Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-288
CWE-288 Authentication Bypass Using an Alternate Path or Channel
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2014-00016 | Уязвимость операционной системы Cisco IOS, позволяющая злоумышленнику получить привилегии администратора |
| BDU:2014-00391 | Уязвимость автоматизированной системы управления технологическими процессами SIMATIC WinCC ОА, позволяющая злоумышленнику выполнить произвольный код без прохождения процедуры аутентификации |
| BDU:2014-00401 | Уязвимость микропрограммного обеспечения звена фотоэлектрической системы Solar-Log, позволяющая злоумышленнику выполнить произвольный код и вызвать отказ в обслуживании |
| BDU:2015-00658 | Уязвимости системы управления базами данных Oracle Database, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-00659 | Уязвимости системы управления базами данных Oracle Database, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2019-02788 | Уязвимость реализации протокола RDP операционных систем Windows, позволяющая нарушителю обойти механизмы двухфакторной аутентификации |
| BDU:2019-04889 | Уязвимость программных средств для сбора, архивирования и анализа данных предприятий Power Generation Information Manager и Plant Connect, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю обойти процедуру аутентификаци... |
| BDU:2020-03983 | Уязвимость системы управления содержимым сайта WordPress, связанная с обходом аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также... |
| BDU:2020-04491 | Уязвимость операционной системы JunOS маршрутизаторов EX Series and QFX Series, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2020-04562 | Уязвимость операционной системы JunOS, связанная с недостатками аутентификации, позволяющая нарушителю получить доступ к сети |
| BDU:2021-00083 | Уязвимость графической оболочки fly-qdm, связанная с обходом аутентификации посредством использования альтернативного пути, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-00189 | Уязвимость платформы мониторинга SolarWinds Orion Platform, связанная с обходом аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-01904 | Уязвимость менеджера управления ресурсами SLURM, связанная с обходом аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать... |
| BDU:2021-04208 | Уязвимость распределенной системы управления базами данных Apache Impala, связанная с хранением паролей в незашифрованном виде, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-04017 | Уязвимость программного средства многофакторной проверки подлинности приложений (MFA) PingID для Windows, связанная с неправильным использованием привилегированных API, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-04019 | Уязвимость программного средства многофакторной проверки подлинности приложений (MFA) PingID для Windows, связанная с ошибками при проверке подлинность связи с локальной службой Java, позволяющая нарушителю выполнить произвольный код или вызвать отка... |
| BDU:2022-04020 | Уязвимость программного средства многофакторной проверки подлинности приложений (MFA) PingID для Windows, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-04718 | Уязвимость сервера печати CUPS, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-06460 | Уязвимость интерфейса управления программной платформы Juniper Networks Contrail Service Orchestration, позволяющая нарушителю повысить свои привилегии и получить полный контроль над приложением |
| BDU:2022-06755 | Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway), связанная с обходом процедуры аутентификации... |
| BDU:2022-06756 | Уязвимость Kube API-сервера программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю выполнить произвольные запросы |
| BDU:2022-07398 | Уязвимость средства контроля и управления контейнерами Red Hat Advanced Cluster Security (RHACS) for Kubernetes, связанная с серверной фальсификацией запросов, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к за... |
| BDU:2023-00209 | Уязвимость программного обеспечения для создания архивов производственных данных Proficy Historian, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю выполнить произвольный... |
