Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-285
Improper Authorization
The product does not perform or incorrectly performs an authorization check when an actor attempts to access a resource or perform an action.
| Тип уязвимости: | Не зависит от других уязвимостей |
| Вероятность эксплойта: |
High
|
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2014-00047 | Уязвимость операционной системы Zyxel ZLD, позволяющая злоумышленнику вызвать отказ в обслуживании |
| BDU:2016-02046 | Уязвимость браузера Google Chrome, позволяющая нарушителю обойти существующую политику ограничения доступа |
| BDU:2016-02047 | Уязвимость браузера Google Chrome, позволяющая нарушителю обойти существующую политику ограничения доступа |
| BDU:2016-02101 | Уязвимость микропрограммного обеспечения модемов Onecell G3100v2 и Onecell G3001, позволяющая нарушителю получить доступ к устройству |
| BDU:2016-02147 | Уязвимость операционной системы Windows, позволяющая нарушителю подобрать пароль |
| BDU:2017-00055 | Уязвимость операционной системы Android, позволяющая нарушителю получить несанкционированный доступ к памяти |
| BDU:2017-00395 | Уязвимость операционной системы iOS, позволяющая нарушителю обойти существующую политику авторизации |
| BDU:2017-01393 | Уязвимость компонента TrustZone операционной системы Android, позволяющая нарушителю получить доступ к ресурсу |
| BDU:2017-01406 | Уязвимость в Core Kernel операционной системы Android, позволяющая нарушителю получить доступ к ресурсу |
| BDU:2017-02036 | Уязвимость системы управления базами данных PostgreSQL, вызванная недостатками авторизации, позволяющая нарушителю вызвать отказ системы |
| BDU:2018-00226 | Уязвимость микропрограммного обеспечения маршрутизаторов Phoenix Contact FL SWITCH, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ к устройству с привилегиями администратора |
| BDU:2018-00496 | Уязвимость микропрограммного обеспечения коммутационных модулей Siemens EN100, устройств релейной защиты SIPROTEC и пакета программного обеспечения для управления и настройки устройств защиты DIGSI 4, связанная с ошибками в авторизации, позволяющая н... |
| BDU:2018-00652 | Уязвимость встроенного веб-сервера микропрограммного обеспечения модуля управления источников бесперебойного питания APC MGE SNMP/Web Card Transverse 66074, позволяющая нарушителю изменять настройки устройства |
| BDU:2018-01084 | Уязвимость функции смены пароля программного средства Cisco Prime Collaboration Provisioning для централизованного управления продуктами Cisco, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2018-01147 | Уязвимость функции EAFS_BCA_BUSOPR_2 программной платформы SAP Enterprise Financial Services, позволяющая нарушителю повысить свои привилегии |
| BDU:2018-01148 | Уязвимость функции EAFS_BCA_BUSOPR_SEPA программной платформы SAP Enterprise Financial Services, позволяющая нарушителю повысить свои привилегии |
| BDU:2018-01402 | Уязвимость программного средства Microsoft Team Foundation Server, связанная с ошибками процедуры авторизации, позволяющая нарушителю выполнить произвольные команды |
| BDU:2019-00016 | Уязвимость микропрограммного обеспечения межсетевого экрана Cisco Adaptive Security Appliance, связанная с ошибками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-01096 | Уязвимость интерфейса командной строки сетевой операционной системы Cisco NX-OS устройств Cisco, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2019-01108 | Уязвимость интерфейса управления учетными записями сетевой операционной системы Cisco NX-OS маршрутизаторов Cisco, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-01295 | Уязвимость системы управления базами данных PostgreSQL, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-01353 | Уязвимость средства управления журналами vRealize Log Insight, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-01630 | Уязвимость сервера печати CUPS, связанная с ошибками авторизации, позволяющая нарушителю выполнить произвольный код с привилегиями root |
| BDU:2019-01632 | Уязвимость сервера печати CUPS, связанная с ошибками авторизации, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2019-01737 | Уязвимость средства для формирования отчетности SAP Disclosure Management, связанная с недостатками процедуры аутентификации, позволяющая нарушителю повысить привилегии |
| BDU:2019-01760 | Уязвимость компонента Spring Framework программных продуктов Oracle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-01796 | Уязвимость реализации протокола Secure Shell (SSH) микропрограммного обеспечения сетевых устройств Cisco серии Small Business, позволяющая нарушителю получить доступ к конфигурации от имени администратора |
| BDU:2019-01981 | Уязвимость реализации программного интерфейса RESTful Services платформы управления политиками соединений Cisco Identity Services Engine, позволяющая нарушителю генерировать произвольные сертификаты, подписанные службами внутреннего центра сертификац... |
| BDU:2019-02129 | Уязвимость механизма аутентификации службы Secure Shell (SSH) операционной системы Cisco IOS XR, позволяющая нарушителю получить доступ к уязвимому устройству |
| BDU:2019-02517 | Уязвимость компонента daemon/gvfsbackendadmin.c подсистемы GVFS среды рабочего стола GNOME операционных систем Linux, позволяющая нарушителю подключиться к D-Bus серверу |
| BDU:2019-02553 | Уязвимость программного обеспечения платформы для управления системами видеонаблюдения Siveillance VMS, связанная с недостатками контроля доступа, позволяющая нарушителю изменить настройки устройства |
| BDU:2019-02673 | Уязвимость веб-интерфейса управления межсетевого экрана Cisco RV110W Wireless-N VPN Firewall, маршрутизаторов Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router, позволяющая нарушителю получить доступ к списку устро... |
| BDU:2019-02674 | Уязвимость веб-интерфейса управления межсетевого экрана Cisco RV110W Wireless-N VPN Firewall, маршрутизаторов Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router, позволяющая нарушителю получить доступ к защищаемой и... |
| BDU:2019-02675 | Уязвимость веб-интерфейса управления межсетевого экрана Cisco RV110W Wireless-N VPN Firewall, маршрутизаторов Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-02752 | Уязвимость SSL VPN веб-портала операционной системы FortiOS, связанная с ошибками в работе механизма авторизации на веб-портале, позволяющая нарушителю изменить пароль пользователя веб-портала |
| BDU:2019-02867 | Уязвимость веб-интерфейса администрирования маршрутизаторов Cisco Small Business серии 220, позволяющая нарушителю записать произвольные файлы в файловую систему устройства |
| BDU:2019-02912 | Уязвимость веб-интерфейса администрирования межсетевых экранов Cisco Adaptive Security Appliance (ASA), позволяющая нарушителю повысить свои привилегии |
| BDU:2019-02945 | Уязвимость реализации класса Smart Class программного средства для управления системами Red Hat Satellite и приложения для управления, настройки и мониторинга сервера Foreman, позволяющая нарушителю изменить конфигурационные файлы |
| BDU:2019-03037 | Уязвимость веб-сервера программного средства удалённого администрирования серверов Cisco Integrated Management Controller, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-03063 | Уязвимость веб-интерфейса управления программного средства удалённого администрирования серверов Cisco Integrated Management Controller, позволяющая нарушителю внести несанкционированные изменения в конфигурацию системы |
| BDU:2019-03345 | Уязвимость компонента astra-sambadc операционной системы Astra Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-03360 | Уязвимость киоска fly-admin-kiosk рабочей среды FLY операционной системы Astra Linux, связанная с неправильной авторизацией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-03445 | Уязвимость интерфейса командной строки операционной системы Cisco IOS XE, позволяющая нарушителю выполнить произвольные команды в базовой операционной системе |
| BDU:2019-03585 | Уязвимость механизма отображения веб-страниц Blink веб-браузера Google Chrome, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2019-03644 | Уязвимость функции синтаксического анализа DNS-сервера PowerDNS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-03656 | Уязвимость операционной системы Junos OS маршрутизаторов NFX Series, связанная с ошибками процедуры авторизации, позволяющая нарушителю получить доступ к приложению Junos Device Manager (JDM) и полный контроль над системой |
| BDU:2019-03995 | Уязвимость модуля авторизации программного обеспечения системы управления защитой контента Cisco Content Security Management Appliance, позволяющая нарушителю получить доступ к сообщениям категории спам других пользователей |
| BDU:2019-04334 | Уязвимость в функционале изоляции сайтов, возникающую при восстановлении вкладок, браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04335 | Уязвимость в функционале изоляции сайтов, возникающую при использовании Blob URL, браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04338 | Уязвимость модуля отображения Blink браузера Google Chrome, позволяющая нарушителю обойти настроенные фильтры содержимого и оказать воздействие на целостность защищаемой информации |
| BDU:2019-04552 | Уязвимость модуля электронного взаимодействия служб и должностных лиц аппаратно-программной платформы "Безопасный город", связанная с недостатками механизмов авторизации, позволяющая нарушителю определить все существующие имена пользователей |
| BDU:2019-04699 | Уязвимость операционной системы FortiOS, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04860 | Уязвимость отладчика ABAP Debugger, вызванная недостатками процедуры авторизации, позволяющая нарушителю выполнить команду "Go to statement" без процедуры авторизации |
| BDU:2020-00162 | Уязвимость API-интерфейса средства защиты от угроз Threat Intelligence Exchange Server, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2020-00627 | Уязвимость программной интеграционной платформы SAP NetWeaver, вызванная недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-00645 | Уязвимость программного средства управления персоналом SAP ERP HCM, вызванная недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-01537 | Уязвимость системы хранения данных Ceph, связанная с ошибкой процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к ключам шифрования dm-crypt |
| BDU:2020-01897 | Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, связанная с недостатками контроля доступа, позволяющая нарушителю осуществить обход процесса аутентификации между EcoStruxure... |
| BDU:2020-02010 | Уязвимость инструмента для ввода Astra Linux SE/CE в домен MS Windows AD astra-winbind, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2020-02012 | Уязвимость системы управления ЕПП службы Astra Linux Directory (ALD), связанная с некорректной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании |
| BDU:2020-02749 | Уязвимость программного средства автоматизации работы операторов Cisco Unified Contact Center Express, связанная с ошибками авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-02853 | Уязвимость сервиса AJP Connector сервера приложений Apache Tomcat, позволяющая нарушителю получить несанкционированный доступ на чтения файлов веб-приложений |
| BDU:2020-02868 | Уязвимость виртуальной машины Eclipse OpenJ9, связанная с ошибками разграничения доступа к диагностическим операциям, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-03424 | Уязвимость веб-интерфейса управления межсетевого экрана Cisco RV110W Wireless-N VPN Firewall и микропрограммного обеспечения маршрутизатора Cisco RV215W Wireless-N VPN Router, позволяющая нарушителю получить несанкционированный доступ к защищаемой ин... |
| BDU:2020-03621 | Уязвимость реализации протокола TLS программной платформы Node.js, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-03791 | Уязвимость веб-интерфейса системы сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю повысить свои привилегии |
| BDU:2020-03829 | Уязвимость веб-интерфейса управления программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-03899 | Уязвимость программной платформы для управления виртуальными средами CloudForms Management Engine, связанная с ошибками авторизации, позволяющая нарушителю создавать существующих и несуществующих пользователей управления доступом на основе ролей с гр... |
| BDU:2020-03900 | Уязвимость программной платформы для управления виртуальными средами CloudForms Management Engine, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-04138 | Уязвимость функции Enable Secret сетевой операционной системы Cisco NX-OS маршрутизаторов Cisco Nexus серии 9000, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-05127 | Уязвимость компонента интеграции программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, удалять сведе... |
| BDU:2020-05128 | Уязвимость компонента Inventory программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информац... |
| BDU:2020-05129 | Уязвимость компонента Inventory программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2020-05131 | Уязвимость компонента интеграции программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю удалять cms-страницы через REST API без авторизации |
| BDU:2020-05591 | Уязвимость программ просмотра PDF-файлов Adobe Reader Document Cloud, Adobe Reader и программ редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat, связанная с ошибками процедуры авторизации, позволяющая нарушителю выполнить произвол... |
| BDU:2020-05638 | Уязвимость микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 модуля SC150, связанная с некорректной авторизацией пользователей, позволяющая нарушителю просматривать и из... |
| BDU:2020-05794 | Уязвимость веб-интерфейса системы сетевого управления центром обработки данных Cisco Data Center Network Manager, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-05797 | Уязвимость веб-интерфейса системы сетевого управления центром обработки данных Cisco Data Center Network Manager, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2021-00045 | Уязвимость реализации механизма Strict Transport Security (HSTS) браузера Mozilla Firefox, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-00219 | Уязвимость программного обеспечения TrueConf Server, связанная с недостатками механизма управления токенами пользователей, позволяющая нарушителю получить доступ к учетной записи пользователя |
| BDU:2021-00253 | Уязвимость реализации механизма контроля доступа к функциям модуля мониторинга сервера Mind Server, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-00675 | Уязвимость планировщика заданий операционной системы Windows, позволяющая нарушителю выполнить произвольный код с привилегиями системы |
| BDU:2021-01543 | Уязвимость компонента интеграции программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01933 | Уязвимость службы XPC средства антивирусной защиты Kaspersky Internet Security для операционных систем MacOS, позволяющая нарушителю отключить антивирусную защиту |
| BDU:2021-02416 | Уязвимость веб-интерфейса vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02525 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02558 | Уязвимость интерфейса управления кластером программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02559 | Уязвимость интерфейса управления кластером программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03282 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03283 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03307 | Уязвимость функции cp_plugins_do_button_job_later_callback плагина Tree Sitemap WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-03386 | Уязвимость сервера хранения объектов MinIO, связанная с ошибками авторизации, позволяющая нарушителю обойти политику readOnly и оказать воздействие на целостность защищаемой информации |
| BDU:2021-03522 | Уязвимость программного средства Cisco Business Process Automation, связанная с некорректными настройками авторизации для команд управления и настройками доступа к журналам действий, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-03523 | Уязвимость программного средства Cisco Business Process Automation, связанная с некорректными настройками авторизации для команд управления и настройками доступа к журналам действий, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-03573 | Уязвимость интерфейса REST API платформы для организации безопасности, автоматизации и реагирования Cortex XSOAR, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04535 | Уязвимость модуля pam_shells пакета файлов конфигурации и настройки системы Setup операционных систем Red Hat Enterprise Linux и Fedora, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04925 | Уязвимость службы rhttpproxy средства управления виртуальной инфраструктурой VMware vCenter Server, платформы виртуализации VMware Cloud Foundation, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2021-04975 | Уязвимость службы JMS Connector Service сервера веб-приложений SAP NetWeaver Java Application Server, позволяющая нарушителю обойти существующие ограничения безопасности или выполнить произвольный код |
| BDU:2021-04980 | Уязвимость средства управления виртуальной инфраструктурой VMware vCenter Server, связанная с некорректным определением URI конечных точек, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05089 | Уязвимость приложения для резервного копирования и аварийного восстановления данных HBS 3 (Hybrid Backup Sync) операционных систем QTS, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-05548 | Уязвимость микропрограммного обеспечения программируемого логического контроллера ioLogik, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии в системе |
| BDU:2021-05887 | Уязвимость файлового менеджера Adobe Bridge, связанная с неправильной авторизацией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-05929 | Уязвимость сервисов MasterCard Tokenisation Service (MDES), Visa Tokenisation Service (VTS), связанная с отсутствием критичных полей в алгоритме криптограмм ARQC (например 9F15 MCC), позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-05930 | Уязвимость сервисов MasterCard Tokenisation Service (MDES), Visa Tokenisation Service (VTS), связанная с произвольной модификацией поля Amount в пакете Authorisation Request ISO 8583, позволяющая нарушителю использовать криптограммы для совершения мо... |
| BDU:2021-05931 | Уязвимость сервиса MasterCard Tokenisation Service (MDES), связанная с использованием недостатков пары GPay/MasterCard, позволяющая нарушителю клонировать транзакции и совершать платежи выше лимитов Tap Go |
| BDU:2021-05932 | Уязвимость токенизационных сервисов MasterCard, Visa, American Express, связанная с недостаточной авторизацией криптограмм ARQC генерируемых мобильными кошельками Apple Pay, Samsung Pay, GPay, позволяющая нарушителю использовать на токенизационных се... |
| BDU:2021-06207 | Уязвимость интерфейса J-Web операционных систем Junos OS, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2021-06265 | Уязвимость сервера автоматизации Jenkins, связанная с некорректной процедурой авторизации, позволяющая нарушителю создавать произвольные файлы |
| BDU:2021-06313 | Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060 и Adam-6050 D, связанная с ошибками в работе механизма восстановления пароля, позволяющая нарушителю восстановить настройки по умолчанию |
| BDU:2021-06315 | Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060 и Adam-6050 D, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить полный доступ к устройству с привилегии администратора |
| BDU:2022-00341 | Уязвимость реализации команды cutmem загрузчика операционных систем Grub2, позволяющая нарушителю получить доступ к конфиденциальным данным, оказать влияние на целостность данных, а также вызвать отказ в обслуживании |
| BDU:2022-01258 | Уязвимость компонента интеграции программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю выполнить обход функций безопасности, а так же получить несанкционированны... |
| BDU:2022-01407 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01517 | Уязвимость реализации сценария cron/save_allow.cgi модуля Scheduled Cron Jobs веб-интерфейса системного администрирования для UNIX-подобных операционных систем Webmin, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-02487 | Уязвимость веб-интерфейса микропрограммного обеспечения маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345, RV345P, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2022-02493 | Уязвимость веб-интерфейса микропрограммного обеспечения маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345, RV345P, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2022-02690 | Уязвимость scada-сервера Elcomplus SmartPPT, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-02710 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, связанная с ошибками процедуры авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-03622 | Уязвимость серверного корпоративного программного обеспечения мониторинга и управления проектами баз знаний Adobe RoboHelp Server, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03702 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab Enterprise Edition, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-03745 | Уязвимость функции PAM auth системы управления конфигурациями и удалённого выполнения операций Salt, позволяющая нарушителю выполнять произвольные команды |
