управления системными данными Hitachi Energy System Data Manager SDM600, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность информации |
| BDU:2023-01889 | Уязвимость реализации прикладного программного интерфейса диспетчера управления системными данными Hitachi Energy System Data Manager SDM600, позволяющая нарушителю считывать данные из хранилища данных |
| BDU:2023-01977 | Уязвимость конфигурации nginx обратного прокси-сервера программного средства автоматизации работы операторов Cisco Finesse, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-02129 | Уязвимость демона strongSwan, связанная с ошибками при проверке сертификата в методах EAP на основе TLS, позволяющая нарушителю выполнить отказ в обслуживании |
| BDU:2023-02147 | Уязвимость SCADA-системы AVEVA Plant SCADA и сервера AVEVA Telemetry Server, вызванная недостатками процедуры авторизации, позволяющая нарушителю вызывать отказ в обслуживании |
| BDU:2023-02228 | Уязвимость многоплатформенного веб-решения для создания Scada-систем Scada-LTS, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02667 | Уязвимость реализации прикладного программного интерфейса центра управления сетью Cisco DNA Center, позволяющая нарушителю выполнять произвольные команды с привилегиями root |
| BDU:2023-02668 | Уязвимость реализации прикладного программного интерфейса центра управления сетью Cisco DNA Center, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02669 | Уязвимость реализации прикладного программного интерфейса центра управления сетью Cisco DNA Center, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02757 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загружать или удалять определенные файлы |
| BDU:2023-02914 | Уязвимость встроенного программного обеспечения контроллера ARIS, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-02918 | Уязвимость встроенного программного обеспечения контроллера ARIS, связанная с ошибками разграничения доступа, позволяющая нарушителю повысить свои привилегии в системе |
| BDU:2023-02932 | Уязвимость компонентов Message и Bulletin платформы для обмена данными Cybozu Garoon, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2023-03030 | Уязвимость операционной системы Juniper Networks Junos OS Evolved, связанная c недостатками процедуры авторизации, позволяющая нарушителю выполнять произвольные команды |
| BDU:2023-03380 | Уязвимость системы работы с заявками и инцидентами GLPI, связанная с неправильной авторизацией, позволяющая нарушителю повышать привилегии внутри приложения |
| BDU:2023-03429 | Уязвимость программного обеспечения для удалённого управления компьютером TeamViewer Remote, связанная с недостатками процедуры авторизации, позволяющая нарушителю изменять основные настройки локального устройства |
| BDU:2023-03800 | Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, связанная с ошибками в конфигурации авторизации, которые могут возникнуть при использовании нескольких сервлетов, включая DispatcherServlet Spring MVC, п... |
| BDU:2023-03894 | Уязвимость компонента Sandbox операционных систем iOS, iPadOS, tvOS, watchOS, macOS, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2023-04559 | Уязвимость программных интеграционных платформ SAP NetWeaver AS ABAP и SAP NetWeaver ABAP, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации |
| BDU:2023-04561 | Уязвимость сервера сообщений SAP Message Server программной интеграционной платформы SAP NetWeaver AS ABAP, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании |
| BDU:2023-04840 | Уязвимость программного обеспечения СЭД "ДЕЛО", связанная с недостатками процедуры авторизации, позволяющая нарушителю перехватить идентификатор и обойти механизм авторизации |
| BDU:2023-04878 | Уязвимость метода SetAll() системы межпроцессного взаимодействия D-Bus операционных систем Red Hat Enterprise Linux, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-05980 | Уязвимость программного обеспечения для управления медицинской организацией OpenEMR, связанная с ошибками авторизации, позволяющая нарушителю осуществить HTML-инъекцию |
| BDU:2023-06214 | Уязвимость ядра оболочки EMUI операционной системы HarmonyOS, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность данных |
| BDU:2023-06230 | Уязвимость централизованной системы управления сетью Cisco Catalyst SD-WAN Manager, связанная с недостатками процедуры авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-06254 | Уязвимость фреймворка создания кроссплатформенных десктопных приложений Tauri, связанная с недостатками процедуры авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2023-06363 | Уязвимость метода showUser платформы управления сетевыми устройствами D-View 8, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-06410 | Уязвимость функции аутентификации, авторизации и учета (Authentication, Authorization and Accounting - AAA) и функции сервера SCP операционных систем Cisco IOS и Cisco IOS XE, позволяющая нарушителю обойти ограничения безопасности и получить или изме... |
| BDU:2023-06416 | Уязвимость функции restore_settings плагина Comments Like Dislike системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-06573 | Уязвимость среды разработки программного обеспечения для автоматизации и управления производственными процессами Omron Sysmac Studio, связанная с ошибками разграничения доступа, позволяющая нарушителю изменить произвольные файлы |
| BDU:2023-06688 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-06706 | Уязвимость операционной системы FortiOS, связанная с недостатками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07067 | Уязвимость функции диагностики ping микропрограммного обеспечения маршрутизатора Connectize G6 AC2100, позволяющая нарушителю выполнить произвольные команды |
| BDU:2023-07185 | Уязвимость приложения Galaxy Store, связанная с неправильными разрешениями по умолчанию, позволяющая нарушителю устанавливать приложения из Galaxy Store без взаимодействия с пользователем |
| BDU:2023-07195 | Уязвимость компонента Webtools операционной системы Brocade Fabric OS, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07234 | Уязвимость набора утилит VMware Tools для операционных систем Windows, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07330 | Уязвимость SCADA-системы EisBaer, вызванная недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-07476 | Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю выполнять произвольные команды |
| BDU:2023-07528 | Уязвимость функций pmdm_wp_delete_user_meta, pmdm_wp_delete_term_meta и pmdm_wp_ajax_delete_meta плагина для системы управления содержимым сайта WordPress Post Meta Data Manager, позволяющая нарушителю удалить произвольные метаданные пользователей |
| BDU:2023-07529 | Уязвимость функций pmdm_wp_change_user_meta и pmdm_wp_change_post_meta плагина Post Meta Data Manager для системы управления содержимым сайта WordPress, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-08028 | Уязвимость пакета программ Microsoft Office, связанная с ошибками разграничения доступа, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-08245 | Уязвимость программной платформы ASP.NET Core, связанная с ошибками в настройках безопасности, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-08562 | Уязвимость интерфейса HID Profile (Human Interface Device) стека протоколов Bluetooth для ОС Linux BlueZ, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды |
| BDU:2023-08941 | Уязвимость контроллера доставки приложений FortiADC, связанная с некорректной процедурой авторизации, позволяющая нарушителю получить несанкционированный доступ к файлам конфигурации |
| BDU:2023-08975 | Уязвимость плагина User Post Gallery системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-09005 | Уязвимость сетевых систем хранения данных Hitachi Vantara NAS, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-00326 | Уязвимость сервера Redfish менеджера хранения maxView Storage Manager, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2024-00507 | Уязвимость операционной системы NEXO-OS инструментов для монтажных работ на производственных линиях Bosch Nexo cordless nutrunner и Bosch Nexo special cordless nutrunner, позволяющая нарушителю выполнять произвольные команды с повышенными привилегиям... |
| BDU:2024-00745 | Уязвимость функции save_management_settings() плагина InstaWP Connect системы управления содержимым сайта WordPress, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2024-01105 | Уязвимость программного средства управления финансами SAP S/4HANA Finance, связанная с неправильной авторизацией, позволяющая нарушителю создавать внутренние банковские счета |
| BDU:2024-01132 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками разграничения доступа, позволяющая нарушителю получить доступ на чтение и изменение данных |
| BDU:2024-01250 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, вызванная недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-01308 | Уязвимость операционных систем QTS, QuTScloud сетевых устройств Qnap, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01426 | Уязвимость реализации протокола PEAP (Protected Extensible Authentication Protocol) клиента защищённого доступа Wi-Fi WPA Supplicant, позволяющая нарушителю перехватить незашифрованный транзитный трафик пользователя |
| BDU:2024-01443 | Уязвимость микропрограммного обеспечения газовых хроматографов Rosemount GC370XA, GC700XA, GC1500XA, вызванная недостатками процедуры авторизации, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании |
| BDU:2024-01632 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю изменить настройки пользовательской панели управления проектами |
| BDU:2024-01637 | Уязвимость программного средства для увеличения производительности процессорных ядер Intel Performance Maximizer, связанная с нарушением авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01951 | Уязвимость реализации прикладного программного интерфейса платформы совместного использования изображений Pixelfed, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-02268 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-02508 | Уязвимость программной платформы резервного копирования и восстановления данных NetApp SnapCenter, связанная с недостатками авторизации, позволяющая нарушителю изменять настройки конфигурации системного журналирования |
| BDU:2024-02606 | Уязвимость веб-интерфейса управления системы управления сетевой инфраструктурой Cisco Catalyst Center (ранее Cisco DNA Center), позволяющая нарушителю получить доступ на изменение данных |
| BDU:2024-02948 | Уязвимость службы для переноса данных из локальной среды Azure Migrate, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03023 | Уязвимость функции NTPSyncWithHost микропрограммного обеспечения роутеров TOTOLINK EX200, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03024 | Уязвимость функции setTelnetCfg микропрограммного обеспечения роутеров TOTOLINK EX200, позволяющая нарушителю запустить службу telnet без процедуры авторизации |
| BDU:2024-03121 | Уязвимость клиента HTTP/1.1 undici программной платформы Node.js, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03134 | Уязвимость микропрограммного обеспечения телефонов и акустических систем для конференц-связи Poly, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-03421 | Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, добавление, изменение или удаление защищаемой информации |
| BDU:2024-03465 | Уязвимость системы мониторинга и управления источниками бесперебойного питания PowerPanel Business, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03605 | Уязвимость микропрограммного обеспечения расширителя Wi-Fi диапазона TOTOlink EX1800T, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольны... |
| BDU:2024-04079 | Уязвимость компонента BI Platform Security программной платформы Oracle Business Intelligence Enterprise Edition, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных |
| BDU:2024-04080 | Уязвимость компонента JavaFx виртуальной машины Oracle GraalVM Enterprise Edition и программной платформы Oracle Java SE, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-04081 | Уязвимость компонента Networking виртуальных машин Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK и программной платформы Oracle Java SE, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-04082 | Уязвимость компонента JavaFX программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-04085 | Уязвимость компонента JavaFx виртуальной машины Oracle GraalVM Enterprise Edition и программной платформы Oracle Java SE, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-04108 | Уязвимость сервиса управления доступом к удаленным каталогам и механизма аутентификации SSSD, связанная с неправильной авторизацией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-04275 | Уязвимость программного обеспечения графического процессора NVIDIA GPU Display Driver, позволяющая нарушителю выполнить произвольный код, повысить привилегии и раскрыть защищаемую информацию |
| BDU:2024-04312 | Уязвимость функции remove_user_from_org (/api/org_id/users/email_id) платформы мониторинга журналов, метрик и трассировок OpenObserve, позволяющая нарушителю обойти существующие ограничения безопасности и удалить пользователей системы |
| BDU:2024-04356 | Уязвимость компонента Client: mysqldump системы управления базами данных Oracle MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, добавление, изменение, удаление защищаемой информации или вызвать отказ в обслуживании |
| BDU:2024-04488 | Уязвимость программного средства для централизованного управления межсетевыми экранами FortiWeb Manager, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код или команды |
| BDU:2024-04498 | Уязвимость программного средства для централизованного управления межсетевыми экранами FortiWeb Manager, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2024-04500 | Уязвимость программного средства для централизованного управления межсетевыми экранами FortiWeb Manager, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2024-04501 | Уязвимость межсетевого экрана веб-приложений FortiWeb, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2024-04665 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и плагина Adobe Commerce Webhooks, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничени... |
| BDU:2024-04740 | Уязвимость компонента System webapi приложения для организации видеонаблюдения Surveillance Station, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-04747 | Уязвимость программного средства для работы с электронной подписью и управления документами Acrobat Mobile Sign, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности и получить несанкцион... |
| BDU:2024-04836 | Уязвимость программного обеспечения INPAS SOFT UniPORT Eslip, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-04837 | Уязвимость программного обеспечения INPAS SOFT UniPORT Eslip, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить доступ к веб-интерфейсу администрирования приложения |
| BDU:2024-04838 | Уязвимость компонента Compiler виртуальных машин Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-05245 | Уязвимость программного комплекса "Управление сервисами СМАРТ/WEB", связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ к защищаемой информации без процедуры авторизации |
| BDU:2024-05259 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05335 | Уязвимость программной платформы интеграции данных IBM InfoSphere Information Server, вызванная недостатками процедуры авторизации, позволяющая нарушителю изменять произвольные проекты |
| BDU:2024-05496 | Уязвимость локального программного средства для планирования ресурсов Microsoft Dynamics 365 (On-Premises), связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-05520 | Уязвимость компонента Server: DDL системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-05662 | Уязвимость SCADA-системы MasterSCADA 4D, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить чтение и запись произвольных файлов |
| BDU:2024-05708 | Уязвимость веб-компонента приложения для управления жизненным циклом мобильных устройств и мобильных приложений Ivanti Endpoint Manager Mobile (EPMM) (ранее MobileIron Core), позволяющая нарушителю выполнить произвольные команды в базовой операционно... |
| BDU:2024-05969 | Уязвимость службы SSH операционной системы SmartOS WI-Fi маршрутизаторов AdTran SRG 834-5, позволяющая нарушителю выполнить произвольные команды операционной системы |
| BDU:2024-06257 | Уязвимость компонента Personalization платформы разработки веб-приложений Oracle Applications Framework системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на чтение, изме... |
| BDU:2024-06259 | Уязвимость компонента GL Accounts программного средства для управления торговыми операциями Oracle Trade Management системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на... |
| BDU:2024-06260 | Уязвимость компонента Quality Management Specs приложения управления процессами разработки Oracle Process Manufacturing (OPM) Product Development системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить... |