| BDU:2023-00479 | Уязвимость конфигурации микропрограммного обеспечения системы хранения данных PowerStore T OS, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2023-00608 | Уязвимость функции strstr() микропрограммного обеспечения маршрутизаторов Netcomm NF20, NF20MESH, NL1902, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-01860 | Уязвимость микропрограммного обеспечения спутникового приёмника P5E GNSS, связанная с ошибками при проведении процедуры аутентификации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02615 | Уязвимость реализации протокола HNAP (Home Network Administration Protocol) микропрограммного обеспечения Wi-Fi роутеров D-Link DIR-867-US, DIR-878, DIR-882-US, позволяющая нарушителю обойти ограничения безопасности, повысить свои привилегии или выпо... |
| BDU:2023-02761 | Уязвимость микропрограммного обеспечения беспроводных точек доступа Cisco Business Wireless Access Points (AP), позволяющая нарушителю получить доступ к гостевому порталу без аутентификации |
| BDU:2023-02979 | Уязвимость компонента Student Console платформы управления компьютерными сетями в образовании Faronics Insight, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2023-03654 | Уязвимость плагина Social Login and Register системы управления содержимым сайта WordPress, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю получить несанкционированный до... |
| BDU:2023-05689 | Уязвимость веб-консоли управления топливными резервуарами MAGLINK LX Web Console, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю получить полный доступ к системе |
| BDU:2023-06415 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю получить доступ к гостевому пор... |
| BDU:2023-07232 | Уязвимость утилиты настройки программных продуктов BIG-IP средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Accelerati... |
| BDU:2023-08354 | Уязвимость функции аутентификации пользователей (UDR-A) микропрограммного обеспечения контроллеров Red Lion SixTRAK и VersaTRAK, позволяющая нарушителю выполнять произвольные команды с административными привилегиями |
| BDU:2023-08521 | Уязвимость микропрограммного обеспечения контроллеров для управления насосными станциями Osprey Pump Controller, позволяющая нарушителю изменить произвольные данные или вызвать отказ в обслуживании |
| BDU:2024-01032 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01531 | Уязвимость программного средства организации удалённого доступа ConnectWise ScreenConnect, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01792 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-02423 | Уязвимость серверного программного обеспечения HAProxy, связанная с обходом аутентификации с использованием альтернативного пути или канала, позволяющая нарушителю получить конфиденциальную информацию |
| BDU:2024-04252 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обойти процедуру аутентификации... |
| BDU:2024-04859 | Уязвимость прикладного программного интерфейса маршрутизаторов Session Smart Router и WAN Assurance, Session Smart Conductor, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушите... |
| BDU:2024-05729 | Уязвимость микропрограммного обеспечения многофункциональных устройств Toshiba e-STUDIO, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обойти ограничения безопасности и... |
| BDU:2024-05795 | Уязвимость компонента Control Pipe Handler системы удалённого доступа к рабочему столу компьютера TightVNC, позволяющая нарушителю несанкционированно подключиться к управляющему каналу |
| BDU:2024-05980 | Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DSL-225, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обойти процедуру аутентификации и повысить свои пр... |