| BDU:2022-04213 | Уязвимость приложения Galaxy Store, связанная с неправильной авторизацией, позволяющая нарушителю устанавливать приложения из Galaxy Store без взаимодействия с пользователем |
| BDU:2022-04236 | Уязвимость компонента RegexRequestMatcher Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-04822 | Уязвимость компонента NVIDIA Virtual GPU Manager драйвера виртуальных графических процессоров NVIDIA Virtual GPU, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность, доступность защищаемой информации |
| BDU:2022-05249 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-05283 | Уязвимость системы аппаратной виртуализации Windows Hyper-V операционной системы Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-05321 | Уязвимость компонента API диспетчера межсайтовых политик Cisco ACI Multi-Site Orchestrator (MSO) , позволяющая нарушителю повысить свои привилегии |
| BDU:2022-05604 | Уязвимость программного обеспечения управления кластерами Kubernets Rancher, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-06005 | Уязвимость реализации технологии LTE микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-06084 | Уязвимость компонента MIFF кроссплатформенной библиотеки для работы с графикой GraphicsMagick, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2022-06189 | Уязвимость веб-интерфейса управления операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-06190 | Уязвимость SMTP-сервера системы управления взаимоотношениями с клиентами SuiteCRM, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2022-06277 | Уязвимость системы управления взаимоотношениями с клиентами SuiteCRM, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании |
| BDU:2022-06451 | Уязвимость системы хранения данных Cloud Mobility for Dell Storage, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2022-06941 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00072 | Уязвимость SCADA-систем EcoStruxure Geo SCADA Expert 2020, EcoStruxure Geo SCADA Expert 2019, связанная с ошибками разграничения доступа, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-00099 | Уязвимость платформы управления контейнерами Portainer, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить полный доступ к файловой системе |
| BDU:2023-00539 | Уязвимость компонента iotdb-web-workbench базы данных для интернет вещей IoT Apache IoTDB, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-00657 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2023-00890 | Уязвимость антивирусного программного средства Apex One, вызванная недостатками процедуры авторизации, позволяющая нарушителю загрузить произвольные файлы в каталог SampleSubmission |
| BDU:2023-00937 | Уязвимость средства управления доступом к сети Fortinet FortiNAC, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-01004 | Уязвимость веб-интерфейса управления программного средства удаленного управления компьютером Unified Remote, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-01062 | Уязвимость драйвера Dell DBUtil (dbutil_2_3.sys), вызванная недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии, раскрыть защищаемую информацию и вызвать отказ в обслуживании |
| BDU:2023-01072 | Уязвимость компонента AbstractSessionListener программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю получить доступ к сеансу пользователя |
| BDU:2023-01073 | Уязвимость программного средства Dell Command Intel vPro Out of Band, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01154 | Уязвимость программного обеспечения для настройки, тестирования и ввода в эксплуатацию распределительного щита Schneider Electric EcoStruxure Power Commission, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01761 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-01790 | Уязвимость расширения femanager системы управления контентом TYPO3, позволяющая нарушителю установить произвольный пароль для пользователей системы |
| BDU:2023-01888 | Уязвимость программного интерфейса API диспетчера управления системными данными Hitachi Energy System Data Manager SDM600, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность информации |
| BDU:2023-01889 | Уязвимость реализации прикладного программного интерфейса диспетчера управления системными данными Hitachi Energy System Data Manager SDM600, позволяющая нарушителю считывать данные из хранилища данных |
| BDU:2023-01977 | Уязвимость конфигурации nginx обратного прокси-сервера программного средства автоматизации работы операторов Cisco Finesse, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-02129 | Уязвимость демона strongSwan, связанная с ошибками при проверке сертификата в методах EAP на основе TLS, позволяющая нарушителю выполнить отказ в обслуживании |
| BDU:2023-02147 | Уязвимость SCADA-системы AVEVA Plant SCADA и сервера AVEVA Telemetry Server, вызванная недостатками процедуры авторизации, позволяющая нарушителю вызывать отказ в обслуживании |
| BDU:2023-02228 | Уязвимость многоплатформенного веб-решения для создания Scada-систем Scada-LTS, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02667 | Уязвимость реализации прикладного программного интерфейса центра управления сетью Cisco DNA Center, позволяющая нарушителю выполнять произвольные команды с привилегиями root |
| BDU:2023-02668 | Уязвимость реализации прикладного программного интерфейса центра управления сетью Cisco DNA Center, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02669 | Уязвимость реализации прикладного программного интерфейса центра управления сетью Cisco DNA Center, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02757 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загружать или удалять определенные файлы |
| BDU:2023-02914 | Уязвимость встроенного программного обеспечения контроллера ARIS, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-02918 | Уязвимость встроенного программного обеспечения контроллера ARIS, связанная с ошибками разграничения доступа, позволяющая нарушителю повысить свои привилегии в системе |
| BDU:2023-02932 | Уязвимость компонентов Message и Bulletin платформы для обмена данными Cybozu Garoon, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2023-03030 | Уязвимость операционной системы Juniper Networks Junos OS Evolved, связанная c недостатками процедуры авторизации, позволяющая нарушителю выполнять произвольные команды |
| BDU:2023-03380 | Уязвимость системы работы с заявками и инцидентами GLPI, связанная с неправильной авторизацией, позволяющая нарушителю повышать привилегии внутри приложения |
| BDU:2023-03429 | Уязвимость программного обеспечения для удалённого управления компьютером TeamViewer Remote, связанная с недостатками процедуры авторизации, позволяющая нарушителю изменять основные настройки локального устройства |
| BDU:2023-03800 | Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, связанная с ошибками в конфигурации авторизации, которые могут возникнуть при использовании нескольких сервлетов, включая DispatcherServlet Spring MVC, п... |
| BDU:2023-03894 | Уязвимость компонента Sandbox операционных систем iOS, iPadOS, tvOS, watchOS, macOS, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2023-04559 | Уязвимость программных интеграционных платформ SAP NetWeaver AS ABAP и SAP NetWeaver ABAP, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации |
| BDU:2023-04561 | Уязвимость сервера сообщений SAP Message Server программной интеграционной платформы SAP NetWeaver AS ABAP, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании |
| BDU:2023-04840 | Уязвимость программного обеспечения СЭД "ДЕЛО", связанная с недостатками процедуры авторизации, позволяющая нарушителю перехватить идентификатор и обойти механизм авторизации |
| BDU:2023-04878 | Уязвимость метода SetAll() системы межпроцессного взаимодействия D-Bus операционных систем Red Hat Enterprise Linux, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-05980 | Уязвимость программного обеспечения для управления медицинской организацией OpenEMR, связанная с ошибками авторизации, позволяющая нарушителю осуществить HTML-инъекцию |
| BDU:2023-06214 | Уязвимость ядра оболочки EMUI операционной системы HarmonyOS, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность данных |
| BDU:2023-06230 | Уязвимость централизованной системы управления сетью Cisco Catalyst SD-WAN Manager, связанная с недостатками процедуры авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-06254 | Уязвимость фреймворка создания кроссплатформенных десктопных приложений Tauri, связанная с недостатками процедуры авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2023-06363 | Уязвимость метода showUser платформы управления сетевыми устройствами D-View 8, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-06410 | Уязвимость функции аутентификации, авторизации и учета (Authentication, Authorization and Accounting - AAA) и функции сервера SCP операционных систем Cisco IOS и Cisco IOS XE, позволяющая нарушителю обойти ограничения безопасности и получить или изме... |
| BDU:2023-06416 | Уязвимость функции restore_settings плагина Comments Like Dislike системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-06573 | Уязвимость среды разработки программного обеспечения для автоматизации и управления производственными процессами Omron Sysmac Studio, связанная с ошибками разграничения доступа, позволяющая нарушителю изменить произвольные файлы |
| BDU:2023-06688 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-06706 | Уязвимость операционной системы FortiOS, связанная с недостатками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07067 | Уязвимость функции диагностики ping микропрограммного обеспечения маршрутизатора Connectize G6 AC2100, позволяющая нарушителю выполнить произвольные команды |
| BDU:2023-07185 | Уязвимость приложения Galaxy Store, связанная с неправильными разрешениями по умолчанию, позволяющая нарушителю устанавливать приложения из Galaxy Store без взаимодействия с пользователем |
| BDU:2023-07195 | Уязвимость компонента Webtools операционной системы Brocade Fabric OS, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07234 | Уязвимость набора утилит VMware Tools для операционных систем Windows, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07330 | Уязвимость SCADA-системы EisBaer, вызванная недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-07476 | Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю выполнять произвольные команды |
| BDU:2023-07528 | Уязвимость функций pmdm_wp_delete_user_meta, pmdm_wp_delete_term_meta и pmdm_wp_ajax_delete_meta плагина для системы управления содержимым сайта WordPress Post Meta Data Manager, позволяющая нарушителю удалить произвольные метаданные пользователей |
| BDU:2023-07529 | Уязвимость функций pmdm_wp_change_user_meta и pmdm_wp_change_post_meta плагина Post Meta Data Manager для системы управления содержимым сайта WordPress, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-08028 | Уязвимость пакета программ Microsoft Office, связанная с ошибками разграничения доступа, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-08245 | Уязвимость программной платформы ASP.NET Core, связанная с ошибками в настройках безопасности, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-08562 | Уязвимость интерфейса HID Profile (Human Interface Device) стека протоколов Bluetooth для ОС Linux BlueZ, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды |
| BDU:2023-08941 | Уязвимость контроллера доставки приложений FortiADC, связанная с некорректной процедурой авторизации, позволяющая нарушителю получить несанкционированный доступ к файлам конфигурации |
| BDU:2023-08975 | Уязвимость плагина User Post Gallery системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-09005 | Уязвимость сетевых систем хранения данных Hitachi Vantara NAS, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-00326 | Уязвимость сервера Redfish менеджера хранения maxView Storage Manager, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2024-00507 | Уязвимость операционной системы NEXO-OS инструментов для монтажных работ на производственных линиях Bosch Nexo cordless nutrunner и Bosch Nexo special cordless nutrunner, позволяющая нарушителю выполнять произвольные команды с повышенными привилегиям... |
| BDU:2024-00745 | Уязвимость функции save_management_settings() плагина InstaWP Connect системы управления содержимым сайта WordPress, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2024-01105 | Уязвимость программного средства управления финансами SAP S/4HANA Finance, связанная с неправильной авторизацией, позволяющая нарушителю создавать внутренние банковские счета |
| BDU:2024-01132 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками разграничения доступа, позволяющая нарушителю получить доступ на чтение и изменение данных |
| BDU:2024-01250 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, вызванная недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-01308 | Уязвимость операционных систем QTS, QuTScloud сетевых устройств Qnap, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01426 | Уязвимость реализации протокола PEAP (Protected Extensible Authentication Protocol) клиента защищённого доступа Wi-Fi WPA Supplicant, позволяющая нарушителю перехватить незашифрованный транзитный трафик пользователя |
| BDU:2024-01443 | Уязвимость микропрограммного обеспечения газовых хроматографов Rosemount GC370XA, GC700XA, GC1500XA, вызванная недостатками процедуры авторизации, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании |
| BDU:2024-01632 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю изменить настройки пользовательской панели управления проектами |
| BDU:2024-01637 | Уязвимость программного средства для увеличения производительности процессорных ядер Intel Performance Maximizer, связанная с нарушением авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01951 | Уязвимость реализации прикладного программного интерфейса платформы совместного использования изображений Pixelfed, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-02268 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-02508 | Уязвимость программной платформы резервного копирования и восстановления данных NetApp SnapCenter, связанная с недостатками авторизации, позволяющая нарушителю изменять настройки конфигурации системного журналирования |
| BDU:2024-02606 | Уязвимость веб-интерфейса управления системы управления сетевой инфраструктурой Cisco Catalyst Center (ранее Cisco DNA Center), позволяющая нарушителю получить доступ на изменение данных |
| BDU:2024-02948 | Уязвимость службы для переноса данных из локальной среды Azure Migrate, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03023 | Уязвимость функции NTPSyncWithHost микропрограммного обеспечения роутеров TOTOLINK EX200, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03024 | Уязвимость функции setTelnetCfg микропрограммного обеспечения роутеров TOTOLINK EX200, позволяющая нарушителю запустить службу telnet без процедуры авторизации |
| BDU:2024-03121 | Уязвимость клиента HTTP/1.1 undici программной платформы Node.js, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03134 | Уязвимость микропрограммного обеспечения телефонов и акустических систем для конференц-связи Poly, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-03421 | Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, добавление, изменение или удаление защищаемой информации |
| BDU:2024-03465 | Уязвимость системы мониторинга и управления источниками бесперебойного питания PowerPanel Business, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03605 | Уязвимость микропрограммного обеспечения расширителя Wi-Fi диапазона TOTOlink EX1800T, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольны... |
| BDU:2024-04079 | Уязвимость компонента BI Platform Security программной платформы Oracle Business Intelligence Enterprise Edition, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных |
| BDU:2024-04080 | Уязвимость компонента JavaFx виртуальной машины Oracle GraalVM Enterprise Edition и программной платформы Oracle Java SE, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-04081 | Уязвимость компонента Networking виртуальных машин Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK и программной платформы Oracle Java SE, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-04082 | Уязвимость компонента JavaFX программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-04085 | Уязвимость компонента JavaFx виртуальной машины Oracle GraalVM Enterprise Edition и программной платформы Oracle Java SE, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-04108 | Уязвимость сервиса управления доступом к удаленным каталогам и механизма аутентификации SSSD, связанная с неправильной авторизацией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-04275 | Уязвимость программного обеспечения графического процессора NVIDIA GPU Display Driver, позволяющая нарушителю выполнить произвольный код, повысить привилегии и раскрыть защищаемую информацию |
| BDU:2024-04312 | Уязвимость функции remove_user_from_org (/api/org_id/users/email_id) платформы мониторинга журналов, метрик и трассировок OpenObserve, позволяющая нарушителю обойти существующие ограничения безопасности и удалить пользователей системы |
| BDU:2024-04356 | Уязвимость компонента Client: mysqldump системы управления базами данных Oracle MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, добавление, изменение, удаление защищаемой информации или вызвать отказ в обслуживании |
| BDU:2024-04488 | Уязвимость программного средства для централизованного управления межсетевыми экранами FortiWeb Manager, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код или команды |
| BDU:2024-04498 | Уязвимость программного средства для централизованного управления межсетевыми экранами FortiWeb Manager, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2024-04500 | Уязвимость программного средства для централизованного управления межсетевыми экранами FortiWeb Manager, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2024-04501 | Уязвимость межсетевого экрана веб-приложений FortiWeb, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2024-04665 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и плагина Adobe Commerce Webhooks, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничени... |
| BDU:2024-04740 | Уязвимость компонента System webapi приложения для организации видеонаблюдения Surveillance Station, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-04747 | Уязвимость программного средства для работы с электронной подписью и управления документами Acrobat Mobile Sign, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности и получить несанкцион... |
| BDU:2024-04836 | Уязвимость программного обеспечения INPAS SOFT UniPORT Eslip, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-04837 | Уязвимость программного обеспечения INPAS SOFT UniPORT Eslip, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить доступ к веб-интерфейсу администрирования приложения |
| BDU:2024-04838 | Уязвимость компонента Compiler виртуальных машин Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-05245 | Уязвимость программного комплекса "Управление сервисами СМАРТ/WEB", связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ к защищаемой информации без процедуры авторизации |
| BDU:2024-05259 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05335 | Уязвимость программной платформы интеграции данных IBM InfoSphere Information Server, вызванная недостатками процедуры авторизации, позволяющая нарушителю изменять произвольные проекты |
| BDU:2024-05496 | Уязвимость локального программного средства для планирования ресурсов Microsoft Dynamics 365 (On-Premises), связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-05520 | Уязвимость компонента Server: DDL системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-05662 | Уязвимость SCADA-системы MasterSCADA 4D, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить чтение и запись произвольных файлов |