| BDU:2024-06581 | Уязвимость компонента Analytics Web Answers программной платформы Oracle Business Intelligence Enterprise Edition, позволяющая нарушителю получить доступ на изменение или добавление данных |
| BDU:2024-06810 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищаемую информаци... |
| BDU:2024-06811 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищаемую информаци... |
| BDU:2024-06812 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищаемую информаци... |
| BDU:2024-06813 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищаемую информаци... |
| BDU:2024-06814 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-06824 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-07227 | Уязвимость службы Remote Desktop Licensing Service операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-07247 | Уязвимость компонента Forklift Controller инструмента миграции для виртуализации Red Hat Migration Toolkit for Virtualization, позволяющая нарушителю раскрыть защищаемую информации |
| BDU:2024-07400 | Уязвимость компонента Hot Backup File системы управления базами данных MongoDB, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-07610 | Уязвимость веб-браузера Firefox, связанная с недостатками процедуры авторизации, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-07665 | Уязвимость сервера Expressway-E устройств управления конференц-связью Cisco Expressway Series и Cisco Telepresence VCS, позволяющая нарушителю выдать себя за другого пользователя в затронутой системе |
| BDU:2024-07727 | Уязвимость службы импорта NMAP инструмента для обнаружения и управления ИТ-активами HCL BigFix Enterprise Suite Asset Discovery, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07793 | Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco Small Business RV340, RV340W, RV345 и RV345P Dual WAN Gigabit VPN Routers, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07857 | Уязвимость почтового клиента Microsoft Outlook для iOS, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-07862 | Уязвимость консоли управления Ivanti Workspace Control, связанная с обходом аутентификации посредством спуфинга, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07943 | Уязвимость реализации сетевого протокола аутентификации Kerberos операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08123 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08210 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-08221 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-08259 | Уязвимость компонента Field Service Engineer Portal платформы управления выездным обслуживанием Oracle Field Service системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавлен... |
| BDU:2024-08260 | Уязвимость компонента Query пакета бизнес-приложений Oracle PeopleSoft Enterprise PeopleTools, позволяющая нарушителю получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08261 | Уязвимость компонента Site Hierarchy Flows системы хранения и управления данными о сайтах Oracle Site Hub системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удален... |
| BDU:2024-08294 | Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании |
| BDU:2024-08297 | Уязвимость компонента Quality Manager Specification приложения управления процессами разработки Oracle Process Manufacturing (OPM) Product Development системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю полу... |
| BDU:2024-08336 | Уязвимость компонента InnoDB системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-08373 | Уязвимость компонента Messages программного средства управления производственными процессами Oracle Work in Process системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на... |
| BDU:2024-08440 | Уязвимость компонента Server: Thread Pooling системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-08446 | Уязвимость компонента Database Core Component системы управления базами данных Oracle Database Server, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных |
| BDU:2024-08455 | Уязвимость компонента Common Components платформы управления финансами Oracle Financials системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удале... |
| BDU:2024-08456 | Уязвимость компонента Authoring платформы управления контрактами Oracle Service Contracts системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удал... |
| BDU:2024-08457 | Уязвимость компонента Award Processes платформы управления процессами закупок Oracle Contract Lifecycle Management for Public Sector системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкциониро... |
| BDU:2024-08459 | Уязвимость компонента Auctions платформы управления поставками Oracle Sourcing системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удаление данных |
| BDU:2024-08461 | Уязвимость компонента Device Integration программного средства управления производственными процессами Oracle MES for Process Manufacturing системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанк... |
| BDU:2024-08468 | Уязвимость компонента Global Payroll for Core приложения PeopleSoft Enterprise HCM Global Payroll Core, позволяющая нарушителю получить несанкционированный доступ на чтение, создание, изменение и удаление данных |
| BDU:2024-08497 | Уязвимость компонента Jolokia Endpoint программной платформы Apache ActiveMQ Artemis, позволяющая нарушителю записывать произвольные файлы |
| BDU:2024-08502 | Уязвимость компонента Connector/ODBC драйвера MySQL Connectors системы управления базами данных Oracle MySQL, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании |
| BDU:2024-08542 | Уязвимость интерфейса программного средства управления проектами и задачами JetBrains YouTrack, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08549 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08571 | Уязвимость компонента OSB Core Functionality интеграционной платформы для управления, маршрутизации и обработки сообщений между приложениями и сервисами Oracle Service Bus (OSB), позволяющая нарушителю получить несанкционированный доступ к защищаемой... |
| BDU:2024-08597 | Уязвимость компонента Reports платформы управления ликвидностью Oracle Banking Liquidity Management, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2024-08601 | Уязвимость компонента User Interface приложения для взаимодействия с клиентами Oracle Quoting системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на чтение, добавление, из... |
| BDU:2024-08606 | Уязвимость компонента Reports платформы для управления ликвидностью Oracle Banking Liquidity Management, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2024-08733 | Уязвимость программного обеспечения TrueConf Server, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить информацию о пользователях системы |
| BDU:2024-08753 | Уязвимость компонента Enterprise Learning Management пакета бизнес-приложений Oracle PeopleSoft Enterprise, позволяющая нарушителю, действующему удаленно, получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08796 | Уязвимость средства антивирусной защиты Trend Micro Antivirus One операционных систем MacOS, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-08880 | Уязвимость функционального веб-фреймворка WebFlux.fn программной платформы Spring Framework, позволяющая нарушителю оказать воздействие на конфидециальность, целостность и доступность защищаемой информации |
| BDU:2024-08902 | Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, создание, изменение и удаление данных или вызвать отказ в обслуживании |
| BDU:2024-08968 | Уязвимость микропрограммного обеспечения роутеров TOTOLINK LR350, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-09088 | Уязвимость программного обеспечения для обслуживания клиентов и продаж Zendesk, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-09107 | Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco Small Business RV340, RV340W, RV345 и RV345P Dual WAN Gigabit VPN Routers, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-09161 | Уязвимость веб-интерфейса операционных систем Cisco IOS и IOS XE, позволяющая нарушителю осуществить CSRF-атаку |
| BDU:2024-09191 | Уязвимость компонента Party Search UI программного средства для работы с клиентами Oracle Trading Community системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на чтение,... |
| BDU:2024-09624 | Уязвимость инструмента для организации и управления средами высокопроизводительных вычислений (HPC) Azure CycleCloud, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10213 | Уязвимость реализации прикладного программного интерфейса платформы управления сетевыми ресурсами Cisco Nexus Dashboard Fabric Controller (NDFC), связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-10262 | Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к элементам системы |
| BDU:2024-10263 | Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к элементам системы |
| BDU:2024-10377 | Уязвимость функций String.toLowerCase() и String.toUpperCase() Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, позволяющая нарушителю обойти процесс авторизации |
| BDU:2024-10777 | Уязвимость интерфейса универсальной системы мониторинга Zabbix, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-11059 | Уязвимость программного обеспечения для веб-конференций Adobe Connect, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-11254 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager (AEM), связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-11255 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager (AEM), связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-11311 | Уязвимость программного обеспечения визуализации данных Apache Superset, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных |
| BDU:2024-11338 | Уязвимость функции ServerConfig.PublicKeyCallback() библиотеки для языка программирования Go crypto, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-11376 | Уязвимость программной платформы создания веб-приложений Next.js, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-11488 | Уязвимость компонента PUT Request Handler системы построения CDN-сети Apache Traffic Control, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-11663 | Уязвимость программного средства для управления малым и средним бизнесом Microsoft Dynamics 365 Business Central, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00064 | Уязвимость компонента Shopping Cart системы создания, управления и персонализации интернет-магазинов Oracle iStore системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на чтение, изменение или... |
| BDU:2025-00084 | Уязвимость компонента FAB_ADD_SECURITY_API программного обеспечения визуализации данных Apache Superset, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00114 | Уязвимость реализации протокола LDAP пакета программ сетевого взаимодействия Samba, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00151 | Уязвимость функции hci_user_confirm_request_evt() в модуле net/bluetooth/hci_event.c ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-00358 | Уязвимость программы установки App Package Installer операционных систем Microsoft Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00427 | Уязвимость функции пользовательского интерфейса администратора "Configuration XML" системы непрерывной интеграции и доставки (CI/CD) GoCD, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00623 | Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение и удаление данных или вызвать отказ в обслуживании |
| BDU:2025-00624 | Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00625 | Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00626 | Уязвимость компонента Server: Optimizer системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00628 | Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00647 | Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00657 | Уязвимость компонента Web Access приложения для управления проектами Oracle Primavera P6 Enterprise Project Portfolio Management, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение, добавление или удаление данных |
| BDU:2025-00658 | Уязвимость компонента Cluster: General системы управления базами данных MySQL Cluster и компонента Server: Optimizer системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00864 | Уязвимость конфигурации social_group_flexible_group модуля Open Social CMS-системы Drupal, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00909 | Уязвимость функции JSON-RPC API программного средства автоматизации Cisco Crosswork Network Services Orchestrator (NSO) и ConfD, используемой веб-интерфейсами управления Cisco Optical Site Manager и гигабитных VPN-маршрутизаторов Cisco RV340 Dual WAN... |
| BDU:2025-01519 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой инф... |
| BDU:2025-01537 | Уязвимость пакета программ Microsoft SharePoint, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-01644 | Уязвимость компонента OSB Core Functionality интеграционной платформы для управления, маршрутизации и обработки сообщений между приложениями и сервисами Oracle Service Bus (OSB), позволяющая нарушителю получить несанкционированный доступ к защищаемой... |
| BDU:2025-02014 | Уязвимость микропрограммного обеспечения сетевых адаптеров Intel Ethernet Connection I219, связанная с неправильной авторизацией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02047 | Уязвимость программных продуктов ООО "НПО "МИР", связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-02225 | Уязвимость интерфейсов Check API и ListObjects системы авторизации OpenFGA, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-02394 | Уязвимость системы запуска и управления большими языковыми моделями (LLM) AnythingLLM, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02419 | Уязвимость программной платформы для разработки и управления онлайн магазинами Adobe Commerce B2B, связанная с нарушением принципов безопасного проектирования, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-02919 | Уязвимость функции SetUpnpSettings службыUPnP микропрограммного обеспечения маршрутизаторов D-link DIR-823G, позволяющая нарушителю изменить конфигурацию устройства |
| BDU:2025-03185 | Уязвимость механизма обработки заголовков x-middleware-subrequest программной платформы создания веб-приложений Next.js, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-03637 | Уязвимость платформы управления данными Microsoft Dataverse, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-03802 | Уязвимость сервера системы управления базами данных MongoDB, связанная с отсутствием процедуры авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации |
| BDU:2025-03861 | Уязвимость инструмента нагрузочного тестирования SIEM-систем Kraken Stress Testing Toolkit, вызванная недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-04025 | Уязвимость компонента PDFClass Handler платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04042 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-04223 | Уязвимость платформы для защищенного обмена данными MFlash, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04225 | Уязвимость пакетов программ Microsoft SharePoint Server и SharePoint Enterprise Server, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-04784 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-05130 | Уязвимость приложения Nextcloud calendar облачного программного обеспечения для создания и использования хранилища данных Nextcloud, связанная с неправильной авторизацией, позволяющая нарушителю обойти проверки авторизации |
| BDU:2025-05142 | Уязвимость операционных систем iOS, iPadOS, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-05154 | Уязвимость компонента org.xwiki.platform:xwiki-platform-wiki-rest-default платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-05397 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности и получ... |
| BDU:2025-05434 | Уязвимость службы автоматизации Azure Automation, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-05635 | Уязвимость компонента API универсальной системы мониторинга Zabbix, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06181 | Уязвимость механизма PKI платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-06261 | Уязвимость компонента CRD AdmissionPolicyGroup контроллера в кластере Kubernetes kubewarden-controller, позволяющая нарушителю получить несанкционированный доступ на изменение данных или раскрыть защищаемую информацию |
| BDU:2025-06358 | Уязвимость пакета org.xwiki.platform:xwiki-platform-security-authorization-bridge платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-06412 | Уязвимость набора правил AdmissionPolicy и AdmissionPolicyGroup контроллера в кластере Kubernetes kubewarden-controller, позволяющая нарушителю получить несанкционированный доступ на изменение данных или раскрыть защищаемую информацию |
| BDU:2025-06415 | Уязвимость компонента Activity Guide Composer набора инструментов для управления и обработки данных PeopleSoft Enterprise CC Common Application Objects, позволяющая нарушителю получить несанкционированный доступ на чтение, добавление, изменение или у... |