| BDU:2024-06598 | Уязвимость программного средства управления, мониторинга, конфигурации и автоматизации ИТ-инфраструктуры Hitachi Ops Center Common Services, связанная с обходом процедуры аутентификации, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2024-07865 | Уязвимость службы RES программного обеспечения для контроля доступа пользователей к приложениям и данным Ivanti Workspace Control, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08096 | Уязвимость компонента SecureFilter системы управления мобильными устройствами Ivanti Avalanche, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-08102 | Уязвимость реализации метода allowPassThrough системы управления мобильными устройствами Ivanti Avalanche, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-10546 | Уязвимость браузера Mozilla Firefox операционных систем Android, связанная с обходом процедуры аутентификации посредством использования PIN-кода устройства, позволить нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-10610 | Уязвимость микропрограммного обеспечения промышленных маршрутизаторов Billion M100, Billion M150, Billion M120N и Billion M500, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая наруши... |
| BDU:2024-11068 | Уязвимость веб-консоли сетевого средства автоматизации процессов управления ИТ-услугами Ivanti Cloud Services Appliance, позволяющая нарушителю получить административный доступ |
| BDU:2025-00227 | Уязвимость встроенного программного обеспечения маршрутизатора NETGEAR DGN1000, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-00281 | Уязвимость модуля WebSocket Node.js операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю повысить привилегии до уровня "super-admin" |
| BDU:2025-00735 | Уязвимость интерфейса командной строки (CLI) средства защиты Fortinet FortiClient, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2025-01474 | Уязвимость модуля WebSocket Node.js операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю повысить привилегии до уровня "super-admin" |
| BDU:2025-02269 | Уязвимость системы управления мобильными устройствами Ivanti Avalanche, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обойти аутентификацию |
| BDU:2025-02270 | Уязвимость системы управления мобильными устройствами Ivanti Avalanche, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обойти аутентификацию |
| BDU:2025-02396 | Уязвимость программного обеспечения управления аккаунтами JetBrains Hub, связанная с обходом аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-02403 | Уязвимость браузера Mozilla Firefox Focus, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обойти настройки блокировки экрана |
| BDU:2025-03201 | Уязвимость функции Form_Login() микропрограммного обеспечения роутеров TOTOLINK EX200, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-03269 | Уязвимость набора утилит VMware Tools для операционных систем Windows, связана с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04020 | Уязвимость прикладного программного интерфейса маршрутизаторов Session Smart Router и WAN Assurance, Session Smart Conductor, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушите... |
| BDU:2025-04722 | Уязвимость облачной платформы ASUS AiCloud, связанная с обходом аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-05528 | Уязвимость программных продуктов Elber Communications Equipment, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2025-05548 | Уязвимость средства управления IT-сервисами Ivanti Neurons for ITSM, связана с обходом процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к системе с привилегиями администратора |
| BDU:2025-05712 | Уязвимость интерфейса приложения для управления жизненным циклом мобильных устройств и мобильных приложений Ivanti Endpoint Manager Mobile (EPMM) (ранее MobileIron Core), позволяющая нарушителю обойти ограничения безопасности и получить несанкциониро... |
| BDU:2025-05740 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обойти существующие ограничения безопа... |
| BDU:2025-05968 | Уязвимость обработчика сеансов системы управления контентом TYPO3, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-06084 | Уязвимость клиента удаленного подключения SINEMA Remote Connect Edge Client микропрограммного обеспечения промышленных коммутаторов Siemens Scalance LPE9403, позволяющая нарушителю обойти процедуру аутентификации и получить доступ на чтение и изменен... |