| BDU:2024-05708 | Уязвимость веб-компонента приложения для управления жизненным циклом мобильных устройств и мобильных приложений Ivanti Endpoint Manager Mobile (EPMM) (ранее MobileIron Core), позволяющая нарушителю выполнить произвольные команды в базовой операционно... |
| BDU:2024-05969 | Уязвимость службы SSH операционной системы SmartOS WI-Fi маршрутизаторов AdTran SRG 834-5, позволяющая нарушителю выполнить произвольные команды операционной системы |
| BDU:2024-06257 | Уязвимость компонента Personalization платформы разработки веб-приложений Oracle Applications Framework системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на чтение, изме... |
| BDU:2024-06259 | Уязвимость компонента GL Accounts программного средства для управления торговыми операциями Oracle Trade Management системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на... |
| BDU:2024-06260 | Уязвимость компонента Quality Management Specs приложения управления процессами разработки Oracle Process Manufacturing (OPM) Product Development системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить... |
| BDU:2024-06581 | Уязвимость компонента Analytics Web Answers программной платформы Oracle Business Intelligence Enterprise Edition, позволяющая нарушителю получить доступ на изменение или добавление данных |
| BDU:2024-06810 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищаемую информаци... |
| BDU:2024-06811 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищаемую информаци... |
| BDU:2024-06812 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищаемую информаци... |
| BDU:2024-06813 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищаемую информаци... |
| BDU:2024-06814 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-06824 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-07227 | Уязвимость службы Remote Desktop Licensing Service операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-07247 | Уязвимость компонента Forklift Controller инструмента миграции для виртуализации Red Hat Migration Toolkit for Virtualization, позволяющая нарушителю раскрыть защищаемую информации |
| BDU:2024-07400 | Уязвимость компонента Hot Backup File системы управления базами данных MongoDB, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-07610 | Уязвимость веб-браузера Firefox, связанная с недостатками процедуры авторизации, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-07665 | Уязвимость сервера Expressway-E устройств управления конференц-связью Cisco Expressway Series и Cisco Telepresence VCS, позволяющая нарушителю выдать себя за другого пользователя в затронутой системе |
| BDU:2024-07727 | Уязвимость службы импорта NMAP инструмента для обнаружения и управления ИТ-активами HCL BigFix Enterprise Suite Asset Discovery, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07793 | Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco Small Business RV340, RV340W, RV345 и RV345P Dual WAN Gigabit VPN Routers, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07857 | Уязвимость почтового клиента Microsoft Outlook для iOS, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-07862 | Уязвимость консоли управления Ivanti Workspace Control, связанная с обходом аутентификации посредством спуфинга, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07943 | Уязвимость реализации сетевого протокола аутентификации Kerberos операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08123 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08210 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-08221 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-08259 | Уязвимость компонента Field Service Engineer Portal платформы управления выездным обслуживанием Oracle Field Service системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавлен... |
| BDU:2024-08260 | Уязвимость компонента Query пакета бизнес-приложений Oracle PeopleSoft Enterprise PeopleTools, позволяющая нарушителю получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08261 | Уязвимость компонента Site Hierarchy Flows системы хранения и управления данными о сайтах Oracle Site Hub системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удален... |
| BDU:2024-08294 | Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании |
| BDU:2024-08297 | Уязвимость компонента Quality Manager Specification приложения управления процессами разработки Oracle Process Manufacturing (OPM) Product Development системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю полу... |
| BDU:2024-08336 | Уязвимость компонента InnoDB системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-08373 | Уязвимость компонента Messages программного средства управления производственными процессами Oracle Work in Process системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на... |
| BDU:2024-08440 | Уязвимость компонента Server: Thread Pooling системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-08446 | Уязвимость компонента Database Core Component системы управления базами данных Oracle Database Server, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных |
| BDU:2024-08455 | Уязвимость компонента Common Components платформы управления финансами Oracle Financials системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удале... |
| BDU:2024-08456 | Уязвимость компонента Authoring платформы управления контрактами Oracle Service Contracts системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удал... |
| BDU:2024-08457 | Уязвимость компонента Award Processes платформы управления процессами закупок Oracle Contract Lifecycle Management for Public Sector системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкциониро... |
| BDU:2024-08459 | Уязвимость компонента Auctions платформы управления поставками Oracle Sourcing системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удаление данных |
| BDU:2024-08461 | Уязвимость компонента Device Integration программного средства управления производственными процессами Oracle MES for Process Manufacturing системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанк... |
| BDU:2024-08468 | Уязвимость компонента Global Payroll for Core приложения PeopleSoft Enterprise HCM Global Payroll Core, позволяющая нарушителю получить несанкционированный доступ на чтение, создание, изменение и удаление данных |
| BDU:2024-08497 | Уязвимость компонента Jolokia Endpoint программной платформы Apache ActiveMQ Artemis, позволяющая нарушителю записывать произвольные файлы |
| BDU:2024-08502 | Уязвимость компонента Connector/ODBC драйвера MySQL Connectors системы управления базами данных Oracle MySQL, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании |
| BDU:2024-08542 | Уязвимость интерфейса программного средства управления проектами и задачами JetBrains YouTrack, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08549 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08571 | Уязвимость компонента OSB Core Functionality интеграционной платформы для управления, маршрутизации и обработки сообщений между приложениями и сервисами Oracle Service Bus (OSB), позволяющая нарушителю получить несанкционированный доступ к защищаемой... |
| BDU:2024-08597 | Уязвимость компонента Reports платформы управления ликвидностью Oracle Banking Liquidity Management, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2024-08601 | Уязвимость компонента User Interface приложения для взаимодействия с клиентами Oracle Quoting системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на чтение, добавление, из... |
| BDU:2024-08606 | Уязвимость компонента Reports платформы для управления ликвидностью Oracle Banking Liquidity Management, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2024-08733 | Уязвимость программного обеспечения TrueConf Server, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить информацию о пользователях системы |
| BDU:2024-08753 | Уязвимость компонента Enterprise Learning Management пакета бизнес-приложений Oracle PeopleSoft Enterprise, позволяющая нарушителю, действующему удаленно, получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08796 | Уязвимость средства антивирусной защиты Trend Micro Antivirus One операционных систем MacOS, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-08880 | Уязвимость функционального веб-фреймворка WebFlux.fn программной платформы Spring Framework, позволяющая нарушителю оказать воздействие на конфидециальность, целостность и доступность защищаемой информации |
| BDU:2024-08902 | Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, создание, изменение и удаление данных или вызвать отказ в обслуживании |
| BDU:2024-08968 | Уязвимость микропрограммного обеспечения роутеров TOTOLINK LR350, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-09088 | Уязвимость программного обеспечения для обслуживания клиентов и продаж Zendesk, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-09107 | Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco Small Business RV340, RV340W, RV345 и RV345P Dual WAN Gigabit VPN Routers, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-09161 | Уязвимость веб-интерфейса операционных систем Cisco IOS и IOS XE, позволяющая нарушителю осуществить CSRF-атаку |
| BDU:2024-09191 | Уязвимость компонента Party Search UI программного средства для работы с клиентами Oracle Trading Community системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на чтение,... |
| BDU:2024-09624 | Уязвимость инструмента для организации и управления средами высокопроизводительных вычислений (HPC) Azure CycleCloud, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10213 | Уязвимость реализации прикладного программного интерфейса платформы управления сетевыми ресурсами Cisco Nexus Dashboard Fabric Controller (NDFC), связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-10262 | Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к элементам системы |
| BDU:2024-10263 | Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к элементам системы |
| BDU:2024-10377 | Уязвимость функций String.toLowerCase() и String.toUpperCase() Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, позволяющая нарушителю обойти процесс авторизации |
| BDU:2024-10777 | Уязвимость интерфейса универсальной системы мониторинга Zabbix, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-11059 | Уязвимость программного обеспечения для веб-конференций Adobe Connect, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-11254 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager (AEM), связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-11255 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager (AEM), связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-11311 | Уязвимость программного обеспечения визуализации данных Apache Superset, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных |
| BDU:2024-11338 | Уязвимость функции ServerConfig.PublicKeyCallback() библиотеки для языка программирования Go crypto, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-11376 | Уязвимость программной платформы создания веб-приложений Next.js, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-11488 | Уязвимость компонента PUT Request Handler системы построения CDN-сети Apache Traffic Control, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-11663 | Уязвимость программного средства для управления малым и средним бизнесом Microsoft Dynamics 365 Business Central, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00064 | Уязвимость компонента Shopping Cart системы создания, управления и персонализации интернет-магазинов Oracle iStore системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на чтение, изменение или... |
| BDU:2025-00084 | Уязвимость компонента FAB_ADD_SECURITY_API программного обеспечения визуализации данных Apache Superset, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00114 | Уязвимость реализации протокола LDAP пакета программ сетевого взаимодействия Samba, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00151 | Уязвимость функции hci_user_confirm_request_evt() в модуле net/bluetooth/hci_event.c ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-00358 | Уязвимость программы установки App Package Installer операционных систем Microsoft Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00427 | Уязвимость функции пользовательского интерфейса администратора "Configuration XML" системы непрерывной интеграции и доставки (CI/CD) GoCD, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00623 | Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение и удаление данных или вызвать отказ в обслуживании |
| BDU:2025-00624 | Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00625 | Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00626 | Уязвимость компонента Server: Optimizer системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00628 | Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00647 | Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00657 | Уязвимость компонента Web Access приложения для управления проектами Oracle Primavera P6 Enterprise Project Portfolio Management, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение, добавление или удаление данных |
| BDU:2025-00658 | Уязвимость компонента Cluster: General системы управления базами данных MySQL Cluster и компонента Server: Optimizer системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00864 | Уязвимость конфигурации social_group_flexible_group модуля Open Social CMS-системы Drupal, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00909 | Уязвимость функции JSON-RPC API программного средства автоматизации Cisco Crosswork Network Services Orchestrator (NSO) и ConfD, используемой веб-интерфейсами управления Cisco Optical Site Manager и гигабитных VPN-маршрутизаторов Cisco RV340 Dual WAN... |
| BDU:2025-01519 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой инф... |
| BDU:2025-01537 | Уязвимость пакета программ Microsoft SharePoint, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-01644 | Уязвимость компонента OSB Core Functionality интеграционной платформы для управления, маршрутизации и обработки сообщений между приложениями и сервисами Oracle Service Bus (OSB), позволяющая нарушителю получить несанкционированный доступ к защищаемой... |
| BDU:2025-02014 | Уязвимость микропрограммного обеспечения сетевых адаптеров Intel Ethernet Connection I219, связанная с неправильной авторизацией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02047 | Уязвимость программных продуктов ООО "НПО "МИР", связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-02225 | Уязвимость интерфейсов Check API и ListObjects системы авторизации OpenFGA, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-02394 | Уязвимость системы запуска и управления большими языковыми моделями (LLM) AnythingLLM, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02419 | Уязвимость программной платформы для разработки и управления онлайн магазинами Adobe Commerce B2B, связанная с нарушением принципов безопасного проектирования, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-02919 | Уязвимость функции SetUpnpSettings службыUPnP микропрограммного обеспечения маршрутизаторов D-link DIR-823G, позволяющая нарушителю изменить конфигурацию устройства |
| BDU:2025-03185 | Уязвимость механизма обработки заголовков x-middleware-subrequest программной платформы создания веб-приложений Next.js, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-03637 | Уязвимость платформы управления данными Microsoft Dataverse, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-03802 | Уязвимость сервера системы управления базами данных MongoDB, связанная с отсутствием процедуры авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации |
| BDU:2025-03861 | Уязвимость инструмента нагрузочного тестирования SIEM-систем Kraken Stress Testing Toolkit, вызванная недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-04025 | Уязвимость компонента PDFClass Handler платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04042 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-04223 | Уязвимость платформы для защищенного обмена данными MFlash, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04225 | Уязвимость пакетов программ Microsoft SharePoint Server и SharePoint Enterprise Server, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-04784 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-05130 | Уязвимость приложения Nextcloud calendar облачного программного обеспечения для создания и использования хранилища данных Nextcloud, связанная с неправильной авторизацией, позволяющая нарушителю обойти проверки авторизации |
| BDU:2025-05142 | Уязвимость операционных систем iOS, iPadOS, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-05154 | Уязвимость компонента org.xwiki.platform:xwiki-platform-wiki-rest-default платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-05397 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности и получ... |
| BDU:2025-05434 | Уязвимость службы автоматизации Azure Automation, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-05635 | Уязвимость компонента API универсальной системы мониторинга Zabbix, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06181 | Уязвимость механизма PKI платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-06261 | Уязвимость компонента CRD AdmissionPolicyGroup контроллера в кластере Kubernetes kubewarden-controller, позволяющая нарушителю получить несанкционированный доступ на изменение данных или раскрыть защищаемую информацию |
| BDU:2025-06358 | Уязвимость пакета org.xwiki.platform:xwiki-platform-security-authorization-bridge платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-06412 | Уязвимость набора правил AdmissionPolicy и AdmissionPolicyGroup контроллера в кластере Kubernetes kubewarden-controller, позволяющая нарушителю получить несанкционированный доступ на изменение данных или раскрыть защищаемую информацию |
| BDU:2025-06415 | Уязвимость компонента Activity Guide Composer набора инструментов для управления и обработки данных PeopleSoft Enterprise CC Common Application Objects, позволяющая нарушителю получить несанкционированный доступ на чтение, добавление, изменение или у... |
| BDU:2025-06793 | Уязвимость средства мониторинга Synthetics сервиса визуализации данных Kibana, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-07182 | Уязвимость технологической платформы "1С:Предприятие 8", связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2025-07422 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager (AEM), связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-07540 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-07726 | Уязвимость программного обеспечения Blitz Identity Provider, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08527 | Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Server Subscription Edition и Microsoft SharePoint Enterprise Server, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-08594 | Уязвимость программной платформы Ruby on Rails, связанная с неправильной авторизацией, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08655 | Уязвимость компонента Web Container сервера приложения Oracle WebLogic Server, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2025-08994 | Уязвимость компонента Link Handler браузера Mozilla Firefox, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-09290 | Уязвимость модуля DdlNodes.epp системы управления базами данных "Ред База Данных", позволяющая нарушителю получить доступ на изменение данных |
| BDU:2025-09502 | Уязвимость компонента Managed Configuration операционных систем macOS, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-09529 | Уязвимость функции SetDDNSSettings() (/HNAP1/) компонента DDNS Service микропрограммного обеспечения маршрутизаторов D-Link DIR-823G, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-09776 | Уязвимость функций "Add Webhook" и "Test Webhook" компонента Webhook Feature программной платформы управления сетевой инфраструктурой Versa Director, позволяющая нарушителю выполнить произвольные команды, повысить свои привилегии или выполнить произв... |
| BDU:2025-10037 | Уязвимость веб-консоли для создания и управления ресурсами Azure Portal, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-10091 | Уязвимость программного обеспечения визуализации данных Apache Superset, связанная с неправильным контролем доступа в конечной точке /explore, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10868 | Уязвимость системы управления конфигурациями и удалённого выполнения операций Salt, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к системе от имени произвольного пользователя |
| BDU:2025-11289 | Уязвимость компонента IOKit операционных систем iOS, iPadOS, tvOS, watchOS, macOS, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации |
| BDU:2025-11597 | Уязвимость универсальной системы мониторинга Zabbix, связана с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-11726 | Уязвимость сервера системы управления базами данных MongoDB, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-11761 | Уязвимость компонента Job Invocation пакета tfm-rubygem-foreman_ansible, позволяющая нарушителю раскрыть конфиденциальную информацию |
| BDU:2025-11983 | Уязвимость компонента driver-ops.h ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12382 | Уязвимость драйвера виртуальных графических процессоров NVIDIA Virtual GPU, связанная с неверной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-12642 | Уязвимость системы управления "Ассистент", связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2025-12703 | Уязвимость функций con_fault_finish() и clear_standby() модуля net/ceph/messenger.c ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-12935 | Уязвимость компонента Runtime UI приложения Oracle Configurator системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13076 | Уязвимость службы кэширования данных Azure Managed Redis и Azure Cache for Redis Enterprise, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-13415 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13416 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13417 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13418 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13419 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13420 | Уязвимость модуля Portfolio room облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13422 | Уязвимость модуля External Reports облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13436 | Уязвимость API-интерфейса скриптов компилятора LESS платформы создания совместных веб-приложений XWiki Platform XWiki , позволяющая нарушителю замедлить время работы платформы |
| BDU:2025-13450 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13452 | Уязвимость облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаем... |
| BDU:2025-13457 | Уязвимость функции подписки Subscribe облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13736 | Уязвимость программного обеспечения TrueConf Server, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-14014 | Уязвимость компонента Omnibox браузеров Google Chrome и Microsoft Edge, выполнить подмену пользовательского интерфейса |
| BDU:2025-14640 | Уязвимость набора инструментов для работы с протоколом OpenID Connect, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-14797 | Уязвимость компонента Dynamics OmniChannel SDK Storage Containers программного средства для планирования ресурсов Microsoft Dynamics 365, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-14855 | Уязвимость операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15101 | Уязвимость функции panthor_device_mmap_io() модуля drivers/gpu/drm/panthor/panthor_device.c - драйвера поддержки инфраструктуры прямого рендеринга (DRI) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15611 | Уязвимость виртуальной обучающей среды Moodle, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-15617 | Уязвимость функции file_transfer() программного обеспечения для обеспечения безопасности SINEC Security Monitor, позволяющая нарушителю получить доступ на чтение и запись произвольных файлов |
| BDU:2025-15869 | Уязвимость компонента Object and Environment Tech системы управления ресурсами предприятия JD Edwards EnterpriseOne Tools, позволяющая нарушителю получить доступ на чтение, изменение и удаление данных |
| BDU:2025-15966 | Уязвимость конечной точки API system/stop службы Elasticsearch программного средства мониторинга и анализа логов Nagios Log Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16398 | Уязвимость платформы на базе искуственного интеллекта LibreChat, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00012 | Уязвимость сервиса визуализации данных Kibana, связанная с ошибками авторизации, позволяющая нарушителю повысить привилегии |
| BDU:2026-00110 | Уязвимость программного обеспечения kcp, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2026-00297 | Уязвимость библиотеки crypto++ языка программирования C++, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2026-00544 | Уязвимость функции futimes() программной платформы Node.js, позволяющая нарушителю получить доступ на изменение файлов |
| BDU:2026-00581 | Уязвимость средства регистрации посылок и отправлений Incoming Goods Suite, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00757 | Уязвимость программного обеспечения централизованного сбора, анализа и хранения логов Graylog, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2026-00837 | Уязвимость облачной платформы для управления и защиты идентификационных данных Microsoft Entra ID (ранее Azure Active Directory), связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2026-01230 | Уязвимость функции isAccessAllowed() программного средства управления и запуска OCI-контейнеров Podman, позволяющая нарушителю обойти существующие ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2026-01497 | Уязвимость плагина Rule Based Authorization Plugin поискового сервера Apache Solr, позволяющая нарушителю отправлять произвольные HTTP-запросы |
| BDU:2026-02313 | Уязвимость браузера Safari операционных систем iOS, iPadOS, macOS, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к истории браузера |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-2349 | Emerson DeltaV Use of Improper Authorization |
| CVE-2015-10033 | jvvlee MerlinsBoard Grade improper authorization |
| CVE-2015-3954 | Hospira Plum A+ Infusion System version 13.4 and prior, Plum A+3 Infusion System version 13.6 and prior, and Symbiq Infusion... |
| CVE-2016-7035 | An authorization flaw was found in Pacemaker before 1.1.16, where it did not properly guard its IPC interface. An attacker wi... |
| CVE-2016-7071 | It was found that the CloudForms before 5.6.2.2, and 5.7.0.7 did not properly apply permissions controls to VM IDs passed by... |
| CVE-2016-7077 | foreman before 1.14.0 is vulnerable to an information leak. It was found that Foreman form helper does not authorize options... |
| CVE-2016-7078 | foreman before version 1.15.0 is vulnerable to an information leak through organizations and locations feature. When a user i... |
| CVE-2016-9464 | Nextcloud Server before 9.0.54 and 10.0.0 suffers from an improper authorization check on removing shares. The Sharing Backen... |
| CVE-2017-0892 | Nextcloud Server before 11.0.3 is vulnerable to an improper session handling allowed an application specific password without... |
| CVE-2017-0894 | Nextcloud Server before 11.0.3 is vulnerable to disclosure of valid share tokens for public calendars due to a logical error.... |
| CVE-2017-0895 | Nextcloud Server before 10.0.4 and 11.0.2 are vulnerable to disclosure of calendar and addressbook names to other logged-in u... |
| CVE-2017-0896 | Zulip Server 1.5.1 and below suffer from an error in the implementation of the invite_by_admins_only setting in the Zulip gro... |
| CVE-2017-0926 | Gitlab Community Edition version 10.3 is vulnerable to an improper authorization issue in the Oauth sign-in component resulti... |
| CVE-2017-0927 | Gitlab Community Edition version 10.3 is vulnerable to an improper authorization issue in the deployment keys component resul... |
| CVE-2017-1002151 | Pagure 3.3.0 and earlier is vulnerable to loss of confidentially due to improper authorization |
| CVE-2017-11398 | A session hijacking via log disclosure vulnerability in Trend Micro Smart Protection Server (Standalone) versions 3.2 and bel... |
| CVE-2017-12160 | It was found that Keycloak oauth would permit an authenticated resource to obtain an access/refresh token pair from the authe... |
| CVE-2017-16726 | Beckhoff TwinCAT supports communication over ADS. ADS is a protocol for industrial automation in protected environments. ADS... |
| CVE-2017-16743 | An Improper Authorization issue was discovered in PHOENIX CONTACT FL SWITCH 3xxx, 4xxx, and 48xxx Series products running fir... |
| CVE-2017-16773 | Improper authorization vulnerability in Highlight Preview in Synology Universal Search before 1.0.5-0135 allows remote authen... |
| CVE-2017-2589 | It was discovered that the hawtio servlet 1.4 uses a single HttpClient instance to proxy requests with a persistent cookie st... |
| CVE-2017-2632 | A logic error in valid_role() in CloudForms role validation before 5.7.1.3 could allow a tenant administrator to create group... |
| CVE-2017-2686 | Siemens RUGGEDCOM ROX I (all versions) contain a vulnerability that could allow an authenticated user to read arbitrary files... |
| CVE-2017-2689 | Siemens RUGGEDCOM ROX I (all versions) allow an authenticated user to bypass access restrictions in the web interface at port... |
| CVE-2017-6044 | An Improper Authorization issue was discovered in Sierra Wireless AirLink Raven XE, all versions prior to 4.0.14, and AirLink... |
| CVE-2017-7484 | It was found that some selectivity estimation functions in PostgreSQL before 9.2.21, 9.3.x before 9.3.17, 9.4.x before 9.4.12... |
| CVE-2017-9268 | open-build-service retrigger / wipebinaries hitting the wrong project bypassing access permissions |
| CVE-2018-0391 | A vulnerability in the password change function of Cisco Prime Collaboration Provisioning could allow an authenticated, remot... |
| CVE-2018-0393 | A Read-Only User Effect Change vulnerability in the Policy Builder interface of Cisco Policy Suite could allow an authenticat... |
| CVE-2018-0459 | Cisco Enterprise NFV Infrastructure Software Denial of Service Vulnerability |
| CVE-2018-0460 | Cisco Enterprise NFV Infrastructure Software Information Disclosure Vulnerability |
| CVE-2018-1082 | A flaw was found in Moodle 3.4 to 3.4.1, and 3.3 to 3.3.4. If a user account using OAuth2 authentication method was once conf... |
| CVE-2018-10861 | A flaw was found in the way ceph mon handles user requests. Any authenticated ceph user having read access to ceph can delete... |
| CVE-2018-10906 | In fuse before versions 2.9.8 and 3.x before 3.2.5, fusermount is vulnerable to a restriction bypass when SELinux is active.... |
| CVE-2018-1113 | setup before version 2.11.4-1.fc28 in Fedora and Red Hat Enterprise Linux added /sbin/nologin and /usr/sbin/nologin to /etc/s... |
| CVE-2018-1116 | A flaw was found in polkit before version 0.116. The implementation of the polkit_backend_interactive_authority_check_authori... |
| CVE-2018-12466 | openbuildservice allowed deleting packages via project links |
| CVE-2018-12467 | delete package via link exploit in open buildservice |
| CVE-2018-14637 | The SAML broker consumer endpoint in Keycloak before version 4.6.0.Final ignores expiration conditions on SAML assertions. An... |
| CVE-2018-14662 | It was found Ceph versions before 13.2.4 that authenticated ceph users with read only permissions could steal dm-crypt encryp... |
| CVE-2018-14666 | An improper authorization flaw was found in the Smart Class feature of Foreman. An attacker can use it to change configuratio... |
| CVE-2018-15405 | Cisco Integrated Management Controller Supervisor and Cisco UCS Director Authenticated Web Interface Information Disclosure V... |
| CVE-2018-15465 | Cisco Adaptive Security Appliance Software Privilege Escalation Vulnerability |
| CVE-2018-17933 | VGo Robot (Versions 3.0.3.52164 and 3.0.3.53662. Prior versions may also be affected) connected to the VGo XAMPP. User accoun... |
| CVE-2018-3778 | Improper authorization in aedes version <0.35.0 will publish a LWT in a channel when a client is not authorized. |
| CVE-2018-3829 | In Elastic Cloud Enterprise (ECE) versions prior to 1.1.4 it was discovered that a user could scale out allocators on new hos... |
| CVE-2018-9867 | In SonicWall SonicOS, administrators without full permissions can download imported certificates. Occurs when administrators... |
| CVE-2019-10154 | A flaw was found in Moodle before versions 3.7, 3.6.4. A web service fetching messages was not restricted to the current user... |
| CVE-2019-10159 | cfme-gemset versions 5.10.4.3 and below, 5.9.9.3 and below are vulnerable to a data leak, due to an improper authorization in... |
| CVE-2019-12635 | Cisco Content Security Management Appliance Information Disclosure Vulnerability |
| CVE-2019-12671 | Cisco IOS XE Software Consent Token Bypass Vulnerability |
| CVE-2019-13416 | Search Guard versions before 24.3 had an issue when Cross Cluster Search (CCS) was enabled, authenticated users are always au... |
| CVE-2019-13528 | A specific utility may allow an attacker to gain read access to privileged files in the Niagara AX 3.8u4 (JACE 3e, JACE 6e, J... |
| CVE-2019-13550 | In WebAccess, versions 8.4.1 and prior, an improper authorization vulnerability may allow an attacker to disclose sensitive i... |
| CVE-2019-13554 | GE Mark VIe Controller has an unsecured Telnet protocol that may allow a user to create an authenticated session using generi... |
| CVE-2019-14828 | A vulnerability was found in Moodle affecting 3.7 to 3.7.1, 3.6 to 3.6.5, 3.5 to 3.5.7 and earlier unsupported versions, wher... |
| CVE-2019-14870 | All Samba versions 4.x.x before 4.9.17, 4.10.x before 4.10.11 and 4.11.x before 4.11.3 have an issue, where the S4U (MS-SFU)... |
| CVE-2019-14883 | A vulnerability was found in Moodle 3.6 before 3.6.7 and 3.7 before 3.7.3, where tokens used to fetch inline atachments in em... |
| CVE-2019-15610 | Improper authorization in the Circles app 0.17.7 causes retaining access when an email address was removed from a circle. |
| CVE-2019-15990 | Cisco Small Business Routers RV016, RV042, RV042G, and RV082 Information Disclosure Vulnerability |
| CVE-2019-1603 | Cisco NX-OS Software Privilege Escalation Vulnerability |
| CVE-2019-1604 | Cisco NX-OS Software Privilege Escalation Vulnerability |
| CVE-2019-17631 | From Eclipse OpenJ9 0.15 to 0.16, access to diagnostic operations such as causing a GC or creating a diagnostic file are perm... |
| CVE-2019-1842 | Cisco IOS XR Software Secure Shell Authentication Vulnerability |
| CVE-2019-1851 | Cisco Identity Services Engine Arbitrary Client Certificate Creation Vulnerability |
| CVE-2019-1859 | Cisco Small Business Switches Secure Shell Certificate Authentication Bypass Vulnerability |
| CVE-2019-1863 | Cisco Integrated Management Controller Privilege Escalation Vulnerability |
| CVE-2019-1897 | Cisco RV110W, RV130W, and RV215W Routers Denial of Service Vulnerability |
| CVE-2019-1898 | Cisco RV110W, RV130W, and RV215W Routers Unauthenticated syslog File Access Vulnerability |
| CVE-2019-1899 | Cisco RV110W, RV130W, and RV215W Routers Information Disclosure Vulnerability |
| CVE-2019-1907 | Cisco Integrated Management Controller Substring Comparison Privilege Escalation Vulnerability |
| CVE-2019-1912 | Cisco Small Business 220 Series Smart Switches Authentication Bypass Vulnerability |
| CVE-2019-1934 | Cisco Adaptive Security Appliance Software Web-Based Management Interface Privilege Escalation Vulnerability |
| CVE-2019-2386 | Authorization session conflation |
| CVE-2019-3641 | Exploitation of Authorization in TIE Server |
| CVE-2019-3764 | Dell EMC iDRAC7 versions prior to 2.65.65.65, iDRAC8 versions prior to 2.70.70.70 and iDRAC9 versions prior to 3.36.36.36 con... |
| CVE-2019-3785 | Cloud Controller provides signed URL with write authorization to read only user |
| CVE-2019-3820 | It was discovered that the gnome-shell lock screen since version 3.15.91 did not properly restrict all contextual actions. An... |
| CVE-2019-3842 | In systemd before v242-rc4, it was discovered that pam_systemd does not properly sanitize the environment before using the XD... |
| CVE-2019-3849 | A vulnerability was found in moodle before versions 3.6.3, 3.5.5 and 3.4.8. Users could assign themselves an escalated role w... |
| CVE-2019-6581 | A vulnerability has been identified in Siveillance VMS 2017 R2 (All versions < V11.2a), Siveillance VMS 2018 R1 (All versions... |
| CVE-2019-6582 | A vulnerability has been identified in Siveillance VMS 2017 R2 (All versions < V11.2a), Siveillance VMS 2018 R1 (All versions... |
| CVE-2019-7479 | A vulnerability in SonicOS allow authenticated read-only admin can elevate permissions to configuration mode. This vulnerabil... |
| CVE-2019-7489 | A vulnerability in SonicWall Email Security appliance allow an unauthenticated user to perform remote code execution. This vu... |
| CVE-2020-10516 | Improper access control in GitHub Enterprise Server leading to privilege escalation of organization member |
| CVE-2020-10517 | Improper access control in GitHub Enterprise Server leading to the enumeration of private repository names |
| CVE-2020-10620 | Opto 22 SoftPAC Project Version 9.6 and prior. SoftPAC communication does not include any credentials. This allows an attacke... |
| CVE-2020-10686 | A flaw was found in Keycloak version 8.0.2 and 9.0.0, and was fixed in Keycloak version 9.0.1, where a malicious user registe... |
| CVE-2020-10716 | A flaw was found in Red Hat Satellite's Job Invocation, where the "User Input" entry was not properly restricted to the view.... |
| CVE-2020-10736 | An authorization bypass vulnerability was found in Ceph versions 15.2.0 before 15.2.2, where the ceph-mon and ceph-mgr daemon... |
| CVE-2020-14486 | OpenClinic GA |
| CVE-2020-15084 | Authorization bypass in express-jwt |
| CVE-2020-15087 | Privilege escalation in Presto |
| CVE-2020-16096 | In Gallagher Command Centre versions 8.10 prior to 8.10.1134(MR4), 8.00 prior to 8.00.1161(MR5), 7.90 prior to 7.90.991(MR5),... |
| CVE-2020-1690 | An improper authorization flaw was discovered in openstack-selinux's applied policy where it does not prevent a non-root user... |
| CVE-2020-1720 | A flaw was found in PostgreSQL's "ALTER ... DEPENDS ON EXTENSION", where sub-commands did not perform authorization checks. A... |
| CVE-2020-1745 | A file inclusion vulnerability was found in the AJP connector enabled with a default AJP configuration port of 8009 in Undert... |
| CVE-2020-17517 | Ozone S3 Gateway allows bucket and key access to non authenticated users |
| CVE-2020-1908 | Improper authorization of the Screen Lock feature in WhatsApp and WhatsApp Business for iOS prior to v2.20.100 could have per... |
| CVE-2020-1998 | PAN-OS: Improper SAML SSO authorization of shared local users |
| CVE-2020-2050 | PAN-OS: Authentication bypass vulnerability in GlobalProtect SSL VPN client certificate verification |
| CVE-2020-24403 | Incorrect permissions could lead to unauthorized modification of inventory source data via REST API |
| CVE-2020-24404 | Incorrect permissions in Integrations component could lead to unauthorized deletion of cmsPages via REST API |
| CVE-2020-24405 | Incorrect permissions in Inventory module could lead to unauthorized modification of inventory stock data |
| CVE-2020-24431 | Acrobat Reader DC for macOS Dynamic Library Injection Vulnerability |
| CVE-2020-24674 | Improper Authorization in Symphony Plus |
| CVE-2020-25716 | A flaw was found in Cloudforms. A role-based privileges escalation flaw where export or import of administrator files is poss... |
| CVE-2020-26183 | Dell EMC NetWorker versions prior to 19.3.0.2 contain an improper authorization vulnerability. Certain remote users with low... |
| CVE-2020-26246 | Authorization bypass in Pimcore |
| CVE-2020-27779 | A flaw was found in grub2 in versions prior to 2.06. The cutmem command does not honor secure boot locking allowing an privil... |
| CVE-2020-3150 | Cisco Small Business RV110W and RV215W Series Routers Information Disclosure Vulnerability |
| CVE-2020-3267 | Cisco Unified Contact Center Express Improper API Authorization Vulnerability |
| CVE-2020-3374 | Cisco SD-WAN vManage Software Authorization Bypass Vulnerability |
| CVE-2020-3386 | Cisco Data Center Network Manager Improper Authorization Vulnerability |
| CVE-2020-3394 | Cisco Nexus 3000 and 9000 Series Switches Privilege Escalation Vulnerability |
| CVE-2020-3539 | Cisco Data Center Network Manager Authorization Bypass Vulnerability |
| CVE-2020-36841 | WooCommerce Smart Coupons <= 4.6.0 - Unauthenticated Coupon Creation |
| CVE-2020-5206 | Authentication Bypass For Endpoints With Anonymous Access in OpenCast |
| CVE-2020-5231 | Opencast users with ROLE_COURSE_ADMIN can create new users |
| CVE-2020-5232 | Ethereum Name Service - Malicious takeover of previously owned ENS names |
| CVE-2020-5240 | 2FA bypass through deleting devices in wagtail-2fa |
| CVE-2020-5250 | Possible information disclosure in PrestaShop |
| CVE-2020-5251 | Information disclosure in parse-server |
| CVE-2020-5275 | Firewall configured with unanimous strategy was not actually unanimous in symfony/security-http |
| CVE-2020-5289 | Read permissions not enforced for client provided filter expressions in Elide http client |