| BDU:2025-06793 | Уязвимость средства мониторинга Synthetics сервиса визуализации данных Kibana, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-07182 | Уязвимость технологической платформы "1С:Предприятие 8", связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2025-07422 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager (AEM), связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-07540 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-07726 | Уязвимость программного обеспечения Blitz Identity Provider, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08527 | Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Server Subscription Edition и Microsoft SharePoint Enterprise Server, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-08594 | Уязвимость программной платформы Ruby on Rails, связанная с неправильной авторизацией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08655 | Уязвимость компонента Web Container сервера приложения Oracle WebLogic Server, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2025-08994 | Уязвимость компонента Link Handler браузера Mozilla Firefox, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-09290 | Уязвимость модуля DdlNodes.epp системы управления базами данных "Ред База Данных", позволяющая нарушителю получить доступ на изменение данных |
| BDU:2025-09502 | Уязвимость компонента Managed Configuration операционных систем macOS, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-09529 | Уязвимость функции SetDDNSSettings() (/HNAP1/) компонента DDNS Service микропрограммного обеспечения маршрутизаторов D-Link DIR-823G, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-09776 | Уязвимость функций "Add Webhook" и "Test Webhook" компонента Webhook Feature программной платформы управления сетевой инфраструктурой Versa Director, позволяющая нарушителю выполнить произвольные команды, повысить свои привилегии или выполнить произв... |
| BDU:2025-10037 | Уязвимость веб-консоли для создания и управления ресурсами Azure Portal, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-10091 | Уязвимость программного обеспечения визуализации данных Apache Superset, связанная с неправильным контролем доступа в конечной точке /explore, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10868 | Уязвимость системы управления конфигурациями и удалённого выполнения операций Salt, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к системе от имени произвольного пользователя |
| BDU:2025-11289 | Уязвимость компонента IOKit операционных систем iOS, iPadOS, tvOS, watchOS, macOS, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации |
| BDU:2025-11597 | Уязвимость универсальной системы мониторинга Zabbix, связана с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-11726 | Уязвимость сервера системы управления базами данных MongoDB, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-11761 | Уязвимость компонента Job Invocation пакета tfm-rubygem-foreman_ansible, позволяющая нарушителю раскрыть конфиденциальную информацию |
| BDU:2025-11983 | Уязвимость компонента driver-ops.h ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12382 | Уязвимость драйвера виртуальных графических процессоров NVIDIA Virtual GPU, связанная с неверной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-12642 | Уязвимость системы управления "Ассистент", связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2025-12703 | Уязвимость функций con_fault_finish() и clear_standby() модуля net/ceph/messenger.c ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-12935 | Уязвимость компонента Runtime UI приложения Oracle Configurator системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13076 | Уязвимость службы кэширования данных Azure Managed Redis и Azure Cache for Redis Enterprise, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-13415 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13416 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13417 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13418 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13419 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13420 | Уязвимость модуля Portfolio room облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13422 | Уязвимость модуля External Reports облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13436 | Уязвимость API-интерфейса скриптов компилятора LESS платформы создания совместных веб-приложений XWiki Platform XWiki , позволяющая нарушителю замедлить время работы платформы |
| BDU:2025-13450 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13452 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13457 | Уязвимость функции подписки Subscribe облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13736 | Уязвимость программного обеспечения TrueConf Server, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-14014 | Уязвимость компонента Omnibox браузеров Google Chrome и Microsoft Edge, выполнить подмену пользовательского интерфейса |
| BDU:2025-14640 | Уязвимость набора инструментов для работы с протоколом OpenID Connect, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-14797 | Уязвимость компонента Dynamics OmniChannel SDK Storage Containers программного средства для планирования ресурсов Microsoft Dynamics 365, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-14855 | Уязвимость операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15101 | Уязвимость функции panthor_device_mmap_io() модуля drivers/gpu/drm/panthor/panthor_device.c - драйвера поддержки инфраструктуры прямого рендеринга (DRI) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15611 | Уязвимость виртуальной обучающей среды Moodle, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-15617 | Уязвимость функции file_transfer() программного обеспечения для обеспечения безопасности SINEC Security Monitor, позволяющая нарушителю получить доступ на чтение и запись произвольных файлов |
| BDU:2025-15869 | Уязвимость компонента Object and Environment Tech системы управления ресурсами предприятия JD Edwards EnterpriseOne Tools, позволяющая нарушителю получить доступ на чтение, изменение и удаление данных |
| BDU:2025-15966 | Уязвимость конечной точки API system/stop службы Elasticsearch программного средства мониторинга и анализа логов Nagios Log Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16398 | Уязвимость платформы на базе искуственного интеллекта LibreChat, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00012 | Уязвимость сервиса визуализации данных Kibana, связанная с ошибками авторизации, позволяющая нарушителю повысить привилегии |
| BDU:2026-00110 | Уязвимость программного обеспечения kcp, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2026-00297 | Уязвимость библиотеки crypto++ языка программирования C++, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2026-00544 | Уязвимость функции futimes() программной платформы Node.js, позволяющая нарушителю получить доступ на изменение файлов |
| BDU:2026-00581 | Уязвимость средства регистрации посылок и отправлений Incoming Goods Suite, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00757 | Уязвимость программного обеспечения централизованного сбора, анализа и хранения логов Graylog, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2026-00837 | Уязвимость облачной платформы для управления и защиты идентификационных данных Microsoft Entra ID (ранее Azure Active Directory), связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2026-01230 | Уязвимость функции isAccessAllowed() программного средства управления и запуска OCI-контейнеров Podman, позволяющая нарушителю обойти существующие ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2026-01497 | Уязвимость плагина Rule Based Authorization Plugin поискового сервера Apache Solr, позволяющая нарушителю отправлять произвольные HTTP-запросы |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-2349 | Emerson DeltaV Use of Improper Authorization |
| CVE-2015-10033 | jvvlee MerlinsBoard Grade improper authorization |
| CVE-2015-3954 | Hospira Plum A+ Infusion System version 13.4 and prior, Plum A+3 Infusion System version 13.6 and prior, and Symbiq Infusion... |
| CVE-2016-7035 | An authorization flaw was found in Pacemaker before 1.1.16, where it did not properly guard its IPC interface. An attacker wi... |
| CVE-2016-7071 | It was found that the CloudForms before 5.6.2.2, and 5.7.0.7 did not properly apply permissions controls to VM IDs passed by... |
| CVE-2016-7077 | foreman before 1.14.0 is vulnerable to an information leak. It was found that Foreman form helper does not authorize options... |
| CVE-2016-7078 | foreman before version 1.15.0 is vulnerable to an information leak through organizations and locations feature. When a user i... |
| CVE-2016-9464 | Nextcloud Server before 9.0.54 and 10.0.0 suffers from an improper authorization check on removing shares. The Sharing Backen... |
| CVE-2017-0892 | Nextcloud Server before 11.0.3 is vulnerable to an improper session handling allowed an application specific password without... |
| CVE-2017-0894 | Nextcloud Server before 11.0.3 is vulnerable to disclosure of valid share tokens for public calendars due to a logical error.... |
| CVE-2017-0895 | Nextcloud Server before 10.0.4 and 11.0.2 are vulnerable to disclosure of calendar and addressbook names to other logged-in u... |
| CVE-2017-0896 | Zulip Server 1.5.1 and below suffer from an error in the implementation of the invite_by_admins_only setting in the Zulip gro... |
| CVE-2017-0926 | Gitlab Community Edition version 10.3 is vulnerable to an improper authorization issue in the Oauth sign-in component resulti... |
| CVE-2017-0927 | Gitlab Community Edition version 10.3 is vulnerable to an improper authorization issue in the deployment keys component resul... |
| CVE-2017-1002151 | Pagure 3.3.0 and earlier is vulnerable to loss of confidentially due to improper authorization |
| CVE-2017-11398 | A session hijacking via log disclosure vulnerability in Trend Micro Smart Protection Server (Standalone) versions 3.2 and bel... |
| CVE-2017-12160 | It was found that Keycloak oauth would permit an authenticated resource to obtain an access/refresh token pair from the authe... |
| CVE-2017-16726 | Beckhoff TwinCAT supports communication over ADS. ADS is a protocol for industrial automation in protected environments. ADS... |
| CVE-2017-16743 | An Improper Authorization issue was discovered in PHOENIX CONTACT FL SWITCH 3xxx, 4xxx, and 48xxx Series products running fir... |
| CVE-2017-16773 | Improper authorization vulnerability in Highlight Preview in Synology Universal Search before 1.0.5-0135 allows remote authen... |
| CVE-2017-2589 | It was discovered that the hawtio servlet 1.4 uses a single HttpClient instance to proxy requests with a persistent cookie st... |
| CVE-2017-2632 | A logic error in valid_role() in CloudForms role validation before 5.7.1.3 could allow a tenant administrator to create group... |
| CVE-2017-2686 | Siemens RUGGEDCOM ROX I (all versions) contain a vulnerability that could allow an authenticated user to read arbitrary files... |
| CVE-2017-2689 | Siemens RUGGEDCOM ROX I (all versions) allow an authenticated user to bypass access restrictions in the web interface at port... |
| CVE-2017-6044 | An Improper Authorization issue was discovered in Sierra Wireless AirLink Raven XE, all versions prior to 4.0.14, and AirLink... |
| CVE-2017-7484 | It was found that some selectivity estimation functions in PostgreSQL before 9.2.21, 9.3.x before 9.3.17, 9.4.x before 9.4.12... |
| CVE-2017-9268 | open-build-service retrigger / wipebinaries hitting the wrong project bypassing access permissions |
| CVE-2018-0391 | A vulnerability in the password change function of Cisco Prime Collaboration Provisioning could allow an authenticated, remot... |
| CVE-2018-0393 | A Read-Only User Effect Change vulnerability in the Policy Builder interface of Cisco Policy Suite could allow an authenticat... |
| CVE-2018-0459 | Cisco Enterprise NFV Infrastructure Software Denial of Service Vulnerability |
| CVE-2018-0460 | Cisco Enterprise NFV Infrastructure Software Information Disclosure Vulnerability |
| CVE-2018-1082 | A flaw was found in Moodle 3.4 to 3.4.1, and 3.3 to 3.3.4. If a user account using OAuth2 authentication method was once conf... |
| CVE-2018-10861 | A flaw was found in the way ceph mon handles user requests. Any authenticated ceph user having read access to ceph can delete... |
| CVE-2018-10906 | In fuse before versions 2.9.8 and 3.x before 3.2.5, fusermount is vulnerable to a restriction bypass when SELinux is active.... |
| CVE-2018-1113 | setup before version 2.11.4-1.fc28 in Fedora and Red Hat Enterprise Linux added /sbin/nologin and /usr/sbin/nologin to /etc/s... |
| CVE-2018-1116 | A flaw was found in polkit before version 0.116. The implementation of the polkit_backend_interactive_authority_check_authori... |
| CVE-2018-12466 | openbuildservice allowed deleting packages via project links |
| CVE-2018-12467 | delete package via link exploit in open buildservice |
| CVE-2018-14637 | The SAML broker consumer endpoint in Keycloak before version 4.6.0.Final ignores expiration conditions on SAML assertions. An... |
| CVE-2018-14662 | It was found Ceph versions before 13.2.4 that authenticated ceph users with read only permissions could steal dm-crypt encryp... |
| CVE-2018-14666 | An improper authorization flaw was found in the Smart Class feature of Foreman. An attacker can use it to change configuratio... |
| CVE-2018-15405 | Cisco Integrated Management Controller Supervisor and Cisco UCS Director Authenticated Web Interface Information Disclosure V... |
| CVE-2018-15465 | Cisco Adaptive Security Appliance Software Privilege Escalation Vulnerability |
| CVE-2018-17933 | VGo Robot (Versions 3.0.3.52164 and 3.0.3.53662. Prior versions may also be affected) connected to the VGo XAMPP. User accoun... |
| CVE-2018-3778 | Improper authorization in aedes version <0.35.0 will publish a LWT in a channel when a client is not authorized. |
| CVE-2018-3829 | In Elastic Cloud Enterprise (ECE) versions prior to 1.1.4 it was discovered that a user could scale out allocators on new hos... |
| CVE-2018-9867 | In SonicWall SonicOS, administrators without full permissions can download imported certificates. Occurs when administrators... |
| CVE-2019-10154 | A flaw was found in Moodle before versions 3.7, 3.6.4. A web service fetching messages was not restricted to the current user... |
| CVE-2019-10159 | cfme-gemset versions 5.10.4.3 and below, 5.9.9.3 and below are vulnerable to a data leak, due to an improper authorization in... |
| CVE-2019-12635 | Cisco Content Security Management Appliance Information Disclosure Vulnerability |
| CVE-2019-12671 | Cisco IOS XE Software Consent Token Bypass Vulnerability |
| CVE-2019-13416 | Search Guard versions before 24.3 had an issue when Cross Cluster Search (CCS) was enabled, authenticated users are always au... |
| CVE-2019-13528 | A specific utility may allow an attacker to gain read access to privileged files in the Niagara AX 3.8u4 (JACE 3e, JACE 6e, J... |
| CVE-2019-13550 | In WebAccess, versions 8.4.1 and prior, an improper authorization vulnerability may allow an attacker to disclose sensitive i... |
| CVE-2019-13554 | GE Mark VIe Controller has an unsecured Telnet protocol that may allow a user to create an authenticated session using generi... |
| CVE-2019-14828 | A vulnerability was found in Moodle affecting 3.7 to 3.7.1, 3.6 to 3.6.5, 3.5 to 3.5.7 and earlier unsupported versions, wher... |
| CVE-2019-14870 | All Samba versions 4.x.x before 4.9.17, 4.10.x before 4.10.11 and 4.11.x before 4.11.3 have an issue, where the S4U (MS-SFU)... |
| CVE-2019-14883 | A vulnerability was found in Moodle 3.6 before 3.6.7 and 3.7 before 3.7.3, where tokens used to fetch inline atachments in em... |
| CVE-2019-15610 | Improper authorization in the Circles app 0.17.7 causes retaining access when an email address was removed from a circle. |
| CVE-2019-15990 | Cisco Small Business Routers RV016, RV042, RV042G, and RV082 Information Disclosure Vulnerability |
| CVE-2019-1603 | Cisco NX-OS Software Privilege Escalation Vulnerability |
| CVE-2019-1604 | Cisco NX-OS Software Privilege Escalation Vulnerability |
| CVE-2019-17631 | From Eclipse OpenJ9 0.15 to 0.16, access to diagnostic operations such as causing a GC or creating a diagnostic file are perm... |
| CVE-2019-1842 | Cisco IOS XR Software Secure Shell Authentication Vulnerability |
| CVE-2019-1851 | Cisco Identity Services Engine Arbitrary Client Certificate Creation Vulnerability |
| CVE-2019-1859 | Cisco Small Business Switches Secure Shell Certificate Authentication Bypass Vulnerability |
| CVE-2019-1863 | Cisco Integrated Management Controller Privilege Escalation Vulnerability |
| CVE-2019-1897 | Cisco RV110W, RV130W, and RV215W Routers Denial of Service Vulnerability |
| CVE-2019-1898 | Cisco RV110W, RV130W, and RV215W Routers Unauthenticated syslog File Access Vulnerability |
| CVE-2019-1899 | Cisco RV110W, RV130W, and RV215W Routers Information Disclosure Vulnerability |