| BDU:2025-06416 | Уязвимость системы управления пакетами Inedo ProGet, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю вызвать отказ в обслуживании или раскрыть защищаемую информацию |
| BDU:2025-08557 | Уязвимость почтового клиента Thunderbird, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09060 | Уязвимость компрнента Automation Stitch операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю обойти процедуру аутентификации и повысить свои привилегии |
| BDU:2025-09103 | Уязвимость компонента Loader браузеров Google Chrome, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-09276 | Уязвимость микропрограммного обеспечения IP-камер D-Link DCS-960L, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-09499 | Уязвимость сервера приложений Apache Tomcat, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-09924 | Уязвимость операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю получить полный контроль на... |
| BDU:2025-10448 | Уязвимость микропрограммного обеспечения SIP-телефонов CyberData 011209 SIP Emergency Intercom, связанная c обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обойти существующие огранич... |
| BDU:2025-10524 | Уязвимость модуля "endpoint" веб-интерфейса управления системами IP-телефонии FreePBX, позволяющая нарушителю получить несанкционированный доступ к базе данных и выполнить произвольный код |
| BDU:2025-10716 | Уязвимость веб-интерфейса микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM ROX MX5000, RUGGEDCOM ROX MX5000RE и RUGGEDCOM ROX RX1400, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой... |
| BDU:2025-11334 | Уязвимость компонента Web Compatibility: Tooling браузера Mozilla Firefox и почтового клиента Thunderbird, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-12701 | Уязвимость платформы обработки данных Kylin, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-13270 | Уязвимость компонента BitLocker операционных систем Windows, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-13808 | Уязвимость платформы управления сетями Nokia Single RAN (Single Radio Access Network), связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю повысить свои привилегии и получить... |
| BDU:2025-14646 | Уязвимость маршрутизаторов ASUS серии DSL, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14691 | Уязвимость программного обеспечения для сбора и обработки данных о технологических процессах ABB Ability Edgenius, связанная с обходом аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обойти существующи... |
| BDU:2025-15600 | Уязвимость компонента bound_principal_iam системы контроля доступом Vault и платформы для архивирования корпоративной информации Vault Enterprise, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-15638 | Уязвимость модуля mod_userdir веб-сервера Apache HTTP Server, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2025-15812 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с обходом аутентификации с использованием альтернативного пути или канала, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-16419 | Уязвимость плагина OwnID Passwordless Login системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2026-00019 | Уязвимость функций ForegroundLockActivity(), MainActivity() приложения для управления системой видеонаблюдения Reolink app, позволяющая нарушителю получить несанкционированный доступ к данным и функционалу приложения |
| BDU:2026-00047 | Уязвимость реализации механизма OTP бэк-офисного приложения Rising Technosoft CAP Back Office Application, позволяющая нарушителю обойти защиту 2FA и получить несанкционированный доступ |
| BDU:2026-00086 | Уязвимость инструмента для комплексного управления сетевыми устройствами Quest KACE Systems Management Appliance (SMA), связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю обо... |
| BDU:2026-00150 | Уязвимость программного обеспечения программируемых логических контроллеров Siemens Sinumerik, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю оказать воздействие на конфи... |