| CVE-2020-5318 | Dell EMC Isilon OneFS versions 8.1.2, 8.1.0.4, 8.1.0.3, and 8.0.0.7 contain a vulnerability in some configurations. An attack... |
| CVE-2020-5333 | RSA Archer, versions prior to 6.7 P3 (6.7.0.3), contain an authorization bypass vulnerability in the REST API. A remote authe... |
| CVE-2020-5356 | Dell PowerProtect Data Manager (PPDM) versions prior to 19.4 and Dell PowerProtect X400 versions prior to 3.2 contain an impr... |
| CVE-2020-5362 | Dell Client Consumer and Commercial platforms include an improper authorization vulnerability in the Dell Manageability inter... |
| CVE-2020-6311 | Banking services from SAP 9.0 (Bank Analyzer), version - 500, and SAP S/4HANA for financial products subledger, version � 100... |
| CVE-2020-7530 | A CWE-285 Improper Authorization vulnerability exists in SCADAPack 7x Remote Connect (V3.6.3.574 and prior) which allows impr... |
| CVE-2020-7583 | A vulnerability has been identified in Automation License Manager 5 (All versions), Automation License Manager 6 (All version... |
| CVE-2020-8119 | Improper authorization in Nextcloud server 17.0.0 causes leaking of previews and files when a file-drop share link is opened... |
| CVE-2020-8919 | Information leakage in Gerrit |
| CVE-2020-8920 | Overoptimization leads to private information leak in Gerrit |
| CVE-2020-9048 | victor Web Client - Arbitrary File Deletion Vulnerability |
| CVE-2020-9049 | victor Web Client and C•CURE Web Client JSON Web Token (JWT) Vulnerability |
| CVE-2020-9061 | Z-Wave devices using Silicon Labs 500 and 700 series chipsets, including but not likely limited to the SiLabs UZB-7 version 7... |
| CVE-2020-9081 | There is an improper authorization vulnerability in some Huawei smartphones. An attacker could perform a series of operation... |
| CVE-2021-0260 | Junos OS: SNMP fails to properly perform authorization checks on incoming received SNMP requests. |
| CVE-2021-1574 | Cisco Business Process Automation Privilege Escalation Vulnerabilities |
| CVE-2021-1576 | Cisco Business Process Automation Privilege Escalation Vulnerabilities |
| CVE-2021-21026 | Magento Commerce Incorrect permissions Could Lead To Unauthorized Access |
| CVE-2021-21096 | Adobe Bridge Genuine Software Service Incorrect Permission Assignment could lead to Denial-of-Service |
| CVE-2021-21362 | Bypassing readOnly policy by creating a temporary 'mc share upload' URL |
| CVE-2021-21432 | Reject unauthorized access with GitHub PATs |
| CVE-2021-21511 | Dell EMC Avamar Server, versions 19.3 and 19.4 contain an Improper Authorization vulnerability in the web UI. A remote low pr... |
| CVE-2021-22861 | Improper access control in GitHub Enterprise Server leading to unauthorized write access to forkable repositories |
| CVE-2021-22862 | Improper access control in GitHub Enterprise Server leading to the disclosure of Actions secrets to forks |
| CVE-2021-22863 | Improper access control in GitHub Enterprise Server leading to unauthorized changes to maintainer permissions on pull request... |
| CVE-2021-22865 | Improper access control in GitHub Enterprise Server leading to unauthorized read access to private repository metadata |
| CVE-2021-23136 | Improper Authorization vulnerability in Gallagher Command Centre Server allows macro overrides to be performed by an unprivil... |
| CVE-2021-23140 | Improper Authorization vulnerability in Gallagher Command Centre Server allows command line macros to be modified by an unaut... |
| CVE-2021-24188 | WP Content Copy Protection & No Right Click < 3.1.5 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24189 | Captchinoo, Google recaptcha for admin login page < 2.4 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24190 | WooCommerce Conditional Marketing Mailer < 1.5.2 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24191 | WP Maintenance Mode & Site Under Construction < 1.8.2 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24192 | Tree Sitemap < 2.9 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24193 | Visitor Traffic Real Time Statistics < 2.12 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24194 | Login Protection - Limit Failed Login Attempts < 2.9 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-24195 | Login as User or Customer (User Switching) < 1.9 - Arbitrary Plugin Installation/Activation via Low Privilege User |
| CVE-2021-25351 | Improper Access Control in EmailValidationView in Samsung Account prior to version 10.7.0.7 and 12.1.1.3 allows physically pr... |
| CVE-2021-25352 | Using PendingIntent with implicit intent in Bixby Voice prior to version 3.0.52.14 allows attackers to execute privileged act... |
| CVE-2021-25353 | Using empty PendingIntent in Galaxy Themes prior to version 5.2.00.1215 allows local attackers to read/write private file dir... |
| CVE-2021-25354 | Improper input check in Samsung Internet prior to version 13.2.1.46 allows attackers to launch non-exported activity in Samsu... |
| CVE-2021-25355 | Using unsafe PendingIntent in Samsung Notes prior to version 4.2.00.22 allows local attackers unauthorized action without per... |
| CVE-2021-25373 | Using unsafe PendingIntent in Customization Service prior to version 2.2.02.1 in Android O(8.x), 2.4.03.0 in Android P(9.0),... |
| CVE-2021-25374 | An improper authorization vulnerability in Samsung Members "samsungrewards" scheme for deeplink in versions 2.4.83.9 in Andro... |
| CVE-2021-25381 | Using unsafe PendingIntent in Samsung Account in versions 10.8.0.4 in Android P(9.0) and below, and 12.1.1.3 in Android Q(10.... |
| CVE-2021-25382 | An improper authorization of using debugging command in Secure Folder prior to SMR Oct-2020 Release 1 allows unauthorized acc... |
| CVE-2021-25399 | Improper configuration in Smart Manager prior to version 11.0.05.0 allows attacker to access the file with system privilege. |
| CVE-2021-25417 | Improper authorization in SDP SDK prior to SMR JUN-2021 Release 1 allows access to internal storage. |
| CVE-2021-25433 | Improper authorization vulnerability in Tizen factory reset policy prior to Firmware update JUL-2021 Release allows untrusted... |
| CVE-2021-25459 | An improper access control vulnerability in sspInit() in BlockchainTZService prior to SMR Sep-2021 Release 1 allows attackers... |
| CVE-2021-25460 | An improper access control vulnerability in sspExit() in BlockchainTZService prior to SMR Sep-2021 Release 1 allows attackers... |
| CVE-2021-25499 | Intent redirection vulnerability in SamsungAccountSDKSigninActivity of Galaxy Store prior to version 4.5.32.4 allows attacker... |
| CVE-2021-25507 | Improper authorization vulnerability in Samsung Flow mobile application prior to 4.8.03.5 allows Samsung Flow PC application... |
| CVE-2021-25521 | Insecure caller check in sharevia deeplink logic prior to Samsung Internet 16.0.2 allows unstrusted applications to get curre... |
| CVE-2021-25973 | Publify - Improper Authorization Leads to Guest Signup Restriction Bypass |
| CVE-2021-27663 | CEM Systems AC2000 |
| CVE-2021-27772 | HCL Sametime is vulnerable to an information disclosure |
| CVE-2021-28500 | An issue has recently been discovered in Arista EOS where the incorrect use of EOS's AAA API’s by the OpenConfig and TerminAt... |
| CVE-2021-28501 | An issue has recently been discovered in Arista EOS where the incorrect use of EOS's AAA API’s by the OpenConfig and TerminAt... |
| CVE-2021-28506 | An issue has recently been discovered in Arista EOS where certain gNOI APIs incorrectly skip authorization and authentication... |
| CVE-2021-28563 | Magento Commerce improper Authorization via the 'Create Customer' endpoint |
| CVE-2021-28567 | Magento Commerce improper authorization allows an authenticated user to perform certain functions without permission |
| CVE-2021-28626 | Adobe Experience Manager Improper Authorization at /content/usergenerated |
| CVE-2021-28799 | Improper Authorization Vulnerability in HBS 3 (Hybrid Backup Sync) |
| CVE-2021-3044 | Cortex XSOAR: Unauthorized Usage of the REST API |
| CVE-2021-3049 | Cortex XSOAR: Improper Authorization of Incident Investigations Vulnerability |
| CVE-2021-31384 | Junos OS: SRX Series: Under a specific device configuration an attacker can access the devices J-Web management services from... |
| CVE-2021-32523 | QSAN Storage Manager - Improper Authorization |
| CVE-2021-32619 | Static imports inside dynamically imported modules do not adhere to permission checks |
| CVE-2021-32620 | Users registered with email verification can self re-activate their disabled accounts |
| CVE-2021-32688 | Application specific tokens can change their own scope |
| CVE-2021-33723 | A vulnerability has been identified in SINEC NMS (All versions < V1.0 SP2 Update 1). An authenticated attacker could change t... |
| CVE-2021-34434 | In Eclipse Mosquitto versions 2.0 to 2.0.11, when using the dynamic security plugin, if the ability for a client to make subs... |
| CVE-2021-35964 | Learningdigital.com, Inc. Orca HCM - Broken Authentication |
| CVE-2021-36029 | Magento Commerce Improper Authorization Vulnerability Could Lead To Remote Code Execution |
| CVE-2021-36037 | Magento Commerce Improper Authorization Vulnerability Could Lead To Information Exposure |
| CVE-2021-3616 | A vulnerability was reported in Lenovo Smart Camera X3, X5, and C2E that could allow an unauthorized user to view device info... |
| CVE-2021-36276 | Dell DBUtilDrv2.sys driver (versions 2.5 and 2.6) contains an insufficient access control vulnerability which may lead to esc... |
| CVE-2021-36311 | Dell EMC Networker versions prior to 19.5 contain an Improper Authorization vulnerability. Any local malicious user with netw... |
| CVE-2021-37705 | Improper Authorization and Origin Validation Error in OneFuzz |
| CVE-2021-3837 | Improper Authorization in openwhyd/openwhyd |
| CVE-2021-38486 | InHand Networks IR615 Router |
| CVE-2021-39317 | AccessPress Themes - Authenticated Malicious File Upload |
| CVE-2021-39341 | OptinMonster <= 2.6.4 Unprotected REST-API Endpoints |
| CVE-2021-3991 | Improper Authorization in dolibarr/dolibarr |
| CVE-2021-41093 | Account takeover when having only access to a user's short lived token |
| CVE-2021-41100 | Account takeover when having only access to a user's short lived token in wire-server |
| CVE-2021-41137 | Bypassing policy restrictions on regular users |
| CVE-2021-41308 | Affected versions of Atlassian Jira Server and Data Center allow authenticated yet non-administrator remote attackers to edit... |
| CVE-2021-41313 | Affected versions of Atlassian Jira Server and Data Center allow authenticated but non-admin remote attackers to edit email b... |
| CVE-2021-41564 | Tad Honor - Improper Authorization |
| CVE-2021-41568 | Tad Web - Improper Authorization |
| CVE-2021-41974 | Tad Book3 - Improper Authorization |
| CVE-2021-41975 | Tad TadTools - Improper Authorization |
| CVE-2021-41976 | Tad Uploader - Improper Authorization |
| CVE-2021-42000 | Ping Identity PingFederate Password Reset and Password Change Mishandling with an authentication policy in parallel reset flo... |
| CVE-2021-42126 | An improper authorization control vulnerability exists in Ivanti Avalanche before 6.3.3 allows an attacker with access to the... |
| CVE-2021-42330 | ShinHer Information Co., LTD. ShinHer StudyOnline System - Improper Authorization-1 |
| CVE-2021-42331 | ShinHer Information Co., LTD. ShinHer StudyOnline System - Improper Authorization-2 |
| CVE-2021-42332 | ShinHer Information Co., LTD. ShinHer StudyOnline System - Improper Authorization-3 |
| CVE-2021-42336 | Huachu Digital Technology Co.,Ltd. Easytest - Improper Authorization |
| CVE-2021-42337 | TVN-202110009 |
| CVE-2021-42338 | 4MOSAn GCB Doctor - Improper Authorization |
| CVE-2021-43847 | Authorization Bypass in Space Invite in HumHub |
| CVE-2021-43939 | Elcomplus SmartPtt Improper Authorization |
| CVE-2021-44204 | Local privilege escalation via named pipe due to improper access control checks |
| CVE-2022-0027 | Cortex XSOAR: Incorrect Authorization Vulnerability When Generating Reports |
| CVE-2022-0406 | Improper Authorization in janeczku/calibre-web |
| CVE-2022-0587 | Improper Authorization in librenms/librenms |
| CVE-2022-0821 | Improper Authorization in orchardcms/orchardcore |
| CVE-2022-0829 | Improper Authorization in webmin/webmin |
| CVE-2022-0860 | Improper Authorization in cobbler/cobbler |
| CVE-2022-1224 | Improper Authorization in phpipam/phpipam |
| CVE-2022-2019 | SourceCodester Prison Management System New User Creation improper authorization |
| CVE-2022-20921 | Cisco ACI Multi-Site Orchestrator Privilege Escalation Vulnerability |
| CVE-2022-21196 | Airspan Networks Mimosa Improper Authorization |
| CVE-2022-22267 | Implicit Intent hijacking vulnerability in ActivityMetricsLogger prior to SMR Jan-2022 Release 1 allows attackers to get runn... |
| CVE-2022-22268 | Incorrect implementation of Knox Guard prior to SMR Jan-2022 Release 1 allows physically proximate attackers to temporary unl... |
| CVE-2022-22269 | Keeping sensitive data in unprotected BluetoothSettingsProvider prior to SMR Jan-2022 Release 1 allows untrusted applications... |
| CVE-2022-22272 | Improper authorization in TelephonyManager prior to SMR Jan-2022 Release 1 allows attackers to get IMSI without READ_PRIVILEG... |
| CVE-2022-22288 | Improper authorization vulnerability in Galaxy Store prior to 4.5.36.5 allows remote app installation of the allowlist. |
| CVE-2022-23542 | OpenFGA Authorization Bypass |
| CVE-2022-2393 | A flaw was found in pki-core, which could allow a user to get a certificate for another user identity when directory-based au... |
| CVE-2022-24002 | Improper Authorization vulnerability in Link Sharing prior to version 12.4.00.3 allows attackers to open protected activity v... |
| CVE-2022-24083 | Password authentication bypass vulnerability for local accounts can be used to bypass local authentication checks. |
| CVE-2022-24894 | Symfony storing cookie headers in HttpCache |
| CVE-2022-2595 | Improper Authorization in kromitgmbh/titra |
| CVE-2022-26310 | Improper Authorization in User Management to Vertical Privilege Escalation |
| CVE-2022-2661 | Sequi PortBloque S Improper Authorization |
| CVE-2022-2675 | Unitree Go 1 "Robot Dog" Unauthenticated Remote Power Down |
| CVE-2022-26857 | Dell OpenManage Enterprise Versions 3.8.3 and prior contain an improper authorization vulnerability. A remote authenticated m... |
| CVE-2022-27583 | A remote unprivileged attacker can interact with the configuration interface of a Flexi-Compact FLX3-CPUC1 or FLX3-CPUC2 runn... |
| CVE-2022-28776 | Improper access control vulnerability in Galaxy Store prior to version 4.5.36.4 allows attacker to install applications from... |
| CVE-2022-2901 | Improper Authorization in chatwoot/chatwoot |
| CVE-2022-29233 | Improper access control for breakout rooms in BigBlue Button |
| CVE-2022-29234 | Grace period for lock settings in public/private chats in BigBlueButton |
| CVE-2022-29236 | Improper access control for pencil annotations in BigBlueButton |
| CVE-2022-29490 | A vulnerability exists in the Workplace X WebUI in which an authenticated user is able to execute any MicroSCADA internal scr... |
| CVE-2022-30670 | Escalate Privileges to Server Admin - Robohelp Server |
| CVE-2022-30717 | Improper caller check in AR Emoji prior to SMR Jun-2022 Release 1 allows untrusted applications to use some camera functions... |
| CVE-2022-30722 | Implicit Intent hijacking vulnerability in Samsung Account prior to SMR Jun-2022 Release 1 allows attackers to bypass user co... |
| CVE-2022-30730 | Improper authorization in Samsung Pass prior to 1.0.00.33 allows physical attackers to acess account list without authenticat... |
| CVE-2022-30746 | Missing caller check in Smart Things prior to version 1.7.85.12 allows attacker to access senstive information remotely using... |
| CVE-2022-30757 | Improper authorization in isemtelephony prior to SMR Jul-2022 Release 1 allows attacker to obtain CID without ACCESS_FINE_LOC... |
| CVE-2022-31025 | Invite bypasses user approval in Discourse |
| CVE-2022-31167 | XWiki Platform Security Parent POM vulnerable to overwriting of security rules of a page with a final page having the same re... |
| CVE-2022-31168 | Zulip Server insufficient authorization for changing bot roles |
| CVE-2022-31247 | Rancher: Downstream cluster privilege escalation through cluster and project role template binding (CRTB/PRTB) |
| CVE-2022-31609 | NVIDIA vGPU software contains a vulnerability in the Virtual GPU Manager (vGPU plugin), where it allows the guest VM to alloc... |
| CVE-2022-31666 | Harbor fails to validate user permissions while Viewing, updating and deleting Webhook policies |
| CVE-2022-31667 | Harbor fails to validate the user permissions when updating a robot account |
| CVE-2022-31668 | User permission validation failure and disclosure of P2P preheat execution logs |
| CVE-2022-31669 | Harbor fails to validate the user permissions when updating tag immutability policies |
| CVE-2022-31670 | Harbor fails to validate the user permissions when updating tag retention policies |
| CVE-2022-31671 | Harbor fails to validate the user permissions when reading and updating job execution logs through the P2P preheat execution... |
| CVE-2022-3187 | Dataprobe iBoot-PDU FW versions prior to 1.42.06162022 contain a vulnerability where certain PHP pages only validate when a v... |
| CVE-2022-32169 | bytebase - Improper Authorization |
| CVE-2022-32170 | bytebase - Improper Authorization |
| CVE-2022-3229 | Because the web management interface for Unified Intents' Unified Remote solution does not itself require authentication, a r... |
| CVE-2022-33702 | Improper authorization vulnerability in Knoxguard prior to SMR Jul-2022 Release 1 allows local attacker to disable keyguard a... |
| CVE-2022-33705 | Information exposure in Calendar prior to version 12.3.05.10000 allows attacker to access calendar schedule without READ_CALE... |
| CVE-2022-33712 | Intent redirection vulnerability using implict intent in Camera prior to versions 12.0.01.64 ,12.0.3.23, 12.0.0.98, 12.0.6.11... |
| CVE-2022-33713 | Implicit Intent hijacking vulnerability in Samsung Cloud prior to version 5.2.0 allows attacker to get sensitive information. |
| CVE-2022-33722 | Implicit Intent hijacking vulnerability in Smart View prior to SMR Aug-2022 Release 1 allows attacker to access connected dev... |
| CVE-2022-34256 | Adobe Commerce Improper Authorization Privilege escalation |
| CVE-2022-34405 | An improper access control vulnerability was identified in the Realtek audio driver. A local authenticated malicious user may... |
| CVE-2022-34434 | Cloud Mobility for Dell Storage versions 1.3.0 and earlier contains an Improper Access Control vulnerability within the Postg... |
| CVE-2022-34446 | PowerPath Management Appliance with versions 3.3 & 3.2* contains Authorization Bypass vulnerability. An authenticated remote... |
| CVE-2022-36090 | org.xwiki.platform:xwiki-platform-oldcore Improper Authorization check for inactive users |
| CVE-2022-36110 | Netmaker vulnerable to Insufficient Granularity of Access Control |
| CVE-2022-3683 | SDM600 API web services authorization validation |
| CVE-2022-36837 | Intent redirection vulnerability using implicit intent in Samsung email prior to version 6.1.70.20 allows attacker to get sen... |
| CVE-2022-36838 | Implicit Intent hijacking vulnerability in Galaxy Wearable prior to version 2.2.50 allows attacker to get sensitive informati... |
| CVE-2022-36848 | Improper Authorization vulnerability in setDualDARPolicyCmd prior to SMR Sep-2022 Release 1 allows local attackers to cause l... |
| CVE-2022-3685 | SDM600 software privilege level |
| CVE-2022-36852 | Improper Authorization vulnerability in Video Editor prior to SMR Sep-2022 Release 1 allows local attacker to access internal... |
| CVE-2022-36857 | Improper Authorization vulnerability in Photo Editor prior to SMR Sep-2022 Release 1 allows physical attackers to read intern... |
| CVE-2022-3686 | SDM600 API permission check |
| CVE-2022-36870 | Pending Intent hijacking vulnerability in MTransferNotificationManager in Samsung Pay prior to version 5.0.63 for KR and 5.1.... |
| CVE-2022-36871 | Pending Intent hijacking vulnerability in NotiCenterUtils in Samsung Pay prior to version 5.0.63 for KR and 5.1.47 for Global... |
| CVE-2022-36872 | Pending Intent hijacking vulnerability in SpayNotification in Samsung Pay prior to version 5.0.63 for KR and 5.1.47 for Globa... |
| CVE-2022-36876 | Improper authorization in UPI payment in Samsung Pass prior to version 4.0.04.10 allows physical attackers to access account... |
| CVE-2022-3748 | Improper authorization that can lead to account impersonation |