| CVE-2019-1907 | Cisco Integrated Management Controller Substring Comparison Privilege Escalation Vulnerability |
| CVE-2019-1912 | Cisco Small Business 220 Series Smart Switches Authentication Bypass Vulnerability |
| CVE-2019-1934 | Cisco Adaptive Security Appliance Software Web-Based Management Interface Privilege Escalation Vulnerability |
| CVE-2019-2386 | Authorization session conflation |
| CVE-2019-3641 | Exploitation of Authorization in TIE Server |
| CVE-2019-3764 | Dell EMC iDRAC7 versions prior to 2.65.65.65, iDRAC8 versions prior to 2.70.70.70 and iDRAC9 versions prior to 3.36.36.36 con... |
| CVE-2019-3785 | Cloud Controller provides signed URL with write authorization to read only user |
| CVE-2019-3820 | It was discovered that the gnome-shell lock screen since version 3.15.91 did not properly restrict all contextual actions. An... |
| CVE-2019-3842 | In systemd before v242-rc4, it was discovered that pam_systemd does not properly sanitize the environment before using the XD... |
| CVE-2019-3849 | A vulnerability was found in moodle before versions 3.6.3, 3.5.5 and 3.4.8. Users could assign themselves an escalated role w... |
| CVE-2019-6581 | A vulnerability has been identified in Siveillance VMS 2017 R2 (All versions < V11.2a), Siveillance VMS 2018 R1 (All versions... |
| CVE-2019-6582 | A vulnerability has been identified in Siveillance VMS 2017 R2 (All versions < V11.2a), Siveillance VMS 2018 R1 (All versions... |
| CVE-2019-7479 | A vulnerability in SonicOS allow authenticated read-only admin can elevate permissions to configuration mode. This vulnerabil... |
| CVE-2019-7489 | A vulnerability in SonicWall Email Security appliance allow an unauthenticated user to perform remote code execution. This vu... |
| CVE-2020-10516 | Improper access control in GitHub Enterprise Server leading to privilege escalation of organization member |
| CVE-2020-10517 | Improper access control in GitHub Enterprise Server leading to the enumeration of private repository names |
| CVE-2020-10620 | Opto 22 SoftPAC Project Version 9.6 and prior. SoftPAC communication does not include any credentials. This allows an attacke... |
| CVE-2020-10686 | A flaw was found in Keycloak version 8.0.2 and 9.0.0, and was fixed in Keycloak version 9.0.1, where a malicious user registe... |
| CVE-2020-10716 | A flaw was found in Red Hat Satellite's Job Invocation, where the "User Input" entry was not properly restricted to the view.... |
| CVE-2020-10736 | An authorization bypass vulnerability was found in Ceph versions 15.2.0 before 15.2.2, where the ceph-mon and ceph-mgr daemon... |
| CVE-2020-14486 | OpenClinic GA |
| CVE-2020-15084 | Authorization bypass in express-jwt |
| CVE-2020-15087 | Privilege escalation in Presto |
| CVE-2020-16096 | In Gallagher Command Centre versions 8.10 prior to 8.10.1134(MR4), 8.00 prior to 8.00.1161(MR5), 7.90 prior to 7.90.991(MR5),... |
| CVE-2020-1690 | An improper authorization flaw was discovered in openstack-selinux's applied policy where it does not prevent a non-root user... |
| CVE-2020-1720 | A flaw was found in PostgreSQL's "ALTER ... DEPENDS ON EXTENSION", where sub-commands did not perform authorization checks. A... |
| CVE-2020-1745 | A file inclusion vulnerability was found in the AJP connector enabled with a default AJP configuration port of 8009 in Undert... |
| CVE-2020-17517 | Ozone S3 Gateway allows bucket and key access to non authenticated users |
| CVE-2020-1908 | Improper authorization of the Screen Lock feature in WhatsApp and WhatsApp Business for iOS prior to v2.20.100 could have per... |
| CVE-2020-1998 | PAN-OS: Improper SAML SSO authorization of shared local users |
| CVE-2020-2050 | PAN-OS: Authentication bypass vulnerability in GlobalProtect SSL VPN client certificate verification |
| CVE-2020-24403 | Incorrect permissions could lead to unauthorized modification of inventory source data via REST API |
| CVE-2020-24404 | Incorrect permissions in Integrations component could lead to unauthorized deletion of cmsPages via REST API |
| CVE-2020-24405 | Incorrect permissions in Inventory module could lead to unauthorized modification of inventory stock data |
| CVE-2020-24431 | Acrobat Reader DC for macOS Dynamic Library Injection Vulnerability |
| CVE-2020-24674 | Improper Authorization in Symphony Plus |
| CVE-2020-25716 | A flaw was found in Cloudforms. A role-based privileges escalation flaw where export or import of administrator files is poss... |
| CVE-2020-26183 | Dell EMC NetWorker versions prior to 19.3.0.2 contain an improper authorization vulnerability. Certain remote users with low... |
| CVE-2020-26246 | Authorization bypass in Pimcore |
| CVE-2020-27779 | A flaw was found in grub2 in versions prior to 2.06. The cutmem command does not honor secure boot locking allowing an privil... |
| CVE-2020-3150 | Cisco Small Business RV110W and RV215W Series Routers Information Disclosure Vulnerability |
| CVE-2020-3267 | Cisco Unified Contact Center Express Improper API Authorization Vulnerability |
| CVE-2020-3374 | Cisco SD-WAN vManage Software Authorization Bypass Vulnerability |
| CVE-2020-3386 | Cisco Data Center Network Manager Improper Authorization Vulnerability |
| CVE-2020-3394 | Cisco Nexus 3000 and 9000 Series Switches Privilege Escalation Vulnerability |
| CVE-2020-3539 | Cisco Data Center Network Manager Authorization Bypass Vulnerability |
| CVE-2020-36841 | WooCommerce Smart Coupons <= 4.6.0 - Unauthenticated Coupon Creation |
| CVE-2020-5206 | Authentication Bypass For Endpoints With Anonymous Access in OpenCast |
| CVE-2020-5231 | Opencast users with ROLE_COURSE_ADMIN can create new users |
| CVE-2020-5232 | Ethereum Name Service - Malicious takeover of previously owned ENS names |
| CVE-2020-5240 | 2FA bypass through deleting devices in wagtail-2fa |
| CVE-2020-5250 | Possible information disclosure in PrestaShop |
| CVE-2020-5251 | Information disclosure in parse-server |
| CVE-2020-5275 | Firewall configured with unanimous strategy was not actually unanimous in symfony/security-http |
| CVE-2020-5289 | Read permissions not enforced for client provided filter expressions in Elide http client |
| CVE-2020-5318 | Dell EMC Isilon OneFS versions 8.1.2, 8.1.0.4, 8.1.0.3, and 8.0.0.7 contain a vulnerability in some configurations. An attack... |
| CVE-2020-5333 | RSA Archer, versions prior to 6.7 P3 (6.7.0.3), contain an authorization bypass vulnerability in the REST API. A remote authe... |
| CVE-2020-5356 | Dell PowerProtect Data Manager (PPDM) versions prior to 19.4 and Dell PowerProtect X400 versions prior to 3.2 contain an impr... |
| CVE-2020-5362 | Dell Client Consumer and Commercial platforms include an improper authorization vulnerability in the Dell Manageability inter... |
| CVE-2020-6311 | Banking services from SAP 9.0 (Bank Analyzer), version - 500, and SAP S/4HANA for financial products subledger, version � 100... |
| CVE-2020-7530 | A CWE-285 Improper Authorization vulnerability exists in SCADAPack 7x Remote Connect (V3.6.3.574 and prior) which allows impr... |
| CVE-2020-7583 | A vulnerability has been identified in Automation License Manager 5 (All versions), Automation License Manager 6 (All version... |
| CVE-2020-8119 | Improper authorization in Nextcloud server 17.0.0 causes leaking of previews and files when a file-drop share link is opened... |
| CVE-2020-8919 | Information leakage in Gerrit |
| CVE-2020-8920 | Overoptimization leads to private information leak in Gerrit |
| CVE-2020-9048 | victor Web Client - Arbitrary File Deletion Vulnerability |
| CVE-2020-9049 | victor Web Client and C•CURE Web Client JSON Web Token (JWT) Vulnerability |
| CVE-2020-9061 | Z-Wave devices using Silicon Labs 500 and 700 series chipsets, including but not likely limited to the SiLabs UZB-7 version 7... |
| CVE-2020-9081 | There is an improper authorization vulnerability in some Huawei smartphones. An attacker could perform a series of operation... |
| CVE-2021-0260 | Junos OS: SNMP fails to properly perform authorization checks on incoming received SNMP requests. |
| CVE-2021-1574 | Cisco Business Process Automation Privilege Escalation Vulnerabilities |
| CVE-2021-1576 | Cisco Business Process Automation Privilege Escalation Vulnerabilities |
| CVE-2021-21026 | Magento Commerce Incorrect permissions Could Lead To Unauthorized Access |
| CVE-2021-21096 | Adobe Bridge Genuine Software Service Incorrect Permission Assignment could lead to Denial-of-Service |
| CVE-2021-21362 | Bypassing readOnly policy by creating a temporary 'mc share upload' URL |
| CVE-2021-21432 | Reject unauthorized access with GitHub PATs |
| CVE-2021-21511 | Dell EMC Avamar Server, versions 19.3 and 19.4 contain an Improper Authorization vulnerability in the web UI. A remote low pr... |
| CVE-2021-22861 | Improper access control in GitHub Enterprise Server leading to unauthorized write access to forkable repositories |
| CVE-2021-22862 | Improper access control in GitHub Enterprise Server leading to the disclosure of Actions secrets to forks |
| CVE-2021-22863 | Improper access control in GitHub Enterprise Server leading to unauthorized changes to maintainer permissions on pull request... |
| CVE-2021-22865 | Improper access control in GitHub Enterprise Server leading to unauthorized read access to private repository metadata |
| CVE-2021-23136 | Improper Authorization vulnerability in Gallagher Command Centre Server allows macro overrides to be performed by an unprivil... |
| CVE-2021-23140 | Improper Authorization vulnerability in Gallagher Command Centre Server allows command line macros to be modified by an unaut... |
| CVE-2021-24188 | WP Content Copy Protection & No Right Click < 3.1.5 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24189 | Captchinoo, Google recaptcha for admin login page < 2.4 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24190 | WooCommerce Conditional Marketing Mailer < 1.5.2 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24191 | WP Maintenance Mode & Site Under Construction < 1.8.2 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24192 | Tree Sitemap < 2.9 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24193 | Visitor Traffic Real Time Statistics < 2.12 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24194 | Login Protection - Limit Failed Login Attempts < 2.9 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24195 | Login as User or Customer (User Switching) < 1.9 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-25351 | Improper Access Control in EmailValidationView in Samsung Account prior to version 10.7.0.7 and 12.1.1.3 allows physically pr... |
| CVE-2021-25352 | Using PendingIntent with implicit intent in Bixby Voice prior to version 3.0.52.14 allows attackers to execute privileged act... |
| CVE-2021-25353 | Using empty PendingIntent in Galaxy Themes prior to version 5.2.00.1215 allows local attackers to read/write private file dir... |
| CVE-2021-25354 | Improper input check in Samsung Internet prior to version 13.2.1.46 allows attackers to launch non-exported activity in Samsu... |
| CVE-2021-25355 | Using unsafe PendingIntent in Samsung Notes prior to version 4.2.00.22 allows local attackers unauthorized action without per... |
| CVE-2021-25373 | Using unsafe PendingIntent in Customization Service prior to version 2.2.02.1 in Android O(8.x), 2.4.03.0 in Android P(9.0),... |
| CVE-2021-25374 | An improper authorization vulnerability in Samsung Members "samsungrewards" scheme for deeplink in versions 2.4.83.9 in Andro... |
| CVE-2021-25381 | Using unsafe PendingIntent in Samsung Account in versions 10.8.0.4 in Android P(9.0) and below, and 12.1.1.3 in Android Q(10.... |
| CVE-2021-25382 | An improper authorization of using debugging command in Secure Folder prior to SMR Oct-2020 Release 1 allows unauthorized acc... |
| CVE-2021-25399 | Improper configuration in Smart Manager prior to version 11.0.05.0 allows attacker to access the file with system privilege. |
| CVE-2021-25417 | Improper authorization in SDP SDK prior to SMR JUN-2021 Release 1 allows access to internal storage. |
| CVE-2021-25433 | Improper authorization vulnerability in Tizen factory reset policy prior to Firmware update JUL-2021 Release allows untrusted... |
| CVE-2021-25459 | An improper access control vulnerability in sspInit() in BlockchainTZService prior to SMR Sep-2021 Release 1 allows attackers... |
| CVE-2021-25460 | An improper access control vulnerability in sspExit() in BlockchainTZService prior to SMR Sep-2021 Release 1 allows attackers... |
| CVE-2021-25499 | Intent redirection vulnerability in SamsungAccountSDKSigninActivity of Galaxy Store prior to version 4.5.32.4 allows attacker... |
| CVE-2021-25507 | Improper authorization vulnerability in Samsung Flow mobile application prior to 4.8.03.5 allows Samsung Flow PC application... |
| CVE-2021-25521 | Insecure caller check in sharevia deeplink logic prior to Samsung Internet 16.0.2 allows unstrusted applications to get curre... |
| CVE-2021-25973 | Publify - Improper Authorization Leads to Guest Signup Restriction Bypass |
| CVE-2021-27663 | CEM Systems AC2000 |
| CVE-2021-27772 | HCL Sametime is vulnerable to an information disclosure |
| CVE-2021-28500 | An issue has recently been discovered in Arista EOS where the incorrect use of EOS's AAA API’s by the OpenConfig and TerminAt... |
| CVE-2021-28501 | An issue has recently been discovered in Arista EOS where the incorrect use of EOS's AAA API’s by the OpenConfig and TerminAt... |
| CVE-2021-28506 | An issue has recently been discovered in Arista EOS where certain gNOI APIs incorrectly skip authorization and authentication... |
| CVE-2021-28563 | Magento Commerce improper Authorization via the 'Create Customer' endpoint |
| CVE-2021-28567 | Magento Commerce improper authorization allows an authenticated user to perform certain functions without permission |
| CVE-2021-28626 | Adobe Experience Manager Improper Authorization at /content/usergenerated |
| CVE-2021-28799 | Improper Authorization Vulnerability in HBS 3 (Hybrid Backup Sync) |
| CVE-2021-3044 | Cortex XSOAR: Unauthorized Usage of the REST API |
| CVE-2021-3049 | Cortex XSOAR: Improper Authorization of Incident Investigations Vulnerability |
| CVE-2021-31384 | Junos OS: SRX Series: Under a specific device configuration an attacker can access the devices J-Web management services from... |
| CVE-2021-32523 | QSAN Storage Manager - Improper Authorization |
| CVE-2021-32619 | Static imports inside dynamically imported modules do not adhere to permission checks |
| CVE-2021-32620 | Users registered with email verification can self re-activate their disabled accounts |
| CVE-2021-32688 | Application specific tokens can change their own scope |
| CVE-2021-33723 | A vulnerability has been identified in SINEC NMS (All versions < V1.0 SP2 Update 1). An authenticated attacker could change t... |
| CVE-2021-34434 | In Eclipse Mosquitto versions 2.0 to 2.0.11, when using the dynamic security plugin, if the ability for a client to make subs... |
| CVE-2021-35964 | Learningdigital.com, Inc. Orca HCM - Broken Authentication |
| CVE-2021-36029 | Magento Commerce Improper Authorization Vulnerability Could Lead To Remote Code Execution |
| CVE-2021-36037 | Magento Commerce Improper Authorization Vulnerability Could Lead To Information Exposure |
| CVE-2021-3616 | A vulnerability was reported in Lenovo Smart Camera X3, X5, and C2E that could allow an unauthorized user to view device info... |
| CVE-2021-36276 | Dell DBUtilDrv2.sys driver (versions 2.5 and 2.6) contains an insufficient access control vulnerability which may lead to esc... |
| CVE-2021-36311 | Dell EMC Networker versions prior to 19.5 contain an Improper Authorization vulnerability. Any local malicious user with netw... |
| CVE-2021-37705 | Improper Authorization and Origin Validation Error in OneFuzz |
| CVE-2021-3837 | Improper Authorization in openwhyd/openwhyd |
| CVE-2021-38486 | InHand Networks IR615 Router |
| CVE-2021-39317 | AccessPress Themes - Authenticated Malicious File Upload |
| CVE-2021-39341 | OptinMonster <= 2.6.4 Unprotected REST-API Endpoints |
| CVE-2021-3991 | Improper Authorization in dolibarr/dolibarr |
| CVE-2021-41093 | Account takeover when having only access to a user's short lived token |
| CVE-2021-41100 | Account takeover when having only access to a user's short lived token in wire-server |
| CVE-2021-41137 | Bypassing policy restrictions on regular users |
| CVE-2021-41308 | Affected versions of Atlassian Jira Server and Data Center allow authenticated yet non-administrator remote attackers to edit... |
| CVE-2021-41313 | Affected versions of Atlassian Jira Server and Data Center allow authenticated but non-admin remote attackers to edit email b... |
| CVE-2021-41564 | Tad Honor - Improper Authorization |
| CVE-2021-41568 | Tad Web - Improper Authorization |
| CVE-2021-41974 | Tad Book3 - Improper Authorization |
| CVE-2021-41975 | Tad TadTools - Improper Authorization |
| CVE-2021-41976 | Tad Uploader - Improper Authorization |