| BDU:2026-00282 | Уязвимость микропрограммного обеспечения контроллеров DVP-12SE11T, связанная с обходом аутентификации с использованием альтернативного пути или канала, позволяющая нарушителю обойти ограничения безопасности |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2016-9497 | Hughes high-performance broadband satellite modems, models HN7740S DW7000 HN7000S/SM, is vulnerable to an authentication bypa... |
| CVE-2017-5174 | An Authentication Bypass issue was discovered in Geutebruck IP Camera G-Cam/EFD-2250 Version 1.11.0.12. An authentication byp... |
| CVE-2017-6871 | A vulnerability was discovered in Siemens SIMATIC WinCC Sm@rtClient for Android (All versions before V1.0.2.2) and SIMATIC Wi... |
| CVE-2017-9944 | A vulnerability has been identified in Siemens 7KT PAC1200 data manager (7KT1260) in all versions < V2.03. The integrated web... |
| CVE-2018-10841 | glusterfs is vulnerable to privilege escalation on gluster server nodes. An authenticated gluster client via TLS could use gl... |
| CVE-2018-17918 | Circontrol CirCarLife all versions prior to 4.3.1, authentication to the device can be bypassed by entering the URL of a spec... |
| CVE-2018-19000 | LCDS Laquis SCADA prior to version 4.1.0.4150 allows an authentication bypass, which may allow an attacker access to sensitiv... |
| CVE-2018-4852 | A vulnerability has been identified in SICLOCK TC100 (All versions) and SICLOCK TC400 (All versions). An attacker with networ... |
| CVE-2018-5386 | Some Navarino Infinity functions placed in the URL can bypass any authentication mechanism leading to an information leak |
| CVE-2018-8859 | Echelon SmartServer 1 all versions, SmartServer 2 all versions prior to release 4.11.007, i.LON 100 all versions, and i.LON 6... |
| CVE-2019-13526 | Datalogic AV7000 Linear barcode scanner all versions prior to 4.6.0.0 is vulnerable to authentication bypass, which may allow... |
| CVE-2019-18250 | In all versions of ABB Power Generation Information Manager (PGIM) and Plant Connect, the affected product is vulnerable to a... |
| CVE-2019-3758 | RSA Archer, versions prior to 6.6 P2 (6.6.0.2), contain an improper authentication vulnerability. The vulnerability allows sy... |
| CVE-2019-5165 | An exploitable authentication bypass vulnerability exists in the hostname processing of the Moxa AWK-3131A firmware version 1... |
| CVE-2019-5451 | Bypass lock protection in the Nextcloud Android app prior to version 3.6.1 allows accessing the files when repeatedly opening... |
| CVE-2019-5453 | Bypass lock protection in the Nextcloud Android app prior to version 3.3.0 allowed access to files when being prompted for th... |
| CVE-2019-5455 | Bypassing lock protection exists in Nextcloud Android app 3.6.0 when creating a multi-account and aborting the process. |
| CVE-2019-5473 | An authentication issue was discovered in GitLab that allowed a bypass of email verification. This was addressed in GitLab 12... |
| CVE-2019-5486 | A authentication bypass vulnerability exists in GitLab CE/EE <v12.3.2, <v12.2.6, and <v12.1.10 in the Salesforce login integr... |
| CVE-2019-6551 | Pangea Communications Internet FAX ATA all Versions 3.1.8 and prior allow an attacker to bypass user authentication using a s... |
| CVE-2019-9510 | Microsoft Windows RDP can bypass the Windows lock screen |
| CVE-2020-10048 | A vulnerability has been identified in SIMATIC PCS 7 (All versions), SIMATIC WinCC (All versions < V7.5 SP2). Due to an insec... |
| CVE-2020-10148 | SolarWinds Orion API is vulnerable to an authentication bypass that could allow a remote attacker to execute API commands |
| CVE-2020-10283 | RVD#3317: MAVLink version handshaking allows for an attacker to bypass authentication |
| CVE-2020-11005 | Internal NCryptDecrypt method could be used externally from WindowsHello library. |
| CVE-2020-13185 | Certain web application pages in the authenticated section of the Teradici Cloud Access Connector prior to v18 were accessibl... |
| CVE-2020-14477 | Philips Ultrasound Systems Authentication Bypass Using an Alternate Path or Channel |
| CVE-2020-14485 | OpenClinic GA versions 5.09.02 and 5.89.05b may allow an attacker to bypass client-side access controls or use a crafted requ... |