| CVE-2022-3787 | A vulnerability was found in the device-mapper-multipath. The device-mapper-multipath allows local users to obtain root acces... |
| CVE-2022-38375 | An improper authorization vulnerability [CWE-285] in Fortinet FortiNAC version 9.4.0 through 9.4.1 and before 9.2.6 allows a... |
| CVE-2022-39322 | @keystone-6/core vulnerable to field-level access-control bypass for multiselect field |
| CVE-2022-39329 | Profile of disabled user stays accessible |
| CVE-2022-39340 | OpenFGA Information Disclosure |
| CVE-2022-39341 | OpenFGA Authorization Bypass |
| CVE-2022-39342 | OpenFGA Authorization Bypass |
| CVE-2022-39356 | Discourse user account takeover via email and invite link |
| CVE-2022-39862 | Improper authorization in Dynamic Lockscreen prior to SMR Sep-2022 Release 1 in Android R(11) and 3.3.03.66 in Android S(12)... |
| CVE-2022-39873 | Improper authorization vulnerability in Samsung Internet prior to version 18.0.4.14 allows physical attackers to add bookmark... |
| CVE-2022-39879 | Improper authorization vulnerability in?CallBGProvider prior to SMR Nov-2022 Release 1 allows local attacker to grant permiss... |
| CVE-2022-39883 | Improper authorization vulnerability in StorageManagerService prior to SMR Nov-2022 Release 1 allows local attacker to call p... |
| CVE-2022-39890 | Improper Authorization in Samsung Billing prior to version 5.0.56.0 allows attacker to get sensitive information. |
| CVE-2022-39902 | Improper authorization in Exynos baseband prior to SMR DEC-2022 Release 1 allows remote attacker to get sensitive information... |
| CVE-2022-39905 | Implicit intent hijacking vulnerability in Telecom application prior to SMR Dec-2022 Release 1 allows attacker to access sens... |
| CVE-2022-40208 | In Moodle, insufficient limitations in some quiz web services made it possible for students to bypass sequential navigation d... |
| CVE-2022-40521 | Improper authorization in Modem |
| CVE-2022-40536 | Improper authentication in Modem |
| CVE-2022-4062 | A CWE-285: Improper Authorization vulnerability exists that could cause unauthorized access to certain software functions whe... |
| CVE-2022-41610 | Improper authorization in Intel(R) EMA Configuration Tool before version 1.0.4 and Intel(R) MC before version 2.4 software ma... |
| CVE-2022-43465 | Improper authorization in the Intel(R) SCS software all versions may allow an authenticated user to potentially enable denial... |
| CVE-2022-45128 | Improper authorization in the Intel(R) EMA software before version 1.9.0.0 may allow an authenticated user to potentially ena... |
| CVE-2022-45450 | Sensitive information disclosure and manipulation due to improper authorization. The following products are affected: Acronis... |
| CVE-2022-46752 | Dell BIOS contains an Improper Authorization vulnerability. An unauthenticated physical attacker may potentially exploit thi... |
| CVE-2022-4688 | Improper Authorization in usememos/memos |
| CVE-2022-47553 | Improper Authorization in Ormazabal products |
| CVE-2022-4804 | Improper Authorization in usememos/memos |
| CVE-2022-4868 | Improper Authorization in froxlor/froxlor |
| CVE-2022-4879 | Forged Alliance Forever Vote improper authorization |
| CVE-2022-4962 | Apollo Configuration Center users improper authorization |
| CVE-2023-0456 | Apicast proxies the api call with incorrect jwt token to the api backend without proper authorization check |
| CVE-2023-0609 | Improper Authorization in wallabag/wallabag |
| CVE-2023-0610 | Improper Authorization in wallabag/wallabag |
| CVE-2023-0665 | Vault PKI Issuer Endpoint Did Not Correctly Authorize Access to Issuer Metadata |
| CVE-2023-0734 | Improper Authorization in wallabag/wallabag |
| CVE-2023-0813 | Network-observability-console-plugin-container: setting loki authtoken configuration to disable or host mode leads to authent... |
| CVE-2023-0822 | Improper Authorization |
| CVE-2023-0837 | An improper authorization check of local device settings in TeamViewer Remote between version 15.41 and 15.42.7 for Windows... |
| CVE-2023-0914 | Improper Authorization in pixelfed/pixelfed |
| CVE-2023-1164 | KylinSoft kylin-activation File Import improper authorization |
| CVE-2023-20088 | Cisco Finesse Reverse Proxy VPN-less Access to Finesse Desktop Denial of Service Vulnerability |
| CVE-2023-20182 | Cisco DNA Center Software API Vulnerabilities |
| CVE-2023-20183 | Cisco DNA Center Software API Vulnerabilities |
| CVE-2023-20184 | Cisco DNA Center Software API Vulnerabilities |
| CVE-2023-20186 | A vulnerability in the Authentication, Authorization, and Accounting (AAA) feature of Cisco IOS Software and Cisco IOS XE Sof... |
| CVE-2023-21422 | Improper authorization vulnerability in semAddPublicDnsAddr in WifiSevice prior to SMR Jan-2023 Release 1 allows attackers to... |
| CVE-2023-21423 | Improper authorization vulnerability in ChnFileShareKit prior to SMR Jan-2023 Release 1 allows attacker to control BLE advert... |
| CVE-2023-21424 | Improper Handling of Insufficient Permissions or Privileges vulnerability in SemChameleonHelper prior to SMR Jan-2023 Release... |
| CVE-2023-21429 | Improper usage of implict intent in ePDG prior to SMR JAN-2023 Release 1 allows attacker to access SSID. |
| CVE-2023-21432 | Improper access control vulnerabilities in Smart Things prior to 1.7.93 allows to attacker to invite others without authoriza... |
| CVE-2023-21433 | Improper access control vulnerability in Galaxy Store prior to version 4.5.49.8 allows local attackers to install application... |
| CVE-2023-21436 | Improper usage of implicit intent in Contacts prior to SMR Feb-2023 Release 1 allows attacker to get account ID. |
| CVE-2023-21440 | Improper access control vulnerability in WindowManagerService prior to SMR Feb-2023 Release 1 allows attackers to take a scre... |
| CVE-2023-21452 | Improper usage of implicit intent in Bluetooth prior to SMR Mar-2023 Release 1 allows attacker to get MAC address of connecte... |
| CVE-2023-21454 | Improper authorization in Samsung Keyboard prior to SMR Mar-2023 Release 1 allows physical attacker to access users text hist... |
| CVE-2023-21461 | Improper authorization vulnerability in AutoPowerOnOffConfirmDialog in Settings prior to SMR Mar-2023 Release 1 allows local... |
| CVE-2023-21505 | Improper access control in Samsung Core Service prior to version 2.1.00.36 allows attacker to write arbitrary file in sandbox... |
| CVE-2023-21549 | Windows SMB Witness Service Elevation of Privilege Vulnerability |
| CVE-2023-2227 | Improper Authorization in modoboa/modoboa |
| CVE-2023-22348 | Reading host_configs does not honour contact groups |
| CVE-2023-22428 | Improper privilege validation in Command Centre Server allows authenticated operators to modify Division lineage. This issu... |
| CVE-2023-22480 | KubeOperator is vulnerable to unauthorized access to system API |
| CVE-2023-22636 | An unauthorized configuration download vulnerability in FortiWeb 6.3.6 through 6.3.21, 6.4.0 through 6.4.2 and 7.0.0 through... |
| CVE-2023-22931 | ‘createrss’ External Search Command Overwrites Existing RSS Feeds in Splunk Enterprise |
| CVE-2023-22938 | Permissions Validation Failure in the ‘sendemail’ REST API Endpoint in Splunk Enterprise |
| CVE-2023-2345 | SourceCodester Service Provider Management System improper authorization |
| CVE-2023-23568 | Improper privilege validation in Command Centre Server allows authenticated unprivileged operators to modify and view Person... |
| CVE-2023-23696 | Dell Command Intel vPro Out of Band, versions prior to 4.3.1, contain an Improper Authorization vulnerability. A locally aut... |
| CVE-2023-24476 | PTC Vuforia Studio Improper Authorization |
| CVE-2023-25074 | Competency access levels not enforced in the server |
| CVE-2023-2534 | Information disclouse and DoS via websocket push events |
| CVE-2023-25517 | NVIDIA vGPU software contains a vulnerability in the Virtual GPU Manager (vGPU plugin), where a guest OS may be able to cont... |
| CVE-2023-26466 | A user with non-Admin access can change a configuration file on the client to modify the Server URL. |
| CVE-2023-27594 | Cilium vulnerable to potential network policy bypass when routing IPv6 traffic |
| CVE-2023-2782 | Sensitive information disclosure due to improper authorization. The following products are affected: Acronis Cyber Infrastruc... |
| CVE-2023-28317 | A vulnerability has been discovered in Rocket.Chat, where editing messages can change the original timestamp, causing the UI... |
| CVE-2023-28318 | A vulnerability has been discovered in Rocket.Chat, where messages can be hidden regardless of the Message_KeepHistory or Mes... |
| CVE-2023-28325 | An improper authorization vulnerability exists in Rocket.Chat <6.0 that could allow a hacker to manipulate the rid parameter... |
| CVE-2023-28973 | Junos OS Evolved: The 'sysmanctl' shell command allows a local user to gain access to some administrative actions |
| CVE-2023-29338 | Visual Studio Code Spoofing Vulnerability |
| CVE-2023-2950 | Improper Authorization in openemr/openemr |
| CVE-2023-32022 | Windows Server Service Security Feature Bypass Vulnerability |
| CVE-2023-32482 | Wyse Management Suite versions prior to 4.0 contain an improper authorization vulnerability. An authenticated malicious user... |
| CVE-2023-33142 | Microsoft SharePoint Server Elevation of Privilege Vulnerability |
| CVE-2023-33183 | Error in calendar when booking an appointment reveals the full path of the website |
| CVE-2023-33189 | Incorrect Authorization with specially crafted requests |
| CVE-2023-34091 | Kyverno resource with a deletionTimestamp may allow policy circumvention |
| CVE-2023-36611 | The affected TBox RTUs allow low privilege users to access software security tokens of higher privilege. This could allow an... |
| CVE-2023-36633 | An improper authorization vulnerability [CWE-285] in FortiMail webmail version 7.2.0 through 7.2.2 and before 7.0.5 allows an... |
| CVE-2023-3805 | Xiamen Four Letter Video Surveillance Management System Login UserInfoAction.class improper authorization |
| CVE-2023-38135 | Improper authorization in some Intel(R) PM software may allow a privileged user to potentially enable escalation of privilege... |
| CVE-2023-38220 | Full page cache enumeration via cookie X-Magento-Vary |
| CVE-2023-40683 | IBM OpenPages with Watson privilege escalation |
| CVE-2023-41819 | A PendingIntent hijacking vulnerability was reported in the Motorola Face Unlock application that could allow a local attack... |
| CVE-2023-41841 | An improper authorization vulnerability in Fortinet FortiOS 7.0.0 - 7.0.11 and 7.2.0 - 7.2.4 allows an attacker belonging to... |
| CVE-2023-47109 | PrestaShop blockreassurance BO User can remove any file from server when adding a and deleting a block |
| CVE-2023-28378 | Improper authorization in some Intel(R) QAT drivers for Windows - HW Version 2.0 before version 2.0.4 may allow an authentica... |
| CVE-2023-28385 | Improper authorization in the Intel(R) NUC Pro Software Suite for Windows before version 2.0.0.9 may allow a privileged user... |
| CVE-2023-30948 | Retrieval of Attachments to Comments lacks Authorization |
| CVE-2023-30954 | Gotham Video Broken Authentication |
| CVE-2023-32967 | QTS, QuTScloud |
| CVE-2023-33019 | Improper Authorization in WLAN Host |
| CVE-2023-33020 | Improper Authorization in WLAN Host |
| CVE-2023-34460 | Tauri vulnerable to Regression on Filesystem Scope Checks for Dotfiles |
| CVE-2023-35022 | IBM InfoSphere Information Server improper authentication |
| CVE-2023-36826 | Sentry vulnerable to improper authorization on debug and artifact file downloads |
| CVE-2023-38508 | Tuleap allows preview of a linked artifact with a type does not respect permissions |
| CVE-2023-41673 | An improper authorization vulnerability [CWE-285] in Fortinet FortiADC version 7.4.0 and before 7.2.2 may allow a low privile... |
| CVE-2023-42453 | Improper validation of receipts allows forged read receipts in matrix synapse |
| CVE-2023-42491 | EisBaer Scada - CWE-285: Improper Authorization |
| CVE-2023-44410 | D-Link D-View showUsers Improper Authorization Privilege Escalation Vulnerability |
| CVE-2023-28055 | Dell NetWorker, Version 19.7 has an improper authorization vulnerability in the NetWorker client. An unauthenticated attacke... |
| CVE-2023-28556 | Improper Authorization in HLOS |
| CVE-2023-28584 | Improper Authorization in WLAN Host |
| CVE-2023-28623 | Unauthorized user can register an account in specific configurations in Zulip |
| CVE-2023-28634 | GLPI vulnerable to Privilege Escalation from Technician to Super-Admin |
| CVE-2023-29152 | PTC Vuforia Studio Improper Authorization |
| CVE-2023-3037 | HelpDezk Community improper authorization |
| CVE-2023-30467 | Improper Authorization Vulnerability in Milesight Network Video Recorder (NVR) |
| CVE-2023-32168 | D-Link D-View showUser Improper Authorization Privilege Escalation Vulnerability |
| CVE-2023-32662 | Improper authorization in some Intel Battery Life Diagnostic Tool installation software before version 2.2.1 may allow a priv... |
| CVE-2023-32678 | Zulip vulnerable to insufficient authorization check for edition/deletion of messages and topics in private streams by former... |
| CVE-2023-32707 | ‘edit_user’ Capability Privilege Escalation |
| CVE-2023-32709 | Low-privileged User can View Hashed Default Splunk Password |
| CVE-2023-32717 | Role-based Access Control (RBAC) Bypass on '/services/indexing/preview' REST Endpoint Can Overwrite Search Results |
| CVE-2023-3574 | Improper Authorization in pimcore/customer-data-framework |
| CVE-2023-3899 | Subscription-manager: inadequate authorization of com.redhat.rhsm1 d-bus interface allows local users to modify configuration |
| CVE-2023-44123 | Bluetooth - Theft and (over-)write of arbitrary files with system privilege via PendingIntent hijacking |
| CVE-2023-44125 | Personalized service - Theft and (over-)write of arbitrary files with system privilege via PendingIntent hijacking |
| CVE-2024-10274 | Improper Authorization in lunary-ai/lunary |
| CVE-2024-10598 | Tongda OA Annual Leave data.php improper authorization |
| CVE-2024-10654 | TOTOLINK LR350 formLoginAuth.htm authorization |
| CVE-2024-11306 | Altenergy Power Control Software database improper authorization |
| CVE-2024-11860 | SourceCodester Best House Rental Management System POST Request ajax.php improper authorization |
| CVE-2024-12782 | Fujifilm Business Innovation Apeos C3070/Apeos C5570/Apeos C6580 Web Interface index.html#hashHome improper authorization |
| CVE-2024-13724 | Wallet System for WooCommerce – Wallet, Wallet Cashback, Refunds, Partial Payment, Wallet Restriction <= 2.6.2 - Missing Auth... |
| CVE-2024-13821 | WP Booking Calendar <= 10.10 - Unauthenticated Post-Confirmation Booking Manipulation |
| CVE-2024-20333 | A vulnerability in the web-based management interface of Cisco Catalyst Center, formerly Cisco DNA Center, could allow an aut... |
| CVE-2024-20497 | Cisco Expressway Edge Improper Authorization Vulnerability |
| CVE-2023-48241 | XWiki exposed whole content of all documents of all wikis to anybody with view right on Solr suggest service |
| CVE-2023-48309 | next-auth vulnerable to possible user mocking that bypasses basic authentication |
| CVE-2023-50780 | Apache ActiveMQ Artemis: Authenticated users could perform RCE via Jolokia MBeans |
| CVE-2023-52139 | Misskey vulnerable to improper authorization when accessing with third-party application |
| CVE-2023-5808 | System Management Unit (SMU) versions prior to 14.8.7825.01, used to manage Hitachi Vantara NAS products are susceptible to u... |
| CVE-2023-5948 | Improper Authorization in teamamaze/amazefileutilities |
| CVE-2023-6538 | System Management Unit (SMU) versions prior to 14.8.7825.01, used to manage Hitachi Vantara NAS products is susceptible to un... |
| CVE-2024-11073 | SourceCodester Hospital Management System delete-account.php improper authorization |
| CVE-2024-12347 | Guangzhou Huayi Intelligent Technology Jeewms Druid Monitoring Interface index.html improper authorization |
| CVE-2024-12901 | FoxCMS API Endpoint Site.php improper authorization |
| CVE-2024-13109 | Beijing Yunfan Internet Technology Yunfan Learning Examination System doc.html improper authorization |
| CVE-2024-13646 | Single-user-chat <= 0.5 - Authenticated (Subscriber+) Limited Options Update |
| CVE-2024-13692 | Return Refund and Exchange For WooCommerce <= 4.4.5 - Authenticated (Subscriber+) Insecure Direct Object Reference |
| CVE-2024-13694 | WooCommerce Wishlist <= 1.8.7 - Unauthenticated Wishlist Disclosure via download_pdf_file Function |
| CVE-2024-21402 | Microsoft Outlook Elevation of Privilege Vulnerability |
| CVE-2023-47166 | A firmware update vulnerability exists in the luci2-io file-import functionality of Milesight UR32L v32.3.0.7-r2. A specially... |
| CVE-2023-50363 | QTS, QuTS hero |
| CVE-2023-5675 | Quarkus: authorization flaw in quarkus resteasy reactive and classic when "quarkus.security.jaxrs.deny-unannotated-endpoints"... |
| CVE-2024-0077 | CVE |
| CVE-2024-10729 | Booking & Appointment Plugin for WooCommerce <= 6.9.0 - Authenticated (Subscriber+) Arbitrary Option Update |
| CVE-2024-11768 | Download manager <= 3.3.03 - Improper Authorization to Unauthenticated Download of Password-Protected Files |
| CVE-2024-12483 | Dromara UJCMS User ID id authorization |
| CVE-2024-13058 | Authenticated, non-admin users can create storage pools via the sifi API |
| CVE-2024-13060 | Improper Authorization in mintplex-labs/anything-llm |
| CVE-2024-13241 | Open Social - Moderately critical - Information Disclosure - SA-CONTRIB-2024-005 |
| CVE-2024-13552 | SupportCandy – Helpdesk & Customer Support Ticket System <= 3.3.0 - Insecure Direct Object Reference |
| CVE-2024-20381 | Cisco Network Services Orchestrator Configuration Update Authorization Bypass Vulnerability |
| CVE-2024-20393 | Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Privilege Escalation Vulnerability |
| CVE-2024-20414 | A vulnerability in the web UI feature of Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, remote... |
| CVE-2024-20441 | Cisco Nexus Dashboard Fabric Controller Unauthorized API Endpoint Vulnerability |
| CVE-2024-21761 | An improper authorization vulnerability [CWE-285] in FortiPortal version 7.2.0, and versions 7.0.6 and below reports may allo... |
| CVE-2024-21987 | Improper Authorization Vulnerability in SnapCenter |
| CVE-2024-2317 | Bdtask Hospital AutoManager Prescription Page improper authorization |
| CVE-2024-37282 | It was identified that under certain specific preconditions, an API key that was originally created with a specific privilege... |
| CVE-2024-38129 | Windows Kerberos Elevation of Privilege Vulnerability |
| CVE-2024-38370 | GLPI allows API document download without rights |
| CVE-2024-38371 | Insufficient access control for OAuth2 Device Code flow in authentik |
| CVE-2024-38425 | Improper Authorization in Performance |
| CVE-2024-41962 | Bostr Improper Authorization |
| CVE-2024-23649 | Any authenticated user may obtain private message details from other users on the same instance |
| CVE-2024-23665 | Multiple improper authorization vulnerabilities [CWE-285] in FortiWeb version 7.4.2 and below, version 7.2.7 and below, versi... |
| CVE-2024-23667 | An improper authorization in Fortinet FortiWebManager version 7.2.0 and 7.0.0 through 7.0.4 and 6.3.0 and 6.2.3 through 6.2.4... |
| CVE-2024-23670 | An improper authorization in Fortinet FortiWebManager version 7.2.0 and 7.0.0 through 7.0.4 and 6.3.0 and 6.2.3 through 6.2.4... |
| CVE-2024-23806 | HID Global Reader Configuration Cards Improper Authorization |
| CVE-2024-24900 | Dell Secure Connect Gateway (SCG) Policy Manager, all versions, contain an improper authorization vulnerability. An adjacent... |
| CVE-2024-25106 | OpenObserve Unauthorized Access Vulnerability in Users API |
| CVE-2024-25108 | Insufficient authorization allowing elevated access to resources in pixelfed |
| CVE-2024-26291 | Authenticated Arbitrary File Read affecting Avid NEXIS |
| CVE-2024-2641 | Ruijie RG-NBS2009G-P Password passwdManage.htm improper authorization |
| CVE-2024-30061 | Microsoft Dynamics 365 (On-Premises) Information Disclosure Vulnerability |
| CVE-2024-32881 | Unauthorized access to GET/SET of Slack Bot Tokens in Danswer |
| CVE-2024-36108 | Multiple Broken Function-Level Authorization vulnerabilities in casgate |
| CVE-2024-37154 | Evmos allows unvested token delegations |
| CVE-2024-37159 | Evmos is missing create validator check |
| CVE-2024-37167 | Tuleap has improper permissions of the backlog items |
| CVE-2024-38231 | Windows Remote Desktop Licensing Service Denial of Service Vulnerability |