| CVE-2021-42000 | Ping Identity PingFederate Password Reset and Password Change Mishandling with an authentication policy in parallel reset flo... |
| CVE-2021-42126 | An improper authorization control vulnerability exists in Ivanti Avalanche before 6.3.3 allows an attacker with access to the... |
| CVE-2021-42330 | ShinHer Information Co., LTD. ShinHer StudyOnline System - Improper Authorization-1 |
| CVE-2021-42331 | ShinHer Information Co., LTD. ShinHer StudyOnline System - Improper Authorization-2 |
| CVE-2021-42332 | ShinHer Information Co., LTD. ShinHer StudyOnline System - Improper Authorization-3 |
| CVE-2021-42336 | Huachu Digital Technology Co.,Ltd. Easytest - Improper Authorization |
| CVE-2021-42337 | TVN-202110009 |
| CVE-2021-42338 | 4MOSAn GCB Doctor - Improper Authorization |
| CVE-2021-43847 | Authorization Bypass in Space Invite in HumHub |
| CVE-2021-43939 | Elcomplus SmartPtt Improper Authorization |
| CVE-2021-44204 | Local privilege escalation via named pipe due to improper access control checks |
| CVE-2022-0027 | Cortex XSOAR: Incorrect Authorization Vulnerability When Generating Reports |
| CVE-2022-0406 | Improper Authorization in janeczku/calibre-web |
| CVE-2022-0587 | Improper Authorization in librenms/librenms |
| CVE-2022-0821 | Improper Authorization in orchardcms/orchardcore |
| CVE-2022-0829 | Improper Authorization in webmin/webmin |
| CVE-2022-0860 | Improper Authorization in cobbler/cobbler |
| CVE-2022-1224 | Improper Authorization in phpipam/phpipam |
| CVE-2022-2019 | SourceCodester Prison Management System New User Creation improper authorization |
| CVE-2022-20921 | Cisco ACI Multi-Site Orchestrator Privilege Escalation Vulnerability |
| CVE-2022-21196 | Airspan Networks Mimosa Improper Authorization |
| CVE-2022-22267 | Implicit Intent hijacking vulnerability in ActivityMetricsLogger prior to SMR Jan-2022 Release 1 allows attackers to get runn... |
| CVE-2022-22268 | Incorrect implementation of Knox Guard prior to SMR Jan-2022 Release 1 allows physically proximate attackers to temporary unl... |
| CVE-2022-22269 | Keeping sensitive data in unprotected BluetoothSettingsProvider prior to SMR Jan-2022 Release 1 allows untrusted applications... |
| CVE-2022-22272 | Improper authorization in TelephonyManager prior to SMR Jan-2022 Release 1 allows attackers to get IMSI without READ_PRIVILEG... |
| CVE-2022-22288 | Improper authorization vulnerability in Galaxy Store prior to 4.5.36.5 allows remote app installation of the allowlist. |
| CVE-2022-23542 | OpenFGA Authorization Bypass |
| CVE-2022-2393 | A flaw was found in pki-core, which could allow a user to get a certificate for another user identity when directory-based au... |
| CVE-2022-24002 | Improper Authorization vulnerability in Link Sharing prior to version 12.4.00.3 allows attackers to open protected activity v... |
| CVE-2022-24083 | Password authentication bypass vulnerability for local accounts can be used to bypass local authentication checks. |
| CVE-2022-24894 | Symfony storing cookie headers in HttpCache |
| CVE-2022-2595 | Improper Authorization in kromitgmbh/titra |
| CVE-2022-26310 | Improper Authorization in User Management to Vertical Privilege Escalation |
| CVE-2022-2661 | Sequi PortBloque S Improper Authorization |
| CVE-2022-2675 | Unitree Go 1 "Robot Dog" Unauthenticated Remote Power Down |
| CVE-2022-26857 | Dell OpenManage Enterprise Versions 3.8.3 and prior contain an improper authorization vulnerability. A remote authenticated m... |
| CVE-2022-27583 | A remote unprivileged attacker can interact with the configuration interface of a Flexi-Compact FLX3-CPUC1 or FLX3-CPUC2 runn... |
| CVE-2022-28776 | Improper access control vulnerability in Galaxy Store prior to version 4.5.36.4 allows attacker to install applications from... |
| CVE-2022-2901 | Improper Authorization in chatwoot/chatwoot |
| CVE-2022-29233 | Improper access control for breakout rooms in BigBlue Button |
| CVE-2022-29234 | Grace period for lock settings in public/private chats in BigBlueButton |
| CVE-2022-29236 | Improper access control for pencil annotations in BigBlueButton |
| CVE-2022-29490 | A vulnerability exists in the Workplace X WebUI in which an authenticated user is able to execute any MicroSCADA internal scr... |
| CVE-2022-30670 | Escalate Privileges to Server Admin - Robohelp Server |
| CVE-2022-30717 | Improper caller check in AR Emoji prior to SMR Jun-2022 Release 1 allows untrusted applications to use some camera functions... |
| CVE-2022-30722 | Implicit Intent hijacking vulnerability in Samsung Account prior to SMR Jun-2022 Release 1 allows attackers to bypass user co... |
| CVE-2022-30730 | Improper authorization in Samsung Pass prior to 1.0.00.33 allows physical attackers to acess account list without authenticat... |
| CVE-2022-30746 | Missing caller check in Smart Things prior to version 1.7.85.12 allows attacker to access senstive information remotely using... |
| CVE-2022-30757 | Improper authorization in isemtelephony prior to SMR Jul-2022 Release 1 allows attacker to obtain CID without ACCESS_FINE_LOC... |
| CVE-2022-31025 | Invite bypasses user approval in Discourse |
| CVE-2022-31167 | XWiki Platform Security Parent POM vulnerable to overwriting of security rules of a page with a final page having the same re... |
| CVE-2022-31168 | Zulip Server insufficient authorization for changing bot roles |
| CVE-2022-31247 | Rancher: Downstream cluster privilege escalation through cluster and project role template binding (CRTB/PRTB) |
| CVE-2022-31609 | NVIDIA vGPU software contains a vulnerability in the Virtual GPU Manager (vGPU plugin), where it allows the guest VM to alloc... |
| CVE-2022-31666 | Harbor fails to validate user permissions while Viewing, updating and deleting Webhook policies |
| CVE-2022-31667 | Harbor fails to validate the user permissions when updating a robot account |
| CVE-2022-31668 | User permission validation failure and disclosure of P2P preheat execution logs |
| CVE-2022-31669 | Harbor fails to validate the user permissions when updating tag immutability policies |
| CVE-2022-31670 | Harbor fails to validate the user permissions when updating tag retention policies |
| CVE-2022-31671 | Harbor fails to validate the user permissions when reading and updating job execution logs through the P2P preheat execution... |
| CVE-2022-3187 | Dataprobe iBoot-PDU FW versions prior to 1.42.06162022 contain a vulnerability where certain PHP pages only validate when a v... |
| CVE-2022-32169 | bytebase - Improper Authorization |
| CVE-2022-32170 | bytebase - Improper Authorization |
| CVE-2022-3229 | Because the web management interface for Unified Intents' Unified Remote solution does not itself require authentication, a r... |
| CVE-2022-33702 | Improper authorization vulnerability in Knoxguard prior to SMR Jul-2022 Release 1 allows local attacker to disable keyguard a... |
| CVE-2022-33705 | Information exposure in Calendar prior to version 12.3.05.10000 allows attacker to access calendar schedule without READ_CALE... |
| CVE-2022-33712 | Intent redirection vulnerability using implict intent in Camera prior to versions 12.0.01.64 ,12.0.3.23, 12.0.0.98, 12.0.6.11... |
| CVE-2022-33713 | Implicit Intent hijacking vulnerability in Samsung Cloud prior to version 5.2.0 allows attacker to get sensitive information. |
| CVE-2022-33722 | Implicit Intent hijacking vulnerability in Smart View prior to SMR Aug-2022 Release 1 allows attacker to access connected dev... |
| CVE-2022-34256 | Adobe Commerce Improper Authorization Privilege escalation |
| CVE-2022-34405 | An improper access control vulnerability was identified in the Realtek audio driver. A local authenticated malicious user may... |
| CVE-2022-34434 | Cloud Mobility for Dell Storage versions 1.3.0 and earlier contains an Improper Access Control vulnerability within the Postg... |
| CVE-2022-34446 | PowerPath Management Appliance with versions 3.3 & 3.2* contains Authorization Bypass vulnerability. An authenticated remote... |
| CVE-2022-36090 | org.xwiki.platform:xwiki-platform-oldcore Improper Authorization check for inactive users |
| CVE-2022-36110 | Netmaker vulnerable to Insufficient Granularity of Access Control |
| CVE-2022-3683 | SDM600 API web services authorization validation |
| CVE-2022-36837 | Intent redirection vulnerability using implicit intent in Samsung email prior to version 6.1.70.20 allows attacker to get sen... |
| CVE-2022-36838 | Implicit Intent hijacking vulnerability in Galaxy Wearable prior to version 2.2.50 allows attacker to get sensitive informati... |
| CVE-2022-36848 | Improper Authorization vulnerability in setDualDARPolicyCmd prior to SMR Sep-2022 Release 1 allows local attackers to cause l... |
| CVE-2022-3685 | SDM600 software privilege level |
| CVE-2022-36852 | Improper Authorization vulnerability in Video Editor prior to SMR Sep-2022 Release 1 allows local attacker to access internal... |
| CVE-2022-36857 | Improper Authorization vulnerability in Photo Editor prior to SMR Sep-2022 Release 1 allows physical attackers to read intern... |
| CVE-2022-3686 | SDM600 API permission check |
| CVE-2022-36870 | Pending Intent hijacking vulnerability in MTransferNotificationManager in Samsung Pay prior to version 5.0.63 for KR and 5.1.... |
| CVE-2022-36871 | Pending Intent hijacking vulnerability in NotiCenterUtils in Samsung Pay prior to version 5.0.63 for KR and 5.1.47 for Global... |
| CVE-2022-36872 | Pending Intent hijacking vulnerability in SpayNotification in Samsung Pay prior to version 5.0.63 for KR and 5.1.47 for Globa... |
| CVE-2022-36876 | Improper authorization in UPI payment in Samsung Pass prior to version 4.0.04.10 allows physical attackers to access account... |
| CVE-2022-3748 | Improper authorization that can lead to account impersonation |
| CVE-2022-3787 | A vulnerability was found in the device-mapper-multipath. The device-mapper-multipath allows local users to obtain root acces... |
| CVE-2022-38375 | An improper authorization vulnerability [CWE-285] in Fortinet FortiNAC version 9.4.0 through 9.4.1 and before 9.2.6 allows a... |
| CVE-2022-39322 | @keystone-6/core vulnerable to field-level access-control bypass for multiselect field |
| CVE-2022-39329 | Profile of disabled user stays accessible |
| CVE-2022-39340 | OpenFGA Information Disclosure |
| CVE-2022-39341 | OpenFGA Authorization Bypass |
| CVE-2022-39342 | OpenFGA Authorization Bypass |
| CVE-2022-39356 | Discourse user account takeover via email and invite link |
| CVE-2022-39862 | Improper authorization in Dynamic Lockscreen prior to SMR Sep-2022 Release 1 in Android R(11) and 3.3.03.66 in Android S(12)... |
| CVE-2022-39873 | Improper authorization vulnerability in Samsung Internet prior to version 18.0.4.14 allows physical attackers to add bookmark... |
| CVE-2022-39879 | Improper authorization vulnerability in?CallBGProvider prior to SMR Nov-2022 Release 1 allows local attacker to grant permiss... |
| CVE-2022-39883 | Improper authorization vulnerability in StorageManagerService prior to SMR Nov-2022 Release 1 allows local attacker to call p... |
| CVE-2022-39890 | Improper Authorization in Samsung Billing prior to version 5.0.56.0 allows attacker to get sensitive information. |
| CVE-2022-39902 | Improper authorization in Exynos baseband prior to SMR DEC-2022 Release 1 allows remote attacker to get sensitive information... |
| CVE-2022-39905 | Implicit intent hijacking vulnerability in Telecom application prior to SMR Dec-2022 Release 1 allows attacker to access sens... |
| CVE-2022-40208 | In Moodle, insufficient limitations in some quiz web services made it possible for students to bypass sequential navigation d... |
| CVE-2022-40521 | Improper authorization in Modem |
| CVE-2022-40536 | Improper authentication in Modem |
| CVE-2022-4062 | A CWE-285: Improper Authorization vulnerability exists that could cause unauthorized access to certain software functions whe... |
| CVE-2022-41610 | Improper authorization in Intel(R) EMA Configuration Tool before version 1.0.4 and Intel(R) MC before version 2.4 software ma... |
| CVE-2022-43465 | Improper authorization in the Intel(R) SCS software all versions may allow an authenticated user to potentially enable denial... |
| CVE-2022-45128 | Improper authorization in the Intel(R) EMA software before version 1.9.0.0 may allow an authenticated user to potentially ena... |
| CVE-2022-45450 | Sensitive information disclosure and manipulation due to improper authorization. The following products are affected: Acronis... |
| CVE-2022-46752 | Dell BIOS contains an Improper Authorization vulnerability. An unauthenticated physical attacker may potentially exploit thi... |
| CVE-2022-4688 | Improper Authorization in usememos/memos |
| CVE-2022-47553 | Improper Authorization in Ormazabal products |
| CVE-2022-4804 | Improper Authorization in usememos/memos |
| CVE-2022-4868 | Improper Authorization in froxlor/froxlor |
| CVE-2022-4879 | Forged Alliance Forever Vote improper authorization |
| CVE-2022-4962 | Apollo Configuration Center users improper authorization |
| CVE-2023-0456 | Apicast proxies the api call with incorrect jwt token to the api backend without proper authorization check |
| CVE-2023-0609 | Improper Authorization in wallabag/wallabag |
| CVE-2023-0610 | Improper Authorization in wallabag/wallabag |
| CVE-2023-0665 | Vault PKI Issuer Endpoint Did Not Correctly Authorize Access to Issuer Metadata |
| CVE-2023-0734 | Improper Authorization in wallabag/wallabag |
| CVE-2023-0813 | Network-observability-console-plugin-container: setting loki authtoken configuration to disable or host mode leads to authent... |
| CVE-2023-0822 | Improper Authorization |
| CVE-2023-0837 | An improper authorization check of local device settings in TeamViewer Remote between version 15.41 and 15.42.7 for Windows... |
| CVE-2023-0914 | Improper Authorization in pixelfed/pixelfed |
| CVE-2023-1164 | KylinSoft kylin-activation File Import improper authorization |
| CVE-2023-20088 | Cisco Finesse Reverse Proxy VPN-less Access to Finesse Desktop Denial of Service Vulnerability |
| CVE-2023-20182 | Cisco DNA Center Software API Vulnerabilities |
| CVE-2023-20183 | Cisco DNA Center Software API Vulnerabilities |
| CVE-2023-20184 | Cisco DNA Center Software API Vulnerabilities |
| CVE-2023-20186 | A vulnerability in the Authentication, Authorization, and Accounting (AAA) feature of Cisco IOS Software and Cisco IOS XE Sof... |
| CVE-2023-21422 | Improper authorization vulnerability in semAddPublicDnsAddr in WifiSevice prior to SMR Jan-2023 Release 1 allows attackers to... |
| CVE-2023-21423 | Improper authorization vulnerability in ChnFileShareKit prior to SMR Jan-2023 Release 1 allows attacker to control BLE advert... |
| CVE-2023-21424 | Improper Handling of Insufficient Permissions or Privileges vulnerability in SemChameleonHelper prior to SMR Jan-2023 Release... |
| CVE-2023-21429 | Improper usage of implict intent in ePDG prior to SMR JAN-2023 Release 1 allows attacker to access SSID. |
| CVE-2023-21432 | Improper access control vulnerabilities in Smart Things prior to 1.7.93 allows to attacker to invite others without authoriza... |
| CVE-2023-21433 | Improper access control vulnerability in Galaxy Store prior to version 4.5.49.8 allows local attackers to install application... |
| CVE-2023-21436 | Improper usage of implicit intent in Contacts prior to SMR Feb-2023 Release 1 allows attacker to get account ID. |
| CVE-2023-21440 | Improper access control vulnerability in WindowManagerService prior to SMR Feb-2023 Release 1 allows attackers to take a scre... |
| CVE-2023-21452 | Improper usage of implicit intent in Bluetooth prior to SMR Mar-2023 Release 1 allows attacker to get MAC address of connecte... |
| CVE-2023-21454 | Improper authorization in Samsung Keyboard prior to SMR Mar-2023 Release 1 allows physical attacker to access users text hist... |
| CVE-2023-21461 | Improper authorization vulnerability in AutoPowerOnOffConfirmDialog in Settings prior to SMR Mar-2023 Release 1 allows local... |
| CVE-2023-21505 | Improper access control in Samsung Core Service prior to version 2.1.00.36 allows attacker to write arbitrary file in sandbox... |
| CVE-2023-21549 | Windows SMB Witness Service Elevation of Privilege Vulnerability |
| CVE-2023-2227 | Improper Authorization in modoboa/modoboa |
| CVE-2023-22348 | Reading host_configs does not honour contact groups |
| CVE-2023-22428 | Improper privilege validation in Command Centre Server allows authenticated operators to modify Division lineage. This issu... |
| CVE-2023-22480 | KubeOperator is vulnerable to unauthorized access to system API |
| CVE-2023-22636 | An unauthorized configuration download vulnerability in FortiWeb 6.3.6 through 6.3.21, 6.4.0 through 6.4.2 and 7.0.0 through... |
| CVE-2023-22931 | ‘createrss’ External Search Command Overwrites Existing RSS Feeds in Splunk Enterprise |
| CVE-2023-22938 | Permissions Validation Failure in the ‘sendemail’ REST API Endpoint in Splunk Enterprise |
| CVE-2023-2345 | SourceCodester Service Provider Management System improper authorization |