| CVE-2020-15633 | This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of D-Link DIR-867, DI... |
| CVE-2020-1618 | Junos OS: EX and QFX Series: Console port authentication bypass vulnerability |
| CVE-2020-1637 | Junos OS: SRX Series: Unified Access Control (UAC) bypass vulnerability |
| CVE-2020-17409 | This vulnerability allows network-adjacent attackers to disclose sensitive information on affected installations of NETGEAR R... |
| CVE-2020-27863 | This vulnerability allows network-adjacent attackers to disclose sensitive information on affected installations of D-Link DV... |
| CVE-2020-27865 | This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of D-Link DAP-1860 f... |
| CVE-2020-27866 | This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of NETGEAR R6020, R60... |
| CVE-2020-4050 | set-screen-option filter misuse by plugins leading to privilege escalation in WordPress |
| CVE-2020-5384 | Authentication Bypass Vulnerability RSA MFA Agent 2.0 for Microsoft Windows contains an Authentication Bypass vulnerability.... |
| CVE-2020-6091 | An exploitable authentication bypass vulnerability exists in the ESPON Web Control functionality of Epson EB-1470Ui MAIN: 980... |
| CVE-2021-21952 | An authentication bypass vulnerability exists in the CMD_DEVICE_GET_RSA_KEY_REQUEST functionality of the home_security binary... |
| CVE-2021-26634 | Maxboard multiple vulnerabilities |
| CVE-2021-27453 | Mesa Labs AmegaView authentication bypass |
| CVE-2021-28131 | Impala logs contain secrets |
| CVE-2021-31559 | S2S TcpToken authentication bypass |
| CVE-2021-32958 | Claroty Secure Remote Access Site - Authentication Bypass Using an Alternate Path or Channel |
| CVE-2021-32967 | Delta Electronics DIAEnergie Version 1.7.5 and prior may allow an attacker to add a new administrative user without being aut... |
| CVE-2021-32980 | Automation Direct CLICK PLC CPU Modules Authentication Bypass Using an Alternate Path or Channel |
| CVE-2021-32984 | Automation Direct CLICK PLC CPU Modules Authentication Bypass Using an Alternate Path or Channel |
| CVE-2021-32986 | Automation Direct CLICK PLC CPU Modules Authentication Bypass Using an Alternate Path or Channel |
| CVE-2021-33017 | Philips IntelliBridge EC 40 and EC 80 Hub Authentication Bypass Using an Alternate Path or Channel |
| CVE-2021-33700 | SAP Business One, version - 10.0, allows a local attacker with access to the victim's browser under certain circumstances, to... |
| CVE-2021-34977 | This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of NETGEAR R7000 1.0.... |
| CVE-2021-35530 | User authentication bypass in TXpert Hub CoreTec 4 |
| CVE-2021-36308 | Networking OS10, versions prior to October 2021 with Smart Fabric Services enabled, contains an authentication bypass vulnera... |
| CVE-2021-3849 | An authentication bypass vulnerability was discovered in the web interface of the Lenovo Fan Power Controller2 (FPC2) and Len... |
| CVE-2021-3897 | An authentication bypass vulnerability was discovered in an internal service of the Lenovo Fan Power Controller2 (FPC2) and L... |
| CVE-2021-41292 | ECOA BAS controller - Broken Authentication |
| CVE-2021-41992 | PingID Windows Login RSA cryptographic weakness with possible offline MFA bypass |
| CVE-2021-41995 | PingID Mac Login prior to 1.1 vulnerable to pre-computed dictionary attacks |
| CVE-2021-43935 | ICSMA-21-343-01 Hillrom Welch Allyn Cardio Products |
| CVE-2021-43985 | mySCADA myPRO |
| CVE-2022-1067 | ICSMA-22-095-01 LifePoint Informatics Patient Portal |
| CVE-2022-1681 | Authentication Bypass Using an Alternate Path or Channel in requarks/wiki |
| CVE-2022-2031 | A flaw was found in Samba. The security vulnerability occurs when KDC and the kpasswd service share a single account and set... |
| CVE-2022-22189 | Contrail Service Orchestration: An authenticated local user may have their permissions elevated via the device via management... |
| CVE-2022-23719 | PingID Windows Login prior to 2.8 does not authenticate communication with a local Java service used to capture security key... |