| CVE-2024-39404 | A user without Shop Policy Parameters section privilege can alter the shop policy parameters section |
| CVE-2024-39405 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-39407 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-39411 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-39412 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-12880 | Partial Account Takeover due to Insecure Data Querying in infiniflow/ragflow |
| CVE-2024-25949 | Dell OS10 Networking Switches, versions10.5.6.x, 10.5.5.x, 10.5.4.x and 10.5.3.x ,contain an improper authorization vulnerabi... |
| CVE-2024-27916 | `GetRepositoryByName`, `DeleteRepositoryByName` and `GetArtifactByName` allow access of arbitrary repositories in Minder by a... |
| CVE-2024-27930 | Sensitive fields access through dropdowns in GLPI |
| CVE-2024-27937 | glpi Users emails enumeration |
| CVE-2024-3013 | Teledyne FLIR AX8 User Registration test_login.php improper authorization |
| CVE-2024-36399 | Kanboard affected by Project Takeover via IDOR in ProjectPermissionController |
| CVE-2024-36467 | Authentication privilege escalation via user groups due to missing authorization checks |
| CVE-2024-42490 | authentik has Insufficient Authorization for several API endpoints |
| CVE-2024-4254 | Secrets Exfiltration in gradio-app/gradio |
| CVE-2024-43051 | Improper Authorization in SPS-HLOS |
| CVE-2024-43729 | Adobe Experience Manager | Improper Authorization (CWE-285) |
| CVE-2024-43731 | Adobe Experience Manager | Improper Authorization (CWE-285) |
| CVE-2024-47084 | CORS origin validation is not performed when the request has a cookie in Gradio |
| CVE-2024-47165 | CORS origin validation accepts the null origin in Gradio |
| CVE-2024-47183 | Parse Server's custom object ID allows to acquire role privileges |
| CVE-2024-47876 | Sakai: Kernel users created with type roleview can login as a normal user |
| CVE-2024-4819 | Campcodes Online Laundry Management System admin_class.php improper authorization |
| CVE-2024-52287 | authentik performs insufficient validation of OAuth scopes |
| CVE-2024-52528 | Auth Token can be passed dummy or wrong the middleware response is 200 OK |
| CVE-2024-24830 | OpenObserve Privilege Escalation Vulnerability in Users API |
| CVE-2024-2557 | kishor-23 Food Waste Management System admin.php improper authorization |
| CVE-2024-26193 | Azure Migrate Remote Code Execution Vulnerability |
| CVE-2024-29033 | GoogleOAuthenticator.hosted_domain incorrectly verifies membership of an Google organization/workspace |
| CVE-2024-30260 | Undici's Proxy-Authorization header not cleared on cross-origin redirect for dispatch, request, stream, pipeline |
| CVE-2024-3139 | SourceCodester Computer Laboratory Management System save_users improper authorization |
| CVE-2024-34104 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-3434 | CP Plus Wi-Fi Camera User Management improper authorization |
| CVE-2024-41670 | PayPal Official Module for PrestaShop has Improperly Implemented Security Check for Standard |
| CVE-2024-43460 | Dynamics 365 Business Central Elevation of Privilege Vulnerability |
| CVE-2024-43602 | Azure CycleCloud Remote Code Execution Vulnerability |
| CVE-2024-43706 | Kibana Improper Authorization |
| CVE-2024-45307 | SudoBot missing authorization check in `-config` command |
| CVE-2024-45387 | Apache Traffic Control: SQL Injection in Traffic Ops endpoint PUT deliveryservice_request_comments |
| CVE-2024-47053 | Improper Authorization in Reporting API |
| CVE-2024-48897 | Moodle: idor in edit/delete rss feed |
| CVE-2024-48901 | Moodle: idor when fetching report schedules |
| CVE-2024-48921 | Kyverno's PolicyException objects can be created in any namespace by default |
| CVE-2024-51479 | Authorization bypass in Next.js |
| CVE-2024-51525 | Permission control vulnerability in the clipboard module Impact: Successful exploitation of this vulnerability may affect ser... |
| CVE-2024-56802 | Tapir allows DeployKey exposure |
| CVE-2024-57954 | Permission verification vulnerability in the media library module Impact: Successful exploitation of this vulnerability may a... |
| CVE-2024-5798 | Vault Incorrectly Validated JSON Web Tokens (JWT) Audience Claims |
| CVE-2024-7799 | SourceCodester Simple Online Bidding System users.php improper authorization |
| CVE-2024-7851 | SourceCodester Yoga Class Registration System Add User Users.php improper authorization |
| CVE-2024-8764 | Improper Authorization in lunary-ai/lunary |
| CVE-2024-9000 | Improper Authorization and Duplicate Slug Vulnerability in lunary-ai/lunary |
| CVE-2024-9082 | SourceCodester Online Eyewear Shop User Creation Users.php improper authorization |
| CVE-2024-9095 | Improper Authorization in lunary-ai/lunary |
| CVE-2024-9096 | Improper Authorization in lunary-ai/lunary |
| CVE-2024-9531 | MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.4 - Missing Authorization to Forged Vendor Pr... |
| CVE-2025-0580 | Shiprocket Module REST API Module rest_api authorization |
| CVE-2025-0849 | CampCodes School Management Software Staff edit-staff improper authorization |
| CVE-2025-0928 | Arbitrary executable upload via authenticated endpoint |
| CVE-2025-10275 | YunaiV yudao-cloud transfer improper authorization |
| CVE-2025-10276 | YunaiV ruoyi-vue-pro transfer improper authorization |
| CVE-2025-10277 | YunaiV yudao-cloud submit improper authorization |
| CVE-2025-10278 | YunaiV ruoyi-vue-pro transfer improper authorization |
| CVE-2025-10291 | linlinjava litemall cancel WxAftersaleController improper authorization |
| CVE-2025-10318 | JeecgBoot WebSocket Message sendWebSocketMsg improper authorization |
| CVE-2025-10319 | JeecgBoot Tenant Log Export exportLog improper authorization |
| CVE-2025-10374 | Shenzhen Sixun Business Management System OperatorStop improper authorization |
| CVE-2025-10384 | yangzongzhuan RuoYi Role cancelAll improper authorization |
| CVE-2025-10819 | fuyang_lipengjun platform queryAll UserCouponController improper authorization |
| CVE-2025-10820 | fuyang_lipengjun platform queryAll TopicController improper authorization |
| CVE-2025-10821 | fuyang_lipengjun platform queryAll TopicCategoryController improper authorization |
| CVE-2025-10822 | fuyang_lipengjun platform queryAll SysSmsLogController improper authorization |
| CVE-2025-10902 | Originality.ai AI Checker <= 1.0.12 - Missing Authorization to Authenticated (Subscriber+) Scan Log Deletion via ' ai_scan_re... |
| CVE-2025-11174 | Document Library Lite <= 1.1.6 - Missing Authorization to Sensitive Information Exposure |
| CVE-2024-39413 | An unauthorized user can export the Invoiced Sales Report |
| CVE-2024-39415 | An unauthorized user can export the Tax Sales Report |
| CVE-2024-39416 | Unauthorized user can export Orders Sale Report |
| CVE-2024-39417 | An unauthorized user can export the Shipping Report |
| CVE-2024-39418 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2024-39419 | A user without ship permissions can ship the orders |
| CVE-2024-3959 | Improper Authorization in GitLab |
| CVE-2024-39597 | [CVE-2024-39597] Improper Authorization Checks on Early Login Composable Storefront B2B sites of SAP Commerce |
| CVE-2024-43482 | Microsoft Outlook for iOS Information Disclosure Vulnerability |
| CVE-2024-45044 | Bareos's negative command ACLs can be circumvented by abbreviating commands |
| CVE-2024-45805 | OpenCTI leaks support information due to inadequate access control |
| CVE-2024-5053 | Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder <= 5.1.18 - Missing Authorization to A... |
| CVE-2024-56320 | GoCD vulnerable to admin privilege escalation by a malicious internal/existing authenticated user |
| CVE-2024-56323 | OpenFGA Authorization Bypass |
| CVE-2024-56335 | Privilege escalation allows organization groups to be updated/deleted if their UUID is known in vaultwarden |
| CVE-2024-6840 | Automation-controller: gain access to the k8s api server via job execution with container group |
| CVE-2024-7015 | Improper Authentication in Profelis Informatics and Consulting's PassBOX |
| CVE-2024-8509 | Migration toolkit for virtualization: forklift-controller: empty bearer token may perform authentication |
| CVE-2024-9235 | Mapster WP Maps <= 1.5.0 - Incorrect Authorization to Authenticated (Contributor+) Arbitrary Options Update |
| CVE-2025-0628 | Improper Authorization in BerriAI/litellm |
| CVE-2025-10209 | Papermerge DMS Authorization Token improper authorization |
| CVE-2025-10389 | CRMEB Administrator Password SystemAdminServices.php save improper authorization |
| CVE-2025-10390 | CRMEB UserAddressServices.php editAddress improper authorization |
| CVE-2025-10422 | newbee-mall Order Status paySuccess improper authorization |
| CVE-2025-10674 | fuyang_lipengjun platform queryAll AttributeCategoryController improper authorization |
| CVE-2025-10675 | fuyang_lipengjun platform queryAll AttributeController improper authorization |
| CVE-2025-10676 | fuyang_lipengjun platform queryAll BrandController improper authorization |
| CVE-2025-10707 | JeecgBoot sendMsg improper authorization |
| CVE-2025-10947 | Sistemas Pleno Gestão de Locação CPF validarCpf authorization |
| CVE-2025-10976 | JeecgBoot getDepartUserList improper authorization |
| CVE-2025-10977 | JeecgBoot deleteBatch improper authorization |
| CVE-2025-10978 | JeecgBoot Filter exportXls improper authorization |
| CVE-2025-10979 | JeecgBoot exportXls improper authorization |
| CVE-2025-10980 | JeecgBoot exportXls improper authorization |
| CVE-2025-10981 | JeecgBoot exportXls improper authorization |
| CVE-2025-10987 | YunaiV yudao-cloud HTTP Request transfer improper authorization |
| CVE-2025-10988 | YunaiV ruoyi-vue-pro transfer improper authorization |
| CVE-2025-10989 | yangzongzhuan RuoYi selectAll improper authorization |
| CVE-2025-10992 | roncoo roncoo-pay lookupList improper authorization |
| CVE-2025-11030 | Tutorials-Website Employee Management System HTTP Request all-applied-leave.php improper authorization |
| CVE-2025-12005 | WP VR – 360 Panorama and Free Virtual Tour Builder For WordPress <= 8.5.41 - Improper Authorization to Authenticated (Contrib... |
| CVE-2025-12283 | code-projects Client Details System authorization |
| CVE-2025-12288 | Bdtask Pharmacy Management System User Profile edit_user authorization |
| CVE-2025-12304 | dulaiduwang003 TIME-SEA-PLUS Order Status PayController.java alipayIsSucceed improper authorization |
| CVE-2025-12854 | newbee-mall-plus seckillExecution executeSeckill authorization |
| CVE-2025-1607 | SourceCodester Best Employee Management System salary_slip.php authorization |
| CVE-2024-55954 | OpenObserve Improper Authorization Allows Admin User to Remove Root User |
| CVE-2024-6347 | Unauthorized access to ECU functionality |
| CVE-2024-6375 | Missing authorization check may lead to shard key refinement |
| CVE-2024-6384 | Backup files may be downloaded by underprivileged users in MongoDB Enterprise Server |
| CVE-2024-7578 | Alien Technology ALR-F800 cmd.php improper authorization |
| CVE-2024-7624 | Zephyr Project Manager <= 3.3.101 - Authenticated (Subscriber+) Limited Privilege Escalation |
| CVE-2024-8676 | Cri-o: checkpoint restore can be triggered from different namespaces |
| CVE-2024-9297 | SourceCodester Online Railway Reservation System admin improper authorization |
| CVE-2025-0484 | Fanli2012 native-php-cms Backend sysconfig_doedit.php improper authorization |
| CVE-2025-10014 | elunez eladmin Email Address updateEmail updateUserEmail improper authorization |
| CVE-2025-1007 | Improper Authorization in /user/namespace/{namespace}/details |
| CVE-2025-10073 | Portabilis i-Educar turma improper authorization |
| CVE-2025-10084 | elunez eladmin SysLogController 1 queryErrorLogDetail improper authorization |
| CVE-2025-10086 | fuyang_lipengjun platform AdPositionController queryAll improper authorization |
| CVE-2025-10759 | Webkul QloApps CSRF Token authorization |
| CVE-2025-1078 | AppHouseKitchen AlDente Charge Limiter XPC Service com.apphousekitchen.aldente-pro.helper shouldAcceptNewConnection improper... |
| CVE-2025-11047 | Portabilis i-Educar aluno improper authorization |
| CVE-2025-11048 | Portabilis i-Educar consulta-dispensas improper authorization |
| CVE-2025-11049 | Portabilis i-Educar unificacao-aluno improper authorization |
| CVE-2025-11050 | Portabilis i-Educar periodo-lancamento improper authorization |
| CVE-2025-11080 | zhuimengshaonian wisdom-education ExamInfoController.java selectStudentExamInfoList improper authorization |
| CVE-2025-11879 | GenerateBlocks <= 2.1.1 - Improper Authorization to Authenticated (Contributor+) Arbitrary Options Disclosure |
| CVE-2025-1226 | ywoa setup.jsp improper authorization |
| CVE-2025-12623 | fushengqian fuint Authentication Token ClientSignController.java authorization |
| CVE-2025-1361 | IP2Location Country Blocker <= 2.38.8 - Missing Authorization to Unauthenticated Information Exposure via admin_init Function |
| CVE-2025-1806 | Eastnets PaymentSafe URL Default.aspx improper authorization |
| CVE-2025-1815 | pbrong hrms resource.go HrmsDB improper authorization |
| CVE-2025-1847 | zj1983 zz improper authorization |
| CVE-2025-2114 | Shenzhen Sixun Software Sixun Shanghui Group Business Management System Reset Password Interface OperatorStop.asp improper au... |
| CVE-2025-21400 | Microsoft SharePoint Server Remote Code Execution Vulnerability |
| CVE-2025-21611 | tgstation-server's role authorization incorrectly OR'd with user's enabled status |
| CVE-2025-11227 | GiveWP – Donation Plugin and Fundraising Platform <= 4.10.0 - Missing Authorization to Unauthenticated Forms and Campaigns Di... |
| CVE-2025-11244 | Password Protected <= 2.7.11 - Unauthenticated Authorization Bypass via IP Address Spoofing |
| CVE-2025-11256 | Kognetiks Chatbot <= 2.3.5 - Missing Authorization to Unauthenticated Limited File Uploads and Conversation Erasing |
| CVE-2025-11272 | SeriaWei ZKEACMS POST Request UrlRedirectionController.cs Delete improper authorization |
| CVE-2025-11321 | zhuimengshaonian wisdom-education WrongBookController.java authorization |
| CVE-2025-11510 | FileBird <= 6.4.9 - Improper Authorization to Authenticated (Author+) Settings Reset |
| CVE-2025-11521 | Astra Security Suite – Firewall & Malware Scan <= 0.2 - Unauthenticated Arbitrary File Upload |
| CVE-2025-12360 | Better Find and Replace <= 1.7.7 - Missing Authorization |
| CVE-2025-12367 | SiteSEO – SEO Simplified <= 1.3.1 - Missing Authorization to Authenticated (Author+) Plugin Settings Update |
| CVE-2025-12494 | Image Gallery – Photo Grid & Video Gallery <= 2.12.28 - Improper Authorization to Authenticated (Author+) Arbitrary Image Fil... |
| CVE-2025-13114 | macrozheng mall-swarm attr updateAttr improper authorization |
| CVE-2025-13115 | macrozheng mall-swarm/mall Order Details detail improper authorization |
| CVE-2025-13116 | macrozheng mall-swarm/mall cancelUserOrder improper authorization |
| CVE-2025-13117 | macrozheng mall-swarm/mall cancelOrder improper authorization |
| CVE-2025-13118 | macrozheng mall-swarm/mall paySuccess improper authorization |
| CVE-2025-20125 | Cisco Identity Services Engine Insufficient Authorization Bypass Vulnerability |
| CVE-2025-21275 | Windows App Package Installer Elevation of Privilege Vulnerability |
| CVE-2025-21348 | Microsoft SharePoint Server Remote Code Execution Vulnerability |
| CVE-2025-23024 | GLPI: Plugins are disabled accessing one page |
| CVE-2025-23042 | Gradio Blocked Path ACL Bypass Vulnerability |
| CVE-2025-24418 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2025-25196 | OpenFGA Authorization Bypass |
| CVE-2025-2600 | Improper authorization in the variable component in Devolutions Remote Desktop Manager on Windows allows an authenticated use... |
| CVE-2025-2637 | JIZHICMS Account Profile Page userinfo.html improper authorization |
| CVE-2025-2638 | JIZHICMS Article release.html improper authorization |
| CVE-2025-27509 | SAML authentication vulnerability due to improper SAML response validation |
| CVE-2025-27601 | Umbraco Allows Improper API Access Control to Low-Privilege Users to Data Type Functionality |
| CVE-2025-27602 | Umbraco Allows a Restricted Editor User to Delete Media Item or Access Unauthorized Content |
| CVE-2025-29778 | Kyverno ignores subjectRegExp and IssuerRegExp |
| CVE-2025-29794 | Microsoft SharePoint Remote Code Execution Vulnerability |
| CVE-2025-29827 | Azure Automation Elevation of Privilege Vulnerability |
| CVE-2025-30373 | Graylog Authenticated HTTP inputs do ingest message even if Authorization header is missing or has wrong value |
| CVE-2025-30389 | Azure Bot Framework SDK Elevation of Privilege Vulnerability |
| CVE-2025-30390 | Azure ML Compute Elevation of Privilege Vulnerability |
| CVE-2025-30392 | Azure AI bot Elevation of Privilege Vulnerability |
| CVE-2025-32964 | ManageWiki vulnerable to permission bypass when disabling extensions requiring certain permissions in Special:ManageWiki/exte... |
| CVE-2025-32972 | The lesscss script service allows cache clearing without programming right |
| CVE-2025-3454 | This vulnerability in Grafana's datasource proxy API allows authorization checks to be bypassed by adding an extra slash char... |
| CVE-2025-3550 | wowjoy 浙江湖州华卓信息科技有限公司 Internet Doctor Workstation System detail improper authorization |
| CVE-2025-3564 | huanfenz/code-projects StudentManager Teacher String improper authorization |
| CVE-2025-3567 | veal98 小牛肉 Echo 开源社区系统 Ticket LoginTicketInterceptor.java preHandle improper authorization |
| CVE-2025-3569 | JamesZBL/code-projects db-hospital-drug ShiroConfig.java improper authorization |
| CVE-2025-3587 | ZeroWdd/code-projects studentmanager getTeacherList improper authorization |
| CVE-2025-20264 | Cisco Identity Services Engine Authorization Bypass Vulnerability |
| CVE-2025-2345 | IROAD Dash Cam X5/Dash Cam X6 improper authorization |
| CVE-2025-2397 | China Mobile P22g-CIac Telnet Service improper authorization |
| CVE-2025-24053 | Microsoft Dataverse Elevation of Privilege Vulnerability |
| CVE-2025-24784 | kubewarden-controller has an Information leak via AdmissionPolicyGroup Resource |
| CVE-2025-2528 | Improper authorization in application password policy in Devolutions Remote Desktop Manager on Windows allows an authenticate... |
| CVE-2025-2589 | code-projects Human Resource Management System Account.go Index improper authorization |
| CVE-2025-2639 | JIZHICMS Article release.html improper authorization |
| CVE-2025-2653 | FoxCMS improper authorization |
| CVE-2025-26683 | Azure Playwright Elevation of Privilege Vulnerability |
| CVE-2025-27399 | Mastodon's domain blocks & rationales ignore user approval when visibility set as "users" |
| CVE-2025-2850 | GL.iNet GL-A1300 Slate Plus Download Interface improper authorization |
| CVE-2025-29922 | kcp allows unauthorized creation and deletion of objects in arbitrary workspaces through APIExport Virtual Workspace |
| CVE-2025-29926 | The WikiManager REST API allows any user to create wikis |
| CVE-2025-29927 | Authorization Bypass in Next.js Middleware |
| CVE-2025-3013 | Insecure direct object references (IDOR) in NightWolf Penetration Platform |
| CVE-2025-3014 | Insecure direct object references (IDOR) in NightWolf Penetration Platform |
| CVE-2025-3199 | ageerle ruoyi-ai API Interface SysModelController.java improper authorization |
| CVE-2025-3202 | ageerle ruoyi-ai SysNoticeController.java improper authorization |
| CVE-2025-3536 | Tutorials-Website Employee Management System delete-user.php improper authorization |
| CVE-2025-3537 | Tutorials-Website Employee Management System update-user.php improper authorization |
| CVE-2025-3967 | itwanger paicoding Article post improper authorization |
| CVE-2025-3977 | iteachyou Dreamer CMS Attachment download improper authorization |
| CVE-2025-3980 | wowjoy 浙江湖州华卓信息科技有限公司 Internet Doctor Workstation System list improper authorization |
| CVE-2025-3981 | wowjoy 浙江湖州华卓信息科技有限公司 Internet Doctor Workstation System details improper authorization |
| CVE-2025-4136 | Weitong Mall Sale Endpoint improper authorization |
| CVE-2025-43585 | Adobe Commerce | Improper Authorization (CWE-285) |
| CVE-2025-4519 | IDonate 2.1.5 - 2.1.9 - Missing Authorization to Authenticated (Subscriber+) Account Takeover/Privilege Escalation via idonat... |
| CVE-2025-4631 | Profitori 2.0.6.0 - 2.1.1.3 - Missing Authorization to Unauthenticated Privilege Escalation via stocktend_object Endpoint |
| CVE-2025-3918 | Job Listings 0.1 - 0.1.1 - Unauthenticated Privilege Escalation via register_action Function |
| CVE-2025-3921 | PeproDev Ultimate Profile Solutions 1.9.1 - 7.5.2 - Missing Authorization to Limited Unauthenticated Arbitrary User Meta Upda... |