| CVE-2023-23568 | Improper privilege validation in Command Centre Server allows authenticated unprivileged operators to modify and view Person... |
| CVE-2023-23696 | Dell Command Intel vPro Out of Band, versions prior to 4.3.1, contain an Improper Authorization vulnerability. A locally aut... |
| CVE-2023-24476 | PTC Vuforia Studio Improper Authorization |
| CVE-2023-25074 | Competency access levels not enforced in the server |
| CVE-2023-2534 | Information disclouse and DoS via websocket push events |
| CVE-2023-25517 | NVIDIA vGPU software contains a vulnerability in the Virtual GPU Manager (vGPU plugin), where a guest OS may be able to cont... |
| CVE-2023-26466 | A user with non-Admin access can change a configuration file on the client to modify the Server URL. |
| CVE-2023-27594 | Cilium vulnerable to potential network policy bypass when routing IPv6 traffic |
| CVE-2023-2782 | Sensitive information disclosure due to improper authorization. The following products are affected: Acronis Cyber Infrastruc... |
| CVE-2023-28055 | Dell NetWorker, Version 19.7 has an improper authorization vulnerability in the NetWorker client. An unauthenticated attacke... |
| CVE-2023-28317 | A vulnerability has been discovered in Rocket.Chat, where editing messages can change the original timestamp, causing the UI... |
| CVE-2023-28318 | A vulnerability has been discovered in Rocket.Chat, where messages can be hidden regardless of the Message_KeepHistory or Mes... |
| CVE-2023-28325 | An improper authorization vulnerability exists in Rocket.Chat <6.0 that could allow a hacker to manipulate the rid parameter... |
| CVE-2023-28378 | Improper authorization in some Intel(R) QAT drivers for Windows - HW Version 2.0 before version 2.0.4 may allow an authentica... |
| CVE-2023-28385 | Improper authorization in the Intel(R) NUC Pro Software Suite for Windows before version 2.0.0.9 may allow a privileged user... |
| CVE-2023-28556 | Improper Authorization in HLOS |
| CVE-2023-28584 | Improper Authorization in WLAN Host |
| CVE-2023-28623 | Unauthorized user can register an account in specific configurations in Zulip |
| CVE-2023-28634 | GLPI vulnerable to Privilege Escalation from Technician to Super-Admin |
| CVE-2023-29152 | PTC Vuforia Studio Improper Authorization |
| CVE-2023-29338 | Visual Studio Code Spoofing Vulnerability |
| CVE-2023-2950 | Improper Authorization in openemr/openemr |
| CVE-2023-3037 | HelpDezk Community improper authorization |
| CVE-2023-30467 | Improper Authorization Vulnerability in Milesight Network Video Recorder (NVR) |
| CVE-2023-30948 | Retrieval of Attachments to Comments lacks Authorization |
| CVE-2023-30954 | Gotham Video Broken Authentication |
| CVE-2023-32168 | D-Link D-View showUser Improper Authorization Privilege Escalation Vulnerability |
| CVE-2023-32662 | Improper authorization in some Intel Battery Life Diagnostic Tool installation software before version 2.2.1 may allow a priv... |
| CVE-2023-32678 | Zulip vulnerable to insufficient authorization check for edition/deletion of messages and topics in private streams by former... |
| CVE-2023-32707 | ‘edit_user’ Capability Privilege Escalation |
| CVE-2023-32709 | Low-privileged User can View Hashed Default Splunk Password |
| CVE-2023-32717 | Role-based Access Control (RBAC) Bypass on '/services/indexing/preview' REST Endpoint Can Overwrite Search Results |
| CVE-2023-34460 | Tauri vulnerable to Regression on Filesystem Scope Checks for Dotfiles |
| CVE-2023-35022 | IBM InfoSphere Information Server improper authentication |
| CVE-2023-36611 | The affected TBox RTUs allow low privilege users to access software security tokens of higher privilege. This could allow an... |
| CVE-2023-36633 | An improper authorization vulnerability [CWE-285] in FortiMail webmail version 7.2.0 through 7.2.2 and before 7.0.5 allows an... |
| CVE-2023-3805 | Xiamen Four Letter Video Surveillance Management System Login UserInfoAction.class improper authorization |
| CVE-2023-38135 | Improper authorization in some Intel(R) PM software may allow a privileged user to potentially enable escalation of privilege... |
| CVE-2023-38220 | Full page cache enumeration via cookie X-Magento-Vary |
| CVE-2023-40683 | IBM OpenPages with Watson privilege escalation |
| CVE-2023-41819 | A PendingIntent hijacking vulnerability was reported in the Motorola Face Unlock application that could allow a local attack... |
| CVE-2023-41841 | An improper authorization vulnerability in Fortinet FortiOS 7.0.0 - 7.0.11 and 7.2.0 - 7.2.4 allows an attacker belonging to... |
| CVE-2023-42453 | Improper validation of receipts allows forged read receipts in matrix synapse |
| CVE-2023-42491 | EisBaer Scada - CWE-285: Improper Authorization |
| CVE-2023-44410 | D-Link D-View showUsers Improper Authorization Privilege Escalation Vulnerability |
| CVE-2023-28973 | Junos OS Evolved: The 'sysmanctl' shell command allows a local user to gain access to some administrative actions |
| CVE-2023-32022 | Windows Server Service Security Feature Bypass Vulnerability |
| CVE-2023-32482 | Wyse Management Suite versions prior to 4.0 contain an improper authorization vulnerability. An authenticated malicious user... |
| CVE-2023-32967 | QTS, QuTScloud |
| CVE-2023-33019 | Improper Authorization in WLAN Host |
| CVE-2023-33020 | Improper Authorization in WLAN Host |
| CVE-2023-33142 | Microsoft SharePoint Server Elevation of Privilege Vulnerability |
| CVE-2023-33183 | Error in calendar when booking an appointment reveals the full path of the website |
| CVE-2023-33189 | Incorrect Authorization with specially crafted requests |
| CVE-2023-34091 | Kyverno resource with a deletionTimestamp may allow policy circumvention |
| CVE-2023-3574 | Improper Authorization in pimcore/customer-data-framework |
| CVE-2023-36826 | Sentry vulnerable to improper authorization on debug and artifact file downloads |
| CVE-2023-38508 | Tuleap allows preview of a linked artifact with a type does not respect permissions |
| CVE-2023-3899 | Subscription-manager: inadequate authorization of com.redhat.rhsm1 d-bus interface allows local users to modify configuration |
| CVE-2023-41673 | An improper authorization vulnerability [CWE-285] in Fortinet FortiADC version 7.4.0 and before 7.2.2 may allow a low privile... |
| CVE-2023-44123 | Bluetooth - Theft and (over-)write of arbitrary files with system privilege via PendingIntent hijacking |
| CVE-2023-50363 | QTS, QuTS hero |
| CVE-2023-52139 | Misskey vulnerable to improper authorization when accessing with third-party application |
| CVE-2023-5808 | System Management Unit (SMU) versions prior to 14.8.7825.01, used to manage Hitachi Vantara NAS products are susceptible to u... |
| CVE-2023-5948 | Improper Authorization in teamamaze/amazefileutilities |
| CVE-2024-10274 | Improper Authorization in lunary-ai/lunary |
| CVE-2024-10598 | Tongda OA Annual Leave data.php improper authorization |
| CVE-2024-10654 | TOTOLINK LR350 formLoginAuth.htm authorization |
| CVE-2024-11073 | SourceCodester Hospital Management System delete-account.php improper authorization |
| CVE-2024-11860 | SourceCodester Best House Rental Management System POST Request ajax.php improper authorization |
| CVE-2024-12347 | Guangzhou Huayi Intelligent Technology Jeewms Druid Monitoring Interface index.html improper authorization |
| CVE-2024-12782 | Fujifilm Business Innovation Apeos C3070/Apeos C5570/Apeos C6580 Web Interface index.html#hashHome improper authorization |
| CVE-2023-44125 | Personalized service - Theft and (over-)write of arbitrary files with system privilege via PendingIntent hijacking |
| CVE-2023-47109 | PrestaShop blockreassurance BO User can remove any file from server when adding a and deleting a block |
| CVE-2023-47166 | A firmware update vulnerability exists in the luci2-io file-import functionality of Milesight UR32L v32.3.0.7-r2. A specially... |
| CVE-2023-48241 | XWiki exposed whole content of all documents of all wikis to anybody with view right on Solr suggest service |
| CVE-2023-48309 | next-auth vulnerable to possible user mocking that bypasses basic authentication |
| CVE-2023-50780 | Apache ActiveMQ Artemis: Authenticated users could perform RCE via Jolokia MBeans |
| CVE-2023-5675 | Quarkus: authorization flaw in quarkus resteasy reactive and classic when "quarkus.security.jaxrs.deny-unannotated-endpoints"... |
| CVE-2023-6538 | System Management Unit (SMU) versions prior to 14.8.7825.01, used to manage Hitachi Vantara NAS products is susceptible to un... |
| CVE-2024-0077 | CVE |
| CVE-2024-10729 | Booking & Appointment Plugin for WooCommerce <= 6.9.0 - Authenticated (Subscriber+) Arbitrary Option Update |
| CVE-2024-11306 | Altenergy Power Control Software database improper authorization |
| CVE-2024-11768 | Download manager <= 3.3.03 - Improper Authorization to Unauthenticated Download of Password-Protected Files |
| CVE-2024-12483 | Dromara UJCMS User ID id authorization |
| CVE-2024-12880 | Partial Account Takeover due to Insecure Data Querying in infiniflow/ragflow |
| CVE-2024-12901 | FoxCMS API Endpoint Site.php improper authorization |
| CVE-2024-20497 | Cisco Expressway Edge Improper Authorization Vulnerability |
| CVE-2024-21761 | An improper authorization vulnerability [CWE-285] in FortiPortal version 7.2.0, and versions 7.0.6 and below reports may allo... |
| CVE-2024-13058 | Authenticated, non-admin users can create storage pools via the sifi API |
| CVE-2024-13060 | Improper Authorization in mintplex-labs/anything-llm |
| CVE-2024-13109 | Beijing Yunfan Internet Technology Yunfan Learning Examination System doc.html improper authorization |
| CVE-2024-13241 | Open Social - Moderately critical - Information Disclosure - SA-CONTRIB-2024-005 |
| CVE-2024-13552 | SupportCandy – Helpdesk & Customer Support Ticket System <= 3.3.0 - Insecure Direct Object Reference |
| CVE-2024-13646 | Single-user-chat <= 0.5 - Authenticated (Subscriber+) Limited Options Update |
| CVE-2024-13692 | Return Refund and Exchange For WooCommerce <= 4.4.5 - Authenticated (Subscriber+) Insecure Direct Object Reference |
| CVE-2024-13694 | WooCommerce Wishlist <= 1.8.7 - Unauthenticated Wishlist Disclosure via download_pdf_file Function |
| CVE-2024-13724 | Wallet System for WooCommerce – Wallet, Wallet Cashback, Refunds, Partial Payment, Wallet Restriction <= 2.6.2 - Missing Auth... |
| CVE-2024-13821 | WP Booking Calendar <= 10.10 - Unauthenticated Post-Confirmation Booking Manipulation |
| CVE-2024-20333 | A vulnerability in the web-based management interface of Cisco Catalyst Center, formerly Cisco DNA Center, could allow an aut... |
| CVE-2024-20381 | Cisco Network Services Orchestrator Configuration Update Authorization Bypass Vulnerability |
| CVE-2024-20393 | Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Privilege Escalation Vulnerability |
| CVE-2024-20414 | A vulnerability in the web UI feature of Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, remote... |
| CVE-2024-20441 | Cisco Nexus Dashboard Fabric Controller Unauthorized API Endpoint Vulnerability |
| CVE-2024-21402 | Microsoft Outlook Elevation of Privilege Vulnerability |
| CVE-2024-21987 | Improper Authorization Vulnerability in SnapCenter |
| CVE-2024-26291 | Authenticated Arbitrary File Read affecting Avid NEXIS |
| CVE-2024-2641 | Ruijie RG-NBS2009G-P Password passwdManage.htm improper authorization |
| CVE-2024-29033 | GoogleOAuthenticator.hosted_domain incorrectly verifies membership of an Google organization/workspace |
| CVE-2024-30260 | Undici's Proxy-Authorization header not cleared on cross-origin redirect for dispatch, request, stream, pipeline |
| CVE-2024-34104 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-3434 | CP Plus Wi-Fi Camera User Management improper authorization |
| CVE-2024-37154 | Evmos allows unvested token delegations |
| CVE-2024-37159 | Evmos is missing create validator check |
| CVE-2024-37167 | Tuleap has improper permissions of the backlog items |
| CVE-2024-38231 | Windows Remote Desktop Licensing Service Denial of Service Vulnerability |
| CVE-2024-2317 | Bdtask Hospital AutoManager Prescription Page improper authorization |
| CVE-2024-23649 | Any authenticated user may obtain private message details from other users on the same instance |
| CVE-2024-23665 | Multiple improper authorization vulnerabilities [CWE-285] in FortiWeb version 7.4.2 and below, version 7.2.7 and below, versi... |
| CVE-2024-23667 | An improper authorization in Fortinet FortiWebManager version 7.2.0 and 7.0.0 through 7.0.4 and 6.3.0 and 6.2.3 through 6.2.4... |
| CVE-2024-23670 | An improper authorization in Fortinet FortiWebManager version 7.2.0 and 7.0.0 through 7.0.4 and 6.3.0 and 6.2.3 through 6.2.4... |
| CVE-2024-23806 | HID Global Reader Configuration Cards Improper Authorization |
| CVE-2024-24830 | OpenObserve Privilege Escalation Vulnerability in Users API |
| CVE-2024-2557 | kishor-23 Food Waste Management System admin.php improper authorization |
| CVE-2024-25949 | Dell OS10 Networking Switches, versions10.5.6.x, 10.5.5.x, 10.5.4.x and 10.5.3.x ,contain an improper authorization vulnerabi... |
| CVE-2024-26193 | Azure Migrate Remote Code Execution Vulnerability |
| CVE-2024-30061 | Microsoft Dynamics 365 (On-Premises) Information Disclosure Vulnerability |
| CVE-2024-3013 | Teledyne FLIR AX8 User Registration test_login.php improper authorization |
| CVE-2024-3139 | SourceCodester Computer Laboratory Management System save_users improper authorization |
| CVE-2024-32881 | Unauthorized access to GET/SET of Slack Bot Tokens in Danswer |
| CVE-2024-36399 | Kanboard affected by Project Takeover via IDOR in ProjectPermissionController |
| CVE-2024-36467 | Authentication privilege escalation via user groups due to missing authorization checks |
| CVE-2024-37282 | It was identified that under certain specific preconditions, an API key that was originally created with a specific privilege... |
| CVE-2024-38129 | Windows Kerberos Elevation of Privilege Vulnerability |
| CVE-2024-38370 | GLPI allows API document download without rights |
| CVE-2024-38371 | Insufficient access control for OAuth2 Device Code flow in authentik |
| CVE-2024-43602 | Azure CycleCloud Remote Code Execution Vulnerability |
| CVE-2024-43706 | Kibana Improper Authorization |
| CVE-2024-45307 | SudoBot missing authorization check in `-config` command |
| CVE-2024-45387 | Apache Traffic Control: SQL Injection in Traffic Ops endpoint PUT deliveryservice_request_comments |
| CVE-2024-47084 | CORS origin validation is not performed when the request has a cookie in Gradio |
| CVE-2024-24900 | Dell Secure Connect Gateway (SCG) Policy Manager, all versions, contain an improper authorization vulnerability. An adjacent... |
| CVE-2024-25106 | OpenObserve Unauthorized Access Vulnerability in Users API |
| CVE-2024-25108 | Insufficient authorization allowing elevated access to resources in pixelfed |
| CVE-2024-36108 | Multiple Broken Function-Level Authorization vulnerabilities in casgate |
| CVE-2024-39404 | A user without Shop Policy Parameters section privilege can alter the shop policy parameters section |
| CVE-2024-39405 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-39407 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-39411 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-39412 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-39413 | An unauthorized user can export the Invoiced Sales Report |
| CVE-2024-39415 | An unauthorized user can export the Tax Sales Report |
| CVE-2024-39416 | Unauthorized user can export Orders Sale Report |
| CVE-2024-39417 | An unauthorized user can export the Shipping Report |
| CVE-2024-39418 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-39419 | A user without ship permissions can ship the orders |
| CVE-2024-3959 | Improper Authorization in GitLab |
| CVE-2024-39597 | [CVE-2024-39597] Improper Authorization Checks on Early Login Composable Storefront B2B sites of SAP Commerce |
| CVE-2024-43482 | Microsoft Outlook for iOS Information Disclosure Vulnerability |
| CVE-2024-47053 | Improper Authorization in Reporting API |
| CVE-2024-38425 | Improper Authorization in Performance |
| CVE-2024-41670 | PayPal Official Module for PrestaShop has Improperly Implemented Security Check for Standard |
| CVE-2024-41962 | Bostr Improper Authorization |
| CVE-2024-42032 | Access permission verification vulnerability in the Contacts module Impact: Successful exploitation of this vulnerability may... |
| CVE-2024-42036 | Access permission verification vulnerability in the Notepad module Impact: Successful exploitation of this vulnerability may... |
| CVE-2024-42039 | Access control vulnerability in the SystemUI module Impact: Successful exploitation of this vulnerability may affect service... |
| CVE-2024-42490 | authentik has Insufficient Authorization for several API endpoints |
| CVE-2024-4254 | Secrets Exfiltration in gradio-app/gradio |
| CVE-2024-43051 | Improper Authorization in SPS-HLOS |
| CVE-2024-43460 | Dynamics 365 Business Central Elevation of Privilege Vulnerability |