| CVE-2022-23720 | PingID Windows Login prior to 2.8 does not alert or halt operation if it has been provisioned with the full permissions PingI... |
| CVE-2022-23722 | PingFederate Password Reset via Authentication API Mishandling |
| CVE-2022-23723 | PingFederate PingOneMFA Integration Kit MFA Bypass |
| CVE-2022-23724 | PingID Integration for Windows Login MFA Bypass |
| CVE-2022-23725 | PingID Windows Login prior to 2.8 does not properly set permissions on the Windows Registry entries used to store sensitive A... |
| CVE-2022-23767 | SecureGate authentication bypass vulnerability |
| CVE-2022-24047 | This vulnerability allows remote attackers to bypass authentication on affected installations of BMC Track-It! 20.21.01.102.... |
| CVE-2022-24813 | Authentication Bypass Using an Alternate Path or Channel in CreateWiki |
| CVE-2022-26865 | Dell Support Assist OS Recovery versions before 5.5.2 contain an Authentication Bypass vulnerability. An unauthenticated atta... |
| CVE-2022-26870 | Dell PowerStore versions 2.1.0.x contain an Authentication bypass vulnerability. A remote unauthenticated attacker could pote... |
| CVE-2022-27510 | Unauthorized access to Gateway user capabilities |
| CVE-2022-30623 | Chcnav - P5E GNSS Authentication bypass |
| CVE-2022-31022 | Missing Role Based Access Control for the REST handlers in bleve/http package |
| CVE-2022-34372 | Dell PowerProtect Cyber Recovery versions before 19.11.0.2 contain an authentication bypass vulnerability. A remote unauthent... |
| CVE-2022-35869 | This vulnerability allows remote attackers to bypass authentication on affected installations of Inductive Automation Ignitio... |
| CVE-2022-36093 | XWiki Platform Web Templates vulnerable to Unauthorized User Registration Through the Distribution Wizard |
| CVE-2022-36249 | Shop Beat Services Vulnerable To Bypass 2FA via APIs |
| CVE-2022-40725 | PingID Desktop PIN attempt lockout bypass. |
| CVE-2022-42275 | NVIDIA BMC IPMI handler allows an unauthenticated host to write to a host SPI flash bypassing secureboot protections. This ma... |
| CVE-2022-42276 | NVIDIA DGX A100 contains a vulnerability in SBIOS in the SmiFlash, where a local user with elevated privileges can read, writ... |
| CVE-2022-42277 | NVIDIA DGX Station contains a vulnerability in SBIOS in the SmiFlash, where a local user with elevated privileges can read, w... |
| CVE-2023-1260 | Kube-apiserver: privesc |
| CVE-2023-20003 | Cisco Business Wireless Access Points Social Login Guest User Authentication Bypass Vulnerability |
| CVE-2023-20018 | A vulnerability in the web-based management interface of Cisco IP Phone 7800 and 8800 Series Phones could allow an unauthenti... |
| CVE-2023-20247 | A vulnerability in the remote access SSL VPN feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower... |
| CVE-2023-20269 | A vulnerability in the remote access VPN feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Thre... |
| CVE-2023-22495 | Izanami is vulnerable to Authorization Bypass |
| CVE-2023-30946 | Issues notification metadata lacks authorization |
| CVE-2023-31152 | Authentication Bypass Using an Alternate Path or Channel |
| CVE-2023-34335 | AMI BMC contains a vulnerability in the IPMI handler, where an unauthenticated host is allowed to write to a host SPI flash,... |
| CVE-2023-39231 | PingFederate PingOne MFA IK Device Pairing Second Factor Authentication Bypass |
| CVE-2023-39930 | PingFederate PingID Radius PCV Authentication Bypass |
| CVE-2023-41256 | Dover Fueling Solutions MAGLINK LX Console Authentication Bypass |
| CVE-2023-41351 | Chunghwa Telecom NOKIA G-040W-Q - Broken Access Control |
| CVE-2023-42770 | Red Lion Controls Sixnet RTU Authentication Bypass Using An Alternative Path Or Channel |
| CVE-2023-43045 | IBM Sterling Partner Engagement Manager security bypass |
| CVE-2023-46747 | BIG-IP Configuration utility unauthenticated remote code execution vulnerability |
| CVE-2023-4702 | Authentication Bypass in Digital Yepas |
| CVE-2023-4957 | Authentication Bypass on Zebra ZTC |