| CVE-2025-3924 | PeproDev Ultimate Profile Solutions 1.9.1 - 7.5.2 - Missing Authorization to Unauthenticated Email Enumeration |
| CVE-2025-4016 | 20120630 Novel-Plus LogController.java deleteIndex improper authorization |
| CVE-2025-4017 | 20120630 Novel-Plus LogController.java list improper authorization |
| CVE-2025-4103 | WP-GeoMeta 0.3.4 - 0.3.5 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation via wp_ajax_wpgm_start_g... |
| CVE-2025-4104 | Frontend Dashboard 1.0 - 2.2.6 - Missing Authorization to Unauthenticated Privilege Escalation via fed_wp_ajax_fed_login_form... |
| CVE-2025-4210 | Casdoor SCIM User Creation Endpoint scim.go HandleScim authorization |
| CVE-2025-4473 | Frontend Dashboard 1.5.10 - 2.2.7 - Missing Authorization to Authenticated (Subscriber+) Account Takeover/Privilege Escalatio... |
| CVE-2025-4474 | Frontend Dashboard 1.0 - 2.2.7 - Missing Authorization to Authenticated (Subscriber+) Privilege Escalation via fed_admin_sett... |
| CVE-2025-4654 | Soumettre.fr <= 2.1.5 - Improper Authorization to Unauthenticated Soumettre Posts Creation/Modification/Deletion |
| CVE-2025-46840 | Adobe Experience Manager | Improper Authorization (CWE-285) |
| CVE-2025-4819 | y_project RuoYi Offline Logout batchForceLogout improper authorization |
| CVE-2024-42032 | Access permission verification vulnerability in the Contacts module Impact: Successful exploitation of this vulnerability may... |
| CVE-2024-42036 | Access permission verification vulnerability in the Notepad module Impact: Successful exploitation of this vulnerability may... |
| CVE-2024-42039 | Access control vulnerability in the SystemUI module Impact: Successful exploitation of this vulnerability may affect service... |
| CVE-2025-54130 | Cursor Agent is vulnerable prompt injection via Editor Special Files |
| CVE-2025-54585 | GitProxy is vulnerable to a new branch approval exploit |
| CVE-2025-55675 | Apache Superset: Incorrect datasource authorization on REST API |
| CVE-2025-61781 | GraphQL IDOR allows authenticated user to delete workspace content of other users |
| CVE-2025-6525 | 70mai 1S Configuration Config.cgi improper authorization |
| CVE-2025-49594 | XWiki OIDC Authenticator vulnerable to creation of token for any user with just `view` right |
| CVE-2025-49701 | Microsoft SharePoint Remote Code Execution Vulnerability |
| CVE-2025-49746 | Azure Machine Learning Elevation of Privilege Vulnerability |
| CVE-2025-53106 | Graylog vulnerable to privilege escalation through API tokens |
| CVE-2025-53512 | Sensitive log retrieval in Juju |
| CVE-2025-53944 | AutoGPT Platform Exposes Graph Execution Results via Authorization Gap |
| CVE-2025-5522 | jack0240 魏 bskms 蓝天幼儿园管理系统 User Creation addUser improper authorization |
| CVE-2025-6088 | Improper Authorization in danny-avila/librechat |
| CVE-2025-6099 | szluyu99 gin-vue-blog PATCH Request manager.go improper authorization |
| CVE-2025-62610 | Hono Improperly Authorizes JWT Audience Validation |
| CVE-2025-6329 | ScriptAndTools Real Estate Management System User Delete userdelete.php authorization |
| CVE-2025-64523 | FileBrowser has Insecure Direct Object Reference (IDOR) in Share Deletion Function |
| CVE-2025-65020 | Rallly Has Unauthorized Poll Duplication via Insecure Direct Object Reference (IDOR) |
| CVE-2025-65021 | Rallly Has Unauthorized Poll Finalization via Insecure Direct Object Reference (IDOR) |
| CVE-2025-65028 | Rallly Has an IDOR Vulnerability in Vote Update Endpoint Allows Unauthorized Manipulation of Participant Votes |
| CVE-2025-65029 | Rallly Has an IDOR Vulnerability in Participant Deletion Endpoint Allows Unauthorized Removal of Poll Participants |
| CVE-2025-4672 | Offsprout Page Builder 2.2.1 - 2.15.2 - Authenticated (Contributor+) Privilege Escalation via permission_callback Function |
| CVE-2025-46732 | OpenCTI's GraphQL IDOR enables authenticated users to modify or delete notifications of other users |
| CVE-2025-48063 | XWiki Platform Security Authorization Bridge allows users with just edit right can enforce required rights with programming r... |
| CVE-2025-48371 | OpenFGA Authorization Bypass |
| CVE-2025-5175 | erdogant pypickle pypickle.py save improper authorization |
| CVE-2025-5182 | Summer Pearl Group Vacation Rental Management Platform Listing authorization |
| CVE-2025-53532 | giscus allows unauthorized discussion creation |
| CVE-2025-54378 | HAX CMS Backend Lacks Comprehensive Authorization Checks |
| CVE-2025-54787 | SuiteCRM: Improper Authorization for attachment downloads |
| CVE-2025-54822 | An improper authorization vulnerability [CWE-285] vulnerability in Fortinet FortiOS 7.4.0 through 7.4.1, FortiOS 7.2.0 throug... |
| CVE-2025-58156 | Centurion ERP users can view hashed authentication tokens that belong to other users |
| CVE-2025-59271 | Redis Enterprise Elevation of Privilege Vulnerability |
| CVE-2025-62401 | Moodle: possible to bypass timer in timed assignments |
| CVE-2025-62520 | MantisBT unauthorized disclosure of private project column configuration |
| CVE-2025-64751 | OpenFGA Improper Policy Enforcement |
| CVE-2025-66290 | OrangeHRM is Vulnerable to Improper Authorization Allowing Unauthorized Access to Candidate Attachments |
| CVE-2025-2320 | 274056675 springboot-openai-chatgpt User submit improper authorization |
| CVE-2025-2359 | D-Link DIR-823G DDNS Service HNAP1 SetDDNSSettings improper authorization |
| CVE-2025-2360 | D-Link DIR-823G UPnP Service HNAP1 SetUpnpSettings improper authorization |
| CVE-2025-24376 | The kubewarden-controller AdmissionPolicy and AdmissionPolicyGroup policies can be used to alter PolicyReport resources |
| CVE-2025-53709 | Access control issues impacting secure-upload service |
| CVE-2025-53792 | Azure Portal Elevation of Privilege Vulnerability |
| CVE-2025-53795 | Microsoft PC Manager Elevation of Privilege Vulnerability |
| CVE-2025-54868 | LibreChat exposes arbitrary chats through Meilisearch engine |
| CVE-2025-5511 | quequnlong shiyi-blog photos improper authorization |
| CVE-2025-61928 | Better Auth: Unauthenticated API key creation through api-key plugin |
| CVE-2025-64655 | Dynamics OmniChannel SDK Storage Containers Elevation of Privilege Vulnerability |
| CVE-2025-6639 | Tutor LMS Pro – eLearning and online course solution <= 3.8.3 - Authenticated (Subscriber+) Insecure Direct Object Reference... |
| CVE-2025-6735 | juzaweb CMS Import Page imports improper authorization |
| CVE-2025-6736 | juzaweb CMS Add New Themes Page install improper authorization |
| CVE-2025-68481 | FastAPI Users Vulnerable to 1-click Account Takeover in Apps Using FastAPI SSO |
| CVE-2025-7778 | Icons Factory <= 1.6.12 - Missing Authorization to Unauthenticated Arbitrary File Deletion via delete_files() Function |
| CVE-2025-8057 | IDOR in Patika Global Technologies' HumanSuite |
| CVE-2025-8147 | LWSCache <= 2.8.5 - Missing Authorization to Authenticated (Subscriber+) Limited Plugin Activation via lwscache_activatePlugi... |
| CVE-2025-8532 | IDOR in Bimser's eBA Document and Workflow Management System |
| CVE-2025-8547 | atjiu pybbs Email Verification improper authorization |
| CVE-2025-8839 | jshERP Endpoint addUser improper authorization |
| CVE-2025-8840 | jshERP Endpoint deleteBatch improper authorization |
| CVE-2025-9294 | Quiz And Survey Master <= 10.3.1 - Missing Authorization to Authenticated (Subscriber+) Quiz Results Deletion |
| CVE-2025-9602 | Xinhu RockOA index.php publicsaveAjax improper authorization |
| CVE-2025-9835 | macrozheng mall cancelUserOrder cancelOrder authorization |
| CVE-2025-9836 | macrozheng mall paySuccess authorization |
| CVE-2026-1193 | MineAdmin View view improper authorization |
| CVE-2026-1702 | SourceCodester Pet Grooming Management Software User Management user.php improper authorization |
| CVE-2026-1733 | Zhong Bang CRMEB :uni tidyOrder improper authorization |
| CVE-2026-2076 | yeqifu warehouse User Management Endpoint UserController.java deleteUser improper authorization |
| CVE-2025-65030 | Rallly Improper Authorization in Comment Deletion Endpoint Allows Unauthorized Comment Removal |
| CVE-2025-65031 | Rallly Improper Authorization in Comment Endpoint Allows User Impersonation |
| CVE-2025-65033 | Rallly Broken Authorization: Any User Can Pause or Resume Any Poll via Poll ID Manipulation |
| CVE-2025-65041 | Microsoft Partner Center Elevation of Privilege Vulnerability |
| CVE-2025-65094 | WBCE CMS is Vulnerable to Privilege Escalation via Group ID Manipulation (IDOR) |
| CVE-2025-65107 | Langfuse SSO Account Takeover via CSRF or phishing attack |
| CVE-2025-67603 | Lack of client authorization allows arbitrary users to influence the firewall configuration |
| CVE-2025-67715 | Weblate has Systematic User and Project Enumeration via Broken Authorization in REST API (IDOR) |
| CVE-2025-7221 | GiveWP – Donation Plugin and Fundraising Platform <= 4.5.0 - Missing Authorization to Donation Update |
| CVE-2025-8401 | HT Mega – Absolute Addons For Elementor <= 2.9.1 - Authenticated (Author+) Sensitive Information Exposure |
| CVE-2025-8789 | Portabilis i-Educar API Endpoint Diario authorization |
| CVE-2025-8790 | Portabilis i-Educar API Endpoint pessoa improper authorization |
| CVE-2025-8791 | LitmusChaos Litmus list_projects improper authorization |
| CVE-2025-8794 | LitmusChaos Litmus LocalStorage authorization |
| CVE-2025-66291 | OrangeHRM is Vulnerable to Improper Authorization Allowing Unauthorized Access to Interview Attachments |
| CVE-2025-66301 | Grav ihas Broken Access Control which allows an Editor to modify the page's YAML Frontmatter to alter form processing actions |
| CVE-2025-6702 | linlinjava litemall post improper authorization |
| CVE-2025-6713 | MongoDB Server may be susceptible to privilege escalation due to $mergeCursors stage |
| CVE-2025-7938 | jerryshensjf JPACookieShop 蛋糕商城JPA版 GoodsController.java updateGoods authorization |
| CVE-2025-7947 | jshERP Account delete improper authorization |
| CVE-2025-8261 | Vaelsys User Creation vgrid_server.php improper authorization |
| CVE-2025-8755 | macrozheng mall com.macro.mall.portal.controller UmsMemberController.java detail authorization |
| CVE-2025-8756 | TDuckCloud tduck-platform manage preHandle improper authorization |
| CVE-2025-9151 | LiuYuYang01 ThriveX-Blog web updateJsonValueByName improper authorization |
| CVE-2025-9609 | Portabilis i-Educar consulta improper authorization |
| CVE-2025-9687 | Portabilis i-Educar processamentoApi improper authorization |
| CVE-2026-0574 | yeqifu warehouse Request UserController.java saveUserRole improper authorization |
| CVE-2026-1112 | Sanluan PublicCMS Trade Address Deletion Endpoint TradeAddressController.java delete improper authorization |
| CVE-2026-1141 | PHPGurukul News Portal Add Sub-Admin add-subadmins.php improper authorization |
| CVE-2026-1550 | PHPGurukul Hospital Management System Admin Dashboard adminviews.py improper authorization |
| CVE-2026-1597 | Bdtask SalesERP Administrative Endpoint improper authorization |
| CVE-2026-2010 | Sanluan PublicCMS Trade Payment TradePaymentService.java paid improper authorization |
| CVE-2026-2015 | Portabilis i-Educar Final Status Import FinalStatusImportService.php improper authorization |
| CVE-2026-2105 | yeqifu warehouse Department Management DeptController.java deleteDept improper authorization |
| CVE-2026-2106 | yeqifu warehouse Notice Management NoticeController.java batchDeleteNotice improper authorization |
| CVE-2026-2107 | yeqifu warehouse Log Info LoginfoController.java batchDeleteLoginfo improper authorization |
| CVE-2026-2109 | jsbroks COCO Annotator Delete Category undo improper authorization |
| CVE-2026-22252 | LibreChat MCP Stdio Remote Command Execution |
| CVE-2026-24835 | Podman Desktop Extension System Vulnerable to Authentication Bypass |
| CVE-2026-24890 | OpenEMR Portal Users Can Forge Provider Signatures |
| CVE-2026-25999 | Klaw has an improper authorisation check on /resetMemoryCache |
| CVE-2026-26020 | AutoGPT Affected by Remote Code Execution via Dynamic Module Import in Block Loading (__import__) |
| CVE-2026-28685 | Kimai: API invoice endpoint missing customer-level access control (IDOR) |
| CVE-2026-28806 | Improper authorization in device bulk actions and device update API allows cross-organization device control |
| CVE-2026-2896 | funadmin Configuration Ajax.php setConfig improper authorization |
| CVE-2026-30956 | OneUptime has authorization bypass via client‑controlled is-multi-tenant-query header |
| CVE-2026-30959 | OneUptime has WhatsApp Resend Verification Authorization Bypass |
| CVE-2026-3263 | go2ismail Asp.Net-Core-Inventory-Order-Management-System Security API improper authorization |
| CVE-2026-3265 | go2ismail Free-CRM Security API improper authorization |
| CVE-2026-32704 | SiYuan renderSprig: missing admin check allows any user to read full workspace DB |
| CVE-2026-3817 | SourceCodester Patients Waiting Area Queue Management System patient-search.php improper authorization |
| CVE-2026-4013 | SourceCodester Web-based Pharmacy Product Management System add_admin.php improper authorization |
| CVE-2026-2077 | yeqifu warehouse Role Management RoleController.java deleteRole improper authorization |
| CVE-2026-2078 | yeqifu warehouse Permission Management PermissionController.java deletePermission improper authorization |
| CVE-2026-2079 | yeqifu warehouse Menu Management MenuController.java deleteMenu improper authorization |
| CVE-2026-2141 | WuKongOpenSource WukongCRM URL PermissionServiceImpl.java improper authorization |
| CVE-2026-22641 | Без описания... |
| CVE-2026-23623 | Collabora Online vulnerable to Authorization Bypass |
| CVE-2026-25724 | Claude Code Has Permission Deny Bypass Through Symbolic Links |
| CVE-2026-2676 | GoogTech sms-ssm API LoginInterceptor.java preHandle improper authorization |
| CVE-2026-2693 | CoCoTeaNet CyreneAdmin System Info Endpoint getCount improper authorization |
| CVE-2026-2694 | The Events Calendar <= 6.15.16 - Improper Authorization to Authenticated (Contributor+) Event/Organizer/Venue Update/Trash vi... |
| CVE-2026-27803 | Vaultwarden: Collection Management Operations Allowed Without `manage` Verification for Manager Role |
| CVE-2026-28448 | OpenClaw 2026.1.29 < 2026.2.1 - Authorization Bypass in Twitch Plugin allowFrom Access Control |
| CVE-2026-2860 | feng_ha_ha/megagao ssm-erp/production_ssm EmployeeController.java improper authorization |
| CVE-2026-2974 | AliasVault App Backup aliasvault.xml backup |
| CVE-2026-3009 | Org.keycloak/keycloak-services: improper enforcement of disabled identity provider in identitybrokerservice (authentication b... |
| CVE-2026-3185 | feiyuchuixue sz-boot-parent API Endpoint sys-message authorization |
| CVE-2026-3761 | SourceCodester Client Database Management System Endpoint superadmin_user_delete.php improper authorization |
| CVE-2026-3762 | SourceCodester Client Database Management System Endpoint superadmin_delete_manager.php improper authorization |
| CVE-2026-3764 | SourceCodester Client Database Management System superadmin_user_update.php improper authorization |
| CVE-2026-4171 | CodeGenieApp serverless-express API Endpoint TodoList.ts authorization |
| CVE-2025-9760 | Portabilis i-Educar Matricula API matricula improper authorization |
| CVE-2025-9936 | fuyang_lipengjun platform queryAll AdController improper authorization |
| CVE-2025-9937 | elunez eladmin LocalStorageController deleteFile improper authorization |
| CVE-2026-1106 | Chamilo LMS Legal Consent SocialController.php deleteLegal improper authorization |
| CVE-2026-1892 | WeKan REST API boards.js setBoardOrgs improper authorization |
| CVE-2026-1894 | WeKan REST API checklistItems.js Checklist REST Bleed improper authorization |
| CVE-2026-20960 | PowerApps Desktop Client Remote Code Execution Vulnerability |
| CVE-2026-22022 | Apache Solr: Unauthorized bypass of certain "predefined permission" rules in the RuleBasedAuthorizationPlugin |
| CVE-2026-22042 | RustFS has IAM Incorrect Authorization in ImportIam that Allows Privilege Escalation |
| CVE-2026-2209 | WeKan Custom Translation translationBody.js setCreateTranslation improper authorization |
| CVE-2026-24305 | Azure Entra ID Elevation of Privilege Vulnerability |
| CVE-2026-25809 | PlaciPy Code Execution Allowed Without Assessment Active State Validation |
| CVE-2026-25885 | PolarLearn allows Unauthenticated WebSocket access allows subscribing to and posting in arbitrary group chats |
| CVE-2026-25893 | FUXA Unauthenticated Remote Code Execution via Admin JWT Minting |
| CVE-2026-2733 | Org.keycloak/keycloak-services: keycloak: missing check on disabled client for docker registry protocol |
| CVE-2026-28431 | Misskey lacks proper authorization checks and input validation |
| CVE-2026-30793 | RustDesk Flutter URI Handler Sets Permanent Password Without Privilege Check or User Confirmation |
| CVE-2026-30847 | Wekan Credential Leak via notificationUsers Publication Exposes Password Hashes and Session Tokens |
| CVE-2026-30870 | Some sync filters in PowerSync Service ignored using `config.edition: 3` |
| CVE-2026-3667 | Freedom Factory dGEN1 org.ethosmobile.ethoslauncher FakeAppService improper authorization |
| CVE-2026-3669 | Freedom Factory dGEN1 com.dgen.alarm AlarmService improper authorization |
| CVE-2026-3670 | Freedom Factory dGEN1 com.dgen.alarm improper authorization |
| CVE-2026-3671 | Freedom Factory dGEN1 org.ethereumphone.walletmanager.testing123 TokenBalanceContentProvider improper authorization |
| CVE-2026-3674 | Freedom Factory dGEN1 org.ethosmobile.ethoslauncher FakeAppProvider improper authorization |
| CVE-2026-3675 | Freedom Factory dGEN1 org.ethosmobile.ethoslauncher FakeAppReceiver improper authorization |
| CVE-2026-3724 | SourceCodester Patients Waiting Area Queue Management System checkin.php improper authorization |
| CVE-2026-3734 | SourceCodester Client Database Management System Endpoint fetch_manager_details.php improper authorization |
| CVE-2026-3737 | SourceCodester Pet Grooming Management Software User Creation add_user.php improper authorization |
| CVE-2026-3738 | SourceCodester Pet Grooming Management Software Financial Report improper authorization |
| CVE-2025-65963 | CFiles Unauthorized Folder/ZIP Access in Public Spaces |
| CVE-2025-65966 | OneUptime Unauthorized User Creation via API |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230614-16 | 14.06.2023 | Получение конфиденциальной информации в Red Hat OpenStack |
| VULN:20230703-4 | 03.07.2023 | Обход безопасности в Ultimate Member – User Profile & Membership Plugin |
| VULN:20230929-3 | 29.09.2023 | Перезапись произвольных файлов в Cisco IOS |
| VULN:20231006-23 | 06.10.2023 | Повышение привилегий в D-Link D-View |
| VULN:20231018-8 | 18.10.2023 | Отказ в обслуживании в Cisco Catalyst SD-WAN Manager |
| VULN:20231027-2 | 27.10.2023 | Получение конфиденциальной информации в VMware Tools |
| VULN:20231101-12 | 01.11.2023 | Перезапись произвольных файлов в Post Meta Data Manager plugin for WordPress |
| VULN:20231101-13 | 01.11.2023 | Повышение привилегий в Post Meta Data Manager plugin for WordPress |
| VULN:20231101-8 | 01.11.2023 | Перезапись произвольных файлов в Confluence Server and Data Center |
| VULN:20240112-2 | 12.01.2024 | Получение конфиденциальной информации в Gitlab Community Edition |
| VULN:20240131-2 | 31.01.2024 | Отказ в обслуживании в GC370XA |
| VULN:20240318-9 | 18.03.2024 | Повышение привилегий в RUGGEDCOM APE1808 |
| VULN:20240708-18 | 08.07.2024 | Повышение привилегий в TC500 |
| VULN:20240715-49 | 15.07.2024 | Обход безопасности в Adobe Commerce (formerly Magento Commerce) |
| VULN:20240719-4 | 19.07.2024 | Чтение локальных файлов в Кейсистемс "Управление сервисами СМАРТ/WEB" |
| VULN:20240812-24 | 12.08.2024 | Выполнение произвольного кода в Apache OFBiz |
| VULN:20241007-48 | 07.10.2024 | Повышение привилегий в Cisco Small Business RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers |
| VULN:20250117-10 | 17.01.2025 | Выполнение произвольного кода в Dell OpenManage Network Integration (OMNI) |
| VULN:20250226-51 | 26.02.2025 | Выполнение произвольного кода в Adobe Commerce and Magento Open Source |
| VULN:20250226-54 | 26.02.2025 | Выполнение произвольного кода в Adobe Commerce and Magento Open Source |
| VULN:20250303-5 | 03.03.2025 | Повышение привилегий в Cisco Identity Services Engine |
| VULN:20250326-10 | 26.03.2025 | Обход безопасности в Next.js |
| VULN:20250409-3 | 09.04.2025 | Получение конфиденциальной информации в Dell VxRail Appliance |
| VULN:20250602-89 | 02.06.2025 | Получение конфиденциальной информации в Dell Secure Connect Gateway |
| VULN:20250618-95 | 18.06.2025 | Получение конфиденциальной информации в Spring Security |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.