| CVE-2024-43729 | Adobe Experience Manager | Improper Authorization (CWE-285) |
| CVE-2024-43731 | Adobe Experience Manager | Improper Authorization (CWE-285) |
| CVE-2024-45044 | Bareos's negative command ACLs can be circumvented by abbreviating commands |
| CVE-2024-45805 | OpenCTI leaks support information due to inadequate access control |
| CVE-2024-47876 | Sakai: Kernel users created with type roleview can login as a normal user |
| CVE-2024-4819 | Campcodes Online Laundry Management System admin_class.php improper authorization |
| CVE-2024-47165 | CORS origin validation accepts the null origin in Gradio |
| CVE-2024-47183 | Parse Server's custom object ID allows to acquire role privileges |
| CVE-2024-7799 | SourceCodester Simple Online Bidding System users.php improper authorization |
| CVE-2024-51479 | Authorization bypass in Next.js |
| CVE-2024-51525 | Permission control vulnerability in the clipboard module Impact: Successful exploitation of this vulnerability may affect ser... |
| CVE-2024-52287 | authentik performs insufficient validation of OAuth scopes |
| CVE-2024-52528 | Auth Token can be passed dummy or wrong the middleware response is 200 OK |
| CVE-2024-55954 | OpenObserve Improper Authorization Allows Admin User to Remove Root User |
| CVE-2024-56802 | Tapir allows DeployKey exposure |
| CVE-2024-57954 | Permission verification vulnerability in the media library module Impact: Successful exploitation of this vulnerability may a... |
| CVE-2024-5798 | Vault Incorrectly Validated JSON Web Tokens (JWT) Audience Claims |
| CVE-2024-6347 | Unauthorized access to ECU functionality |
| CVE-2024-6375 | Missing authorization check may lead to shard key refinement |
| CVE-2024-6384 | Backup files may be downloaded by underprivileged users in MongoDB Enterprise Server |
| CVE-2024-6840 | Automation-controller: gain access to the k8s api server via job execution with container group |
| CVE-2024-7015 | Improper Authentication in Profelis Informatics and Consulting's PassBOX |
| CVE-2024-7578 | Alien Technology ALR-F800 cmd.php improper authorization |
| CVE-2024-7851 | SourceCodester Yoga Class Registration System Add User Users.php improper authorization |
| CVE-2025-0484 | Fanli2012 native-php-cms Backend sysconfig_doedit.php improper authorization |
| CVE-2025-0849 | CampCodes School Management Software Staff edit-staff improper authorization |
| CVE-2025-0928 | Arbitrary executable upload via authenticated endpoint |
| CVE-2025-10275 | YunaiV yudao-cloud transfer improper authorization |
| CVE-2025-10276 | YunaiV ruoyi-vue-pro transfer improper authorization |
| CVE-2024-48897 | Moodle: idor in edit/delete rss feed |
| CVE-2024-48901 | Moodle: idor when fetching report schedules |
| CVE-2024-48921 | Kyverno's PolicyException objects can be created in any namespace by default |
| CVE-2024-5053 | Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder <= 5.1.18 - Missing Authorization to A... |
| CVE-2024-56320 | GoCD vulnerable to admin privilege escalation by a malicious internal/existing authenticated user |
| CVE-2024-56323 | OpenFGA Authorization Bypass |
| CVE-2024-56335 | Privilege escalation allows organization groups to be updated/deleted if their UUID is known in vaultwarden |
| CVE-2024-8676 | Cri-o: checkpoint restore can be triggered from different namespaces |
| CVE-2024-9235 | Mapster WP Maps <= 1.5.0 - Incorrect Authorization to Authenticated (Contributor+) Arbitrary Options Update |
| CVE-2024-9297 | SourceCodester Online Railway Reservation System admin improper authorization |
| CVE-2025-0628 | Improper Authorization in BerriAI/litellm |
| CVE-2025-10014 | elunez eladmin Email Address updateEmail updateUserEmail improper authorization |
| CVE-2025-1007 | Improper Authorization in /user/namespace/{namespace}/details |
| CVE-2025-10073 | Portabilis i-Educar turma improper authorization |
| CVE-2025-10084 | elunez eladmin SysLogController 1 queryErrorLogDetail improper authorization |
| CVE-2025-10086 | fuyang_lipengjun platform AdPositionController queryAll improper authorization |
| CVE-2025-10674 | fuyang_lipengjun platform queryAll AttributeCategoryController improper authorization |
| CVE-2025-10675 | fuyang_lipengjun platform queryAll AttributeController improper authorization |
| CVE-2025-10676 | fuyang_lipengjun platform queryAll BrandController improper authorization |
| CVE-2025-10707 | JeecgBoot sendMsg improper authorization |
| CVE-2025-10947 | Sistemas Pleno Gestão de Locação CPF validarCpf authorization |
| CVE-2025-10976 | JeecgBoot getDepartUserList improper authorization |
| CVE-2025-10977 | JeecgBoot deleteBatch improper authorization |
| CVE-2025-10978 | JeecgBoot Filter exportXls improper authorization |
| CVE-2025-10979 | JeecgBoot exportXls improper authorization |
| CVE-2025-10980 | JeecgBoot exportXls improper authorization |
| CVE-2025-10981 | JeecgBoot exportXls improper authorization |
| CVE-2025-10987 | YunaiV yudao-cloud HTTP Request transfer improper authorization |
| CVE-2025-10988 | YunaiV ruoyi-vue-pro transfer improper authorization |
| CVE-2025-10989 | yangzongzhuan RuoYi selectAll improper authorization |
| CVE-2025-10992 | roncoo roncoo-pay lookupList improper authorization |
| CVE-2024-7624 | Zephyr Project Manager <= 3.3.101 - Authenticated (Subscriber+) Limited Privilege Escalation |
| CVE-2024-8509 | Migration toolkit for virtualization: forklift-controller: empty bearer token may perform authentication |
| CVE-2024-8764 | Improper Authorization in lunary-ai/lunary |
| CVE-2024-9000 | Improper Authorization and Duplicate Slug Vulnerability in lunary-ai/lunary |
| CVE-2024-9082 | SourceCodester Online Eyewear Shop User Creation Users.php improper authorization |
| CVE-2024-9095 | Improper Authorization in lunary-ai/lunary |
| CVE-2024-9096 | Improper Authorization in lunary-ai/lunary |
| CVE-2024-9531 | MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.4 - Missing Authorization to Forged Vendor Pr... |
| CVE-2025-0580 | Shiprocket Module REST API Module rest_api authorization |
| CVE-2025-10209 | Papermerge DMS Authorization Token improper authorization |
| CVE-2025-10389 | CRMEB Administrator Password SystemAdminServices.php save improper authorization |
| CVE-2025-10390 | CRMEB UserAddressServices.php editAddress improper authorization |
| CVE-2025-10422 | newbee-mall Order Status paySuccess improper authorization |
| CVE-2025-10759 | Webkul QloApps CSRF Token authorization |
| CVE-2025-1078 | AppHouseKitchen AlDente Charge Limiter XPC Service com.apphousekitchen.aldente-pro.helper shouldAcceptNewConnection improper... |
| CVE-2025-10819 | fuyang_lipengjun platform queryAll UserCouponController improper authorization |
| CVE-2025-10820 | fuyang_lipengjun platform queryAll TopicController improper authorization |
| CVE-2025-10821 | fuyang_lipengjun platform queryAll TopicCategoryController improper authorization |
| CVE-2025-10822 | fuyang_lipengjun platform queryAll SysSmsLogController improper authorization |
| CVE-2025-10902 | Originality.ai AI Checker <= 1.0.12 - Missing Authorization to Authenticated (Subscriber+) Scan Log Deletion via ' ai_scan_re... |
| CVE-2025-11047 | Portabilis i-Educar aluno improper authorization |
| CVE-2025-11048 | Portabilis i-Educar consulta-dispensas improper authorization |
| CVE-2025-11049 | Portabilis i-Educar unificacao-aluno improper authorization |
| CVE-2025-11050 | Portabilis i-Educar periodo-lancamento improper authorization |
| CVE-2025-11080 | zhuimengshaonian wisdom-education ExamInfoController.java selectStudentExamInfoList improper authorization |
| CVE-2025-11174 | Document Library Lite <= 1.1.6 - Missing Authorization to Sensitive Information Exposure |
| CVE-2025-11227 | GiveWP – Donation Plugin and Fundraising Platform <= 4.10.0 - Missing Authorization to Unauthenticated Forms and Campaigns Di... |
| CVE-2025-11244 | Password Protected <= 2.7.11 - Unauthenticated Authorization Bypass via IP Address Spoofing |
| CVE-2025-11256 | Kognetiks Chatbot <= 2.3.5 - Missing Authorization to Unauthenticated Limited File Uploads and Conversation Erasing |
| CVE-2025-11272 | SeriaWei ZKEACMS POST Request UrlRedirectionController.cs Delete improper authorization |
| CVE-2025-11321 | zhuimengshaonian wisdom-education WrongBookController.java authorization |
| CVE-2025-11510 | FileBird <= 6.4.9 - Improper Authorization to Authenticated (Author+) Settings Reset |
| CVE-2025-11521 | Astra Security Suite – Firewall & Malware Scan <= 0.2 - Unauthenticated Arbitrary File Upload |
| CVE-2025-12005 | WP VR – 360 Panorama and Free Virtual Tour Builder For WordPress <= 8.5.41 - Improper Authorization to Authenticated (Contrib... |
| CVE-2025-1226 | ywoa setup.jsp improper authorization |
| CVE-2025-12360 | Better Find and Replace <= 1.7.7 - Missing Authorization |
| CVE-2025-12367 | SiteSEO – SEO Simplified <= 1.3.1 - Missing Authorization to Authenticated (Author+) Plugin Settings Update |
| CVE-2025-12494 | Image Gallery – Photo Grid & Video Gallery <= 2.12.28 - Improper Authorization to Authenticated (Author+) Arbitrary Image Fil... |
| CVE-2025-12623 | fushengqian fuint Authentication Token ClientSignController.java authorization |
| CVE-2025-13114 | macrozheng mall-swarm attr updateAttr improper authorization |
| CVE-2025-13115 | macrozheng mall-swarm/mall Order Details detail improper authorization |
| CVE-2025-13116 | macrozheng mall-swarm/mall cancelUserOrder improper authorization |
| CVE-2025-13117 | macrozheng mall-swarm/mall cancelOrder improper authorization |
| CVE-2025-13118 | macrozheng mall-swarm/mall paySuccess improper authorization |
| CVE-2025-1607 | SourceCodester Best Employee Management System salary_slip.php authorization |
| CVE-2025-10277 | YunaiV yudao-cloud submit improper authorization |
| CVE-2025-10278 | YunaiV ruoyi-vue-pro transfer improper authorization |
| CVE-2025-10291 | linlinjava litemall cancel WxAftersaleController improper authorization |
| CVE-2025-10318 | JeecgBoot WebSocket Message sendWebSocketMsg improper authorization |
| CVE-2025-10319 | JeecgBoot Tenant Log Export exportLog improper authorization |
| CVE-2025-10374 | Shenzhen Sixun Business Management System OperatorStop improper authorization |
| CVE-2025-10384 | yangzongzhuan RuoYi Role cancelAll improper authorization |
| CVE-2025-24418 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2025-24784 | kubewarden-controller has an Information leak via AdmissionPolicyGroup Resource |
| CVE-2025-1806 | Eastnets PaymentSafe URL Default.aspx improper authorization |
| CVE-2025-1815 | pbrong hrms resource.go HrmsDB improper authorization |
| CVE-2025-1847 | zj1983 zz improper authorization |
| CVE-2025-20264 | Cisco Identity Services Engine Authorization Bypass Vulnerability |
| CVE-2025-2114 | Shenzhen Sixun Software Sixun Shanghui Group Business Management System Reset Password Interface OperatorStop.asp improper au... |
| CVE-2025-21400 | Microsoft SharePoint Server Remote Code Execution Vulnerability |
| CVE-2025-21611 | tgstation-server's role authorization incorrectly OR'd with user's enabled status |
| CVE-2025-23024 | GLPI: Plugins are disabled accessing one page |
| CVE-2025-23042 | Gradio Blocked Path ACL Bypass Vulnerability |
| CVE-2025-2359 | D-Link DIR-823G DDNS Service HNAP1 SetDDNSSettings improper authorization |
| CVE-2025-2360 | D-Link DIR-823G UPnP Service HNAP1 SetUpnpSettings improper authorization |
| CVE-2025-2397 | China Mobile P22g-CIac Telnet Service improper authorization |
| CVE-2025-24053 | Microsoft Dataverse Elevation of Privilege Vulnerability |
| CVE-2025-25196 | OpenFGA Authorization Bypass |
| CVE-2025-27509 | SAML authentication vulnerability due to improper SAML response validation |
| CVE-2025-29922 | kcp allows unauthorized creation and deletion of objects in arbitrary workspaces through APIExport Virtual Workspace |
| CVE-2025-11030 | Tutorials-Website Employee Management System HTTP Request all-applied-leave.php improper authorization |
| CVE-2025-11879 | GenerateBlocks <= 2.1.1 - Improper Authorization to Authenticated (Contributor+) Arbitrary Options Disclosure |
| CVE-2025-12283 | code-projects Client Details System authorization |
| CVE-2025-12288 | Bdtask Pharmacy Management System User Profile edit_user authorization |
| CVE-2025-12304 | dulaiduwang003 TIME-SEA-PLUS Order Status PayController.java alipayIsSucceed improper authorization |
| CVE-2025-12854 | newbee-mall-plus seckillExecution executeSeckill authorization |
| CVE-2025-1361 | IP2Location Country Blocker <= 2.38.8 - Missing Authorization to Unauthenticated Information Exposure via admin_init Function |
| CVE-2025-20125 | Cisco Identity Services Engine Insufficient Authorization Bypass Vulnerability |
| CVE-2025-2320 | 274056675 springboot-openai-chatgpt User submit improper authorization |
| CVE-2025-2345 | IROAD Dash Cam X5/Dash Cam X6 improper authorization |
| CVE-2025-24376 | The kubewarden-controller AdmissionPolicy and AdmissionPolicyGroup policies can be used to alter PolicyReport resources |
| CVE-2025-2528 | Improper authorization in application password policy in Devolutions Remote Desktop Manager on Windows allows an authenticate... |
| CVE-2025-2589 | code-projects Human Resource Management System Account.go Index improper authorization |
| CVE-2025-27601 | Umbraco Allows Improper API Access Control to Low-Privilege Users to Data Type Functionality |
| CVE-2025-2600 | Improper authorization in the variable component in Devolutions Remote Desktop Manager on Windows allows an authenticated use... |
| CVE-2025-2637 | JIZHICMS Account Profile Page userinfo.html improper authorization |
| CVE-2025-2638 | JIZHICMS Article release.html improper authorization |
| CVE-2025-2639 | JIZHICMS Article release.html improper authorization |
| CVE-2025-2653 | FoxCMS improper authorization |
| CVE-2025-26683 | Azure Playwright Elevation of Privilege Vulnerability |
| CVE-2025-27399 | Mastodon's domain blocks & rationales ignore user approval when visibility set as "users" |
| CVE-2025-2850 | GL.iNet GL-A1300 Slate Plus Download Interface improper authorization |
| CVE-2025-29778 | Kyverno ignores subjectRegExp and IssuerRegExp |
| CVE-2025-29794 | Microsoft SharePoint Remote Code Execution Vulnerability |
| CVE-2025-29827 | Azure Automation Elevation of Privilege Vulnerability |
| CVE-2025-30373 | Graylog Authenticated HTTP inputs do ingest message even if Authorization header is missing or has wrong value |
| CVE-2025-30389 | Azure Bot Framework SDK Elevation of Privilege Vulnerability |
| CVE-2025-30390 | Azure ML Compute Elevation of Privilege Vulnerability |
| CVE-2025-30392 | Azure AI bot Elevation of Privilege Vulnerability |
| CVE-2025-29926 | The WikiManager REST API allows any user to create wikis |
| CVE-2025-29927 | Authorization Bypass in Next.js Middleware |
| CVE-2025-3454 | This vulnerability in Grafana's datasource proxy API allows authorization checks to be bypassed by adding an extra slash char... |
| CVE-2025-3918 | Job Listings 0.1 - 0.1.1 - Unauthenticated Privilege Escalation via register_action Function |
| CVE-2025-3921 | PeproDev Ultimate Profile Solutions 1.9.1 - 7.5.2 - Missing Authorization to Limited Unauthenticated Arbitrary User Meta Upda... |
| CVE-2025-3924 | PeproDev Ultimate Profile Solutions 1.9.1 - 7.5.2 - Missing Authorization to Unauthenticated Email Enumeration |
| CVE-2025-4103 | WP-GeoMeta 0.3.4 - 0.3.5 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation via wp_ajax_wpgm_start_g... |
| CVE-2025-4104 | Frontend Dashboard 1.0 - 2.2.6 - Missing Authorization to Unauthenticated Privilege Escalation via fed_wp_ajax_fed_login_form... |
| CVE-2025-4473 | Frontend Dashboard 1.5.10 - 2.2.7 - Missing Authorization to Authenticated (Subscriber+) Account Takeover/Privilege Escalatio... |
| CVE-2025-4474 | Frontend Dashboard 1.0 - 2.2.7 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation via fed_admin_sett... |
| CVE-2025-46840 | Adobe Experience Manager | Improper Authorization (CWE-285) |
| CVE-2025-32964 | ManageWiki vulnerable to permission bypass when disabling extensions requiring certain permissions in Special:ManageWiki/exte... |
| CVE-2025-32972 | The lesscss script service allows cache clearing without programming right |
| CVE-2025-3550 | wowjoy 浙江湖州华卓信息科技有限公司 Internet Doctor Workstation System detail improper authorization |
| CVE-2025-3564 | huanfenz/code-projects StudentManager Teacher String improper authorization |
| CVE-2025-3567 | veal98 小牛肉 Echo 开源社区系统 Ticket LoginTicketInterceptor.java preHandle improper authorization |
| CVE-2025-3569 | JamesZBL/code-projects db-hospital-drug ShiroConfig.java improper authorization |
| CVE-2025-3587 | ZeroWdd/code-projects studentmanager getTeacherList improper authorization |
| CVE-2025-3967 | itwanger paicoding Article post improper authorization |
| CVE-2025-3977 | iteachyou Dreamer CMS Attachment download improper authorization |
| CVE-2025-3980 | wowjoy 浙江湖州华卓信息科技有限公司 Internet Doctor Workstation System list improper authorization |
| CVE-2025-3981 | wowjoy 浙江湖州华卓信息科技有限公司 Internet Doctor Workstation System details improper authorization |