| CVE-2023-6718 | Authentication Bypass Using an Alternate Path or Channel in Repox |
| CVE-2024-10002 | Rover IDX <= 3.0.0.2905 - Authenticated (Subscriber+) Authentication Bypass to Administrator |
| CVE-2024-10081 | CodeChecker is an analyzer tooling, defect database and viewer extension for the Clang Static Analyzer and Clang Tidy. Authe... |
| CVE-2024-10245 | Relais 2FA <= 1.0 - Authentication Bypass |
| CVE-2024-10284 | CE21 Suite <= 2.2.0 - Authentication Bypass |
| CVE-2024-10311 | External Database Based Actions <= 0.1 - Authenticated (Subscriber+) Authentication Bypass |
| CVE-2024-10381 | Authentication Bypass Vulnerability in Matrix Door Controller |
| CVE-2024-10438 | Sunnet eHRD CTMS - Authentication Bypass |
| CVE-2024-10490 | Authentication bypass flaw in several mapp components |
| CVE-2024-10924 | Really Simple Security (Free, Pro, and Pro Multisite) 9.0.0 - 9.1.1.1 - Authentication Bypass |
| CVE-2024-10961 | Social Login <= 5.9.0 - Authentication Bypass via Disqus OAuth provider |
| CVE-2024-11028 | MultiManager WP – Manage All Your WordPress Sites Easily <= 1.0.5 - Authentication Bypass via User Impersonation |
| CVE-2024-11178 | Login With OTP <= 1.4.2 - Authentication Bypass via Weak OTP |
| CVE-2024-11286 | WP JobHunt <= 7.1 - Authentication Bypass |
| CVE-2024-11349 | AdForest <= 5.1.6 - Authentication Bypass |
| CVE-2024-11639 | An authentication bypass in the admin web console of Ivanti CSA before 5.0.3 allows a remote unauthenticated attacker to gain... |
| CVE-2024-11925 | WP JobSearch <= 2.6.7 - Authentication Bypass to Account Takeover and Privilege Escalation |
| CVE-2024-11981 | Billion Electric router - Authentication Bypass |
| CVE-2024-12225 | Io.quarkus:quarkus-security-webauthn: quarkus webauthn unexpected authentication bypass |
| CVE-2024-12402 | Themes Coder – Create Android & iOS Apps For Your Woocommerce Site <= 1.3.4 - Insecure Direct Object Reference to Password Ch... |
| CVE-2024-12847 | NETGEAR DGN setup.cgi OS Command Injection |
| CVE-2024-12857 | AdForest <= 5.1.8 - Authentication Bypass |
| CVE-2024-13179 | Path Traversal in Ivanti Avalanche before version 6.4.7 allows a remote unauthenticated attacker to bypass authentication. |
| CVE-2024-13181 | Path Traversal in Ivanti Avalanche before version 6.4.7 allows a remote unauthenticated attacker to bypass authentication. Th... |
| CVE-2024-13182 | WP Directorybox Manager <= 2.5 - Authentication Bypass |
| CVE-2024-13442 | Service Finder Bookings <= 5.0 - Unauthenticated Privilege Escalation via Account Takeover |
| CVE-2024-13446 | Workreap <= 3.2.5 - Unauthenticated Privilege Escalation via Account Takeover |
| CVE-2024-13553 | SMS Alert Order Notifications – WooCommerce <= 3.7.9 - Unauthenticated Account Takeover/Privilege Escalation |
| CVE-2024-13771 | Civi - Job Board & Freelance Marketplace WordPress Theme <= 2.1.4 - Authentication Bypass via Password Update |
| CVE-2024-13772 | Civi - Job Board & Freelance Marketplace WordPress Theme <= 2.1.6.1 - Authentication Bypass |
| CVE-2024-1525 | Authentication Bypass Using an Alternate Path or Channel in GitLab |
| CVE-2024-1646 | Authentication Bypass in parisneo/lollms-webui |
| CVE-2024-1709 | Authentication bypass using an alternate path or channel |
| CVE-2024-2012 | vulnerability exists in the FOXMAN-UN/UNEM server / API Gateway that if exploited an attacker could use to allow unintended c... |
| CVE-2024-2013 | An authentication bypass vulnerability exists in the FOXMAN-UN/UNEM server / API Gateway component that if exploited allows a... |
| CVE-2024-2055 | Artica Proxy Unauthenticated File Manager Vulnerability |
| CVE-2024-2056 | Artica Proxy Loopback Services Remotely Accessible Unauthenticated |
| CVE-2024-25036 | IBM Cognos Controller authentication bypass |
| CVE-2024-26009 | An authentication bypass using an alternate path or channel [CWE-288] vulnerability in Fortinet FortiOS version 6.4.0 through... |
| CVE-2024-28200 | N-central Authentication Bypass |
| CVE-2024-2973 | Session Smart Router(SSR): On redundant router deployments API authentication can be bypassed |
| CVE-2024-31463 | Ironic