| CVE-2025-4210 | Casdoor SCIM User Creation Endpoint scim.go HandleScim authorization |
| CVE-2025-43585 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2025-4519 | IDonate 2.1.5 - 2.1.9 - Missing Authorization to Authenticated (Subscriber+) Account Takeover/Privilege Escalation via idonat... |
| CVE-2025-4672 | Offsprout Page Builder 2.2.1 - 2.15.2 - Authenticated (Contributor+) Privilege Escalation via permission_callback Function |
| CVE-2025-5175 | erdogant pypickle pypickle.py save improper authorization |
| CVE-2025-5182 | Summer Pearl Group Vacation Rental Management Platform Listing authorization |
| CVE-2025-53532 | giscus allows unauthorized discussion creation |
| CVE-2025-27602 | Umbraco Allows a Restricted Editor User to Delete Media Item or Access Unauthorized Content |
| CVE-2025-3013 | Insecure direct object references (IDOR) in NightWolf Penetration Platform |
| CVE-2025-3014 | Insecure direct object references (IDOR) in NightWolf Penetration Platform |
| CVE-2025-3199 | ageerle ruoyi-ai API Interface SysModelController.java improper authorization |
| CVE-2025-3202 | ageerle ruoyi-ai SysNoticeController.java improper authorization |
| CVE-2025-3536 | Tutorials-Website Employee Management System delete-user.php improper authorization |
| CVE-2025-3537 | Tutorials-Website Employee Management System update-user.php improper authorization |
| CVE-2025-4016 | 20120630 Novel-Plus LogController.java deleteIndex improper authorization |
| CVE-2025-4017 | 20120630 Novel-Plus LogController.java list improper authorization |
| CVE-2025-4136 | Weitong Mall Sale Endpoint improper authorization |
| CVE-2025-4631 | Profitori 2.0.6.0 - 2.1.1.3 - Missing Authorization to Unauthenticated Privilege Escalation via stocktend_object Endpoint |
| CVE-2025-4654 | Soumettre.fr <= 2.1.5 - Improper Authorization to Unauthenticated Soumettre Posts Creation/Modification/Deletion |
| CVE-2025-4819 | y_project RuoYi Offline Logout batchForceLogout improper authorization |
| CVE-2025-53709 | Access control issues impacting secure-upload service |
| CVE-2025-58156 | Centurion ERP users can view hashed authentication tokens that belong to other users |
| CVE-2025-59271 | Redis Enterprise Elevation of Privilege Vulnerability |
| CVE-2025-61781 | GraphQL IDOR allows authenticated user to delete workspace content of other users |
| CVE-2025-46732 | OpenCTI's GraphQL IDOR enables authenticated users to modify or delete notifications of other users |
| CVE-2025-48063 | XWiki Platform Security Authorization Bridge allows users with just edit right can enforce required rights with programming r... |
| CVE-2025-48371 | OpenFGA Authorization Bypass |
| CVE-2025-49594 | XWiki OIDC Authenticator vulnerable to creation of token for any user with just `view` right |
| CVE-2025-49701 | Microsoft SharePoint Remote Code Execution Vulnerability |
| CVE-2025-49746 | Azure Machine Learning Elevation of Privilege Vulnerability |
| CVE-2025-53106 | Graylog vulnerable to privilege escalation through API tokens |
| CVE-2025-53512 | Sensitive log retrieval in Juju |
| CVE-2025-54130 | Cursor Agent is vulnerable prompt injection via Editor Special Files |
| CVE-2025-54585 | GitProxy is vulnerable to a new branch approval exploit |
| CVE-2025-54868 | LibreChat exposes arbitrary chats through Meilisearch engine |
| CVE-2025-5511 | quequnlong shiyi-blog photos improper authorization |
| CVE-2025-55675 | Apache Superset: Incorrect datasource authorization on REST API |
| CVE-2025-6088 | Improper Authorization in danny-avila/librechat |
| CVE-2025-6099 | szluyu99 gin-vue-blog PATCH Request manager.go improper authorization |
| CVE-2025-66290 | OrangeHRM is Vulnerable to Improper Authorization Allowing Unauthorized Access to Candidate Attachments |
| CVE-2025-62401 | Moodle: possible to bypass timer in timed assignments |
| CVE-2025-62520 | MantisBT unauthorized disclosure of private project column configuration |
| CVE-2025-6329 | ScriptAndTools Real Estate Management System User Delete userdelete.php authorization |
| CVE-2025-64523 | FileBrowser has Insecure Direct Object Reference (IDOR) in Share Deletion Function |
| CVE-2025-64751 | OpenFGA Improper Policy Enforcement |
| CVE-2025-65020 | Rallly Has Unauthorized Poll Duplication via Insecure Direct Object Reference (IDOR) |
| CVE-2025-65021 | Rallly Has Unauthorized Poll Finalization via Insecure Direct Object Reference (IDOR) |
| CVE-2025-65028 | Rallly Has an IDOR Vulnerability in Vote Update Endpoint Allows Unauthorized Manipulation of Participant Votes |
| CVE-2025-65029 | Rallly Has an IDOR Vulnerability in Participant Deletion Endpoint Allows Unauthorized Removal of Poll Participants |
| CVE-2025-65030 | Rallly Improper Authorization in Comment Deletion Endpoint Allows Unauthorized Comment Removal |
| CVE-2025-65031 | Rallly Improper Authorization in Comment Endpoint Allows User Impersonation |
| CVE-2025-65033 | Rallly Broken Authorization: Any User Can Pause or Resume Any Poll via Poll ID Manipulation |
| CVE-2025-65041 | Microsoft Partner Center Elevation of Privilege Vulnerability |
| CVE-2025-65094 | WBCE CMS is Vulnerable to Privilege Escalation via Group ID Manipulation (IDOR) |
| CVE-2025-65107 | Langfuse SSO Account Takeover via CSRF or phishing attack |
| CVE-2025-66291 | OrangeHRM is Vulnerable to Improper Authorization Allowing Unauthorized Access to Interview Attachments |
| CVE-2025-66301 | Grav ihas Broken Access Control which allows an Editor to modify the page's YAML Frontmatter to alter form processing actions |
| CVE-2025-7778 | Icons Factory <= 1.6.12 - Missing Authorization to Unauthenticated Arbitrary File Deletion via delete_files() Function |
| CVE-2025-8261 | Vaelsys User Creation vgrid_server.php improper authorization |
| CVE-2025-53792 | Azure Portal Elevation of Privilege Vulnerability |
| CVE-2025-53795 | Microsoft PC Manager Elevation of Privilege Vulnerability |
| CVE-2025-54378 | HAX CMS Backend Lacks Comprehensive Authorization Checks |
| CVE-2025-54787 | SuiteCRM: Improper Authorization for attachment downloads |
| CVE-2025-54822 | An improper authorization vulnerability [CWE-285] vulnerability in Fortinet FortiOS 7.4.0 through 7.4.1, FortiOS 7.2.0 throug... |
| CVE-2025-5522 | jack0240 魏 bskms 蓝天幼儿园管理系统 User Creation addUser improper authorization |
| CVE-2025-61928 | Better Auth: Unauthenticated API key creation through api-key plugin |
| CVE-2025-62610 | Hono Improperly Authorizes JWT Audience Validation |
| CVE-2025-64655 | Dynamics OmniChannel SDK Storage Containers Elevation of Privilege Vulnerability |
| CVE-2025-6525 | 70mai 1S Configuration Config.cgi improper authorization |
| CVE-2025-65963 | CFiles Unauthorized Folder/ZIP Access in Public Spaces |
| CVE-2025-65966 | OneUptime Unauthorized User Creation via API |
| CVE-2025-6639 | Tutor LMS Pro – eLearning and online course solution <= 3.8.3 - Authenticated (Subscriber+) Insecure Direct Object Reference... |
| CVE-2025-6735 | juzaweb CMS Import Page imports improper authorization |
| CVE-2025-6736 | juzaweb CMS Add New Themes Page install improper authorization |
| CVE-2025-7938 | jerryshensjf JPACookieShop 蛋糕商城JPA版 GoodsController.java updateGoods authorization |
| CVE-2025-7947 | jshERP Account delete improper authorization |
| CVE-2025-6702 | linlinjava litemall post improper authorization |
| CVE-2025-6713 | MongoDB Server may be susceptible to privilege escalation due to $mergeCursors stage |
| CVE-2025-67603 | Lack of client authorization allows arbitrary users to influence the firewall configuration |
| CVE-2025-67715 | Weblate has Systematic User and Project Enumeration via Broken Authorization in REST API (IDOR) |
| CVE-2025-68481 | FastAPI Users Vulnerable to 1-click Account Takeover in Apps Using FastAPI SSO |
| CVE-2025-7221 | GiveWP – Donation Plugin and Fundraising Platform <= 4.5.0 - Missing Authorization to Donation Update |
| CVE-2025-8057 | IDOR in Patika Global Technologies' HumanSuite |
| CVE-2025-8147 | LWSCache <= 2.8.5 - Missing Authorization to Authenticated (Subscriber+) Limited Plugin Activation via lwscache_activatePlugi... |
| CVE-2025-8401 | HT Mega – Absolute Addons For Elementor <= 2.9.1 - Authenticated (Author+) Sensitive Information Exposure |
| CVE-2025-8532 | IDOR in Bimser's eBA Document and Workflow Management System |
| CVE-2025-8547 | atjiu pybbs Email Verification improper authorization |
| CVE-2025-8789 | Portabilis i-Educar API Endpoint Diario authorization |
| CVE-2025-8790 | Portabilis i-Educar API Endpoint pessoa improper authorization |
| CVE-2025-8791 | LitmusChaos Litmus list_projects improper authorization |
| CVE-2025-8794 | LitmusChaos Litmus LocalStorage authorization |
| CVE-2026-20960 | PowerApps Desktop Client Remote Code Execution Vulnerability |
| CVE-2025-9151 | LiuYuYang01 ThriveX-Blog web updateJsonValueByName improper authorization |
| CVE-2025-9602 | Xinhu RockOA index.php publicsaveAjax improper authorization |
| CVE-2025-9760 | Portabilis i-Educar Matricula API matricula improper authorization |
| CVE-2025-9936 | fuyang_lipengjun platform queryAll AdController improper authorization |
| CVE-2025-9937 | elunez eladmin LocalStorageController deleteFile improper authorization |
| CVE-2026-0574 | yeqifu warehouse Request UserController.java saveUserRole improper authorization |
| CVE-2026-1106 | Chamilo LMS Legal Consent SocialController.php deleteLegal improper authorization |
| CVE-2026-1193 | MineAdmin View view improper authorization |
| CVE-2026-1702 | SourceCodester Pet Grooming Management Software User Management user.php improper authorization |
| CVE-2026-1733 | Zhong Bang CRMEB :uni tidyOrder improper authorization |
| CVE-2026-1892 | WeKan REST API boards.js setBoardOrgs improper authorization |
| CVE-2026-1894 | WeKan REST API checklistItems.js Checklist REST Bleed improper authorization |
| CVE-2026-2010 | Sanluan PublicCMS Trade Payment TradePaymentService.java paid improper authorization |
| CVE-2026-2015 | Portabilis i-Educar Final Status Import FinalStatusImportService.php improper authorization |
| CVE-2025-8755 | macrozheng mall com.macro.mall.portal.controller UmsMemberController.java detail authorization |
| CVE-2025-8756 | TDuckCloud tduck-platform manage preHandle improper authorization |
| CVE-2025-8839 | jshERP Endpoint addUser improper authorization |
| CVE-2025-8840 | jshERP Endpoint deleteBatch improper authorization |
| CVE-2025-9294 | Quiz And Survey Master <= 10.3.1 - Missing Authorization to Authenticated (Subscriber+) Quiz Results Deletion |
| CVE-2025-9609 | Portabilis i-Educar consulta improper authorization |
| CVE-2025-9687 | Portabilis i-Educar processamentoApi improper authorization |
| CVE-2025-9835 | macrozheng mall cancelUserOrder cancelOrder authorization |
| CVE-2025-9836 | macrozheng mall paySuccess authorization |
| CVE-2026-1112 | Sanluan PublicCMS Trade Address Deletion Endpoint TradeAddressController.java delete improper authorization |
| CVE-2026-1141 | PHPGurukul News Portal Add Sub-Admin add-subadmins.php improper authorization |
| CVE-2026-1550 | PHPGurukul Hospital Management System Admin Dashboard adminviews.py improper authorization |
| CVE-2026-1597 | Bdtask SalesERP Administrative Endpoint improper authorization |
| CVE-2026-2076 | yeqifu warehouse User Management Endpoint UserController.java deleteUser improper authorization |
| CVE-2026-2077 | yeqifu warehouse Role Management RoleController.java deleteRole improper authorization |
| CVE-2026-2676 | GoogTech sms-ssm API LoginInterceptor.java preHandle improper authorization |
| CVE-2026-2693 | CoCoTeaNet CyreneAdmin System Info Endpoint getCount improper authorization |
| CVE-2026-2974 | AliasVault App Backup aliasvault.xml backup |
| CVE-2026-2078 | yeqifu warehouse Permission Management PermissionController.java deletePermission improper authorization |
| CVE-2026-2079 | yeqifu warehouse Menu Management MenuController.java deleteMenu improper authorization |
| CVE-2026-22252 | LibreChat MCP Stdio Remote Command Execution |
| CVE-2026-22641 | Без описания... |
| CVE-2026-24305 | Azure Entra ID Elevation of Privilege Vulnerability |
| CVE-2026-24835 | Podman Desktop Extension System Vulnerable to Authentication Bypass |
| CVE-2026-25809 | PlaciPy Code Execution Allowed Without Assessment Active State Validation |
| CVE-2026-25885 | PolarLearn allows Unauthenticated WebSocket access allows subscribing to and posting in arbitrary group chats |
| CVE-2026-25893 | FUXA Unauthenticated Remote Code Execution via Admin JWT Minting |
| CVE-2026-2860 | feng_ha_ha/megagao ssm-erp/production_ssm EmployeeController.java improper authorization |
| CVE-2026-2896 | funadmin Configuration Ajax.php setConfig improper authorization |
| CVE-2026-2105 | yeqifu warehouse Department Management DeptController.java deleteDept improper authorization |
| CVE-2026-2106 | yeqifu warehouse Notice Management NoticeController.java batchDeleteNotice improper authorization |
| CVE-2026-2107 | yeqifu warehouse Log Info LoginfoController.java batchDeleteLoginfo improper authorization |
| CVE-2026-2109 | jsbroks COCO Annotator Delete Category undo improper authorization |
| CVE-2026-2141 | WuKongOpenSource WukongCRM URL PermissionServiceImpl.java improper authorization |
| CVE-2026-22022 | Apache Solr: Unauthorized bypass of certain "predefined permission" rules in the RuleBasedAuthorizationPlugin |
| CVE-2026-22042 | RustFS has IAM Incorrect Authorization in ImportIam that Allows Privilege Escalation |
| CVE-2026-2209 | WeKan Custom Translation translationBody.js setCreateTranslation improper authorization |
| CVE-2026-23623 | Collabora Online vulnerable to Authorization Bypass |
| CVE-2026-25724 | Claude Code Has Permission Deny Bypass Through Symbolic Links |
| CVE-2026-25999 | Klaw has an improper authorisation check on /resetMemoryCache |
| CVE-2026-26020 | AutoGPT Affected by Remote Code Execution via Dynamic Module Import in Block Loading (__import__) |
| CVE-2026-2733 | Org.keycloak/keycloak-services: keycloak: missing check on disabled client for docker registry protocol |
| CVE-2024-27916 | `GetRepositoryByName`, `DeleteRepositoryByName` and `GetArtifactByName` allow access of arbitrary repositories in Minder by a... |
| CVE-2024-27930 | Sensitive fields access through dropdowns in GLPI |
| CVE-2024-27937 | glpi Users emails enumeration |
| CVE-2025-21275 | Windows App Package Installer Elevation of Privilege Vulnerability |
| CVE-2025-21348 | Microsoft SharePoint Server Remote Code Execution Vulnerability |
| CVE-2025-53944 | AutoGPT Platform Exposes Graph Execution Results via Authorization Gap |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230614-16 | 14.06.2023 | Получение конфиденциальной информации в Red Hat OpenStack |
| VULN:20230703-4 | 03.07.2023 | Обход безопасности в Ultimate Member – User Profile & Membership Plugin |
| VULN:20230929-3 | 29.09.2023 | Перезапись произвольных файлов в Cisco IOS |
| VULN:20231006-23 | 06.10.2023 | Повышение привилегий в D-Link D-View |
| VULN:20231018-8 | 18.10.2023 | Отказ в обслуживании в Cisco Catalyst SD-WAN Manager |
| VULN:20231027-2 | 27.10.2023 | Получение конфиденциальной информации в VMware Tools |
| VULN:20231101-12 | 01.11.2023 | Перезапись произвольных файлов в Post Meta Data Manager plugin for WordPress |
| VULN:20231101-13 | 01.11.2023 | Повышение привилегий в Post Meta Data Manager plugin for WordPress |
| VULN:20231101-8 | 01.11.2023 | Перезапись произвольных файлов в Confluence Server and Data Center |
| VULN:20240112-2 | 12.01.2024 | Получение конфиденциальной информации в Gitlab Community Edition |
| VULN:20240131-2 | 31.01.2024 | Отказ в обслуживании в GC370XA |
| VULN:20240318-9 | 18.03.2024 | Повышение привилегий в RUGGEDCOM APE1808 |
| VULN:20240708-18 | 08.07.2024 | Повышение привилегий в TC500 |
| VULN:20240715-49 | 15.07.2024 | Обход безопасности в Adobe Commerce (formerly Magento Commerce) |
| VULN:20240719-4 | 19.07.2024 | Чтение локальных файлов в Кейсистемс "Управление сервисами СМАРТ/WEB" |
| VULN:20240812-24 | 12.08.2024 | Выполнение произвольного кода в Apache OFBiz |
| VULN:20241007-48 | 07.10.2024 | Повышение привилегий в Cisco Small Business RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers |
| VULN:20250117-10 | 17.01.2025 | Выполнение произвольного кода в Dell OpenManage Network Integration (OMNI) |
| VULN:20250226-51 | 26.02.2025 | Выполнение произвольного кода в Adobe Commerce and Magento Open Source |
| VULN:20250226-54 | 26.02.2025 | Выполнение произвольного кода в Adobe Commerce and Magento Open Source |
| VULN:20250303-5 | 03.03.2025 | Повышение привилегий в Cisco Identity Services Engine |
| VULN:20250326-10 | 26.03.2025 | Обход безопасности в Next.js |
| VULN:20250409-3 | 09.04.2025 | Получение конфиденциальной информации в Dell VxRail Appliance |
| VULN:20250602-89 | 02.06.2025 | Получение конфиденциальной информации в Dell Secure Connect Gateway |
| VULN:20250618-95 | 18.06.2025 | Получение конфиденциальной информации в Spring Security |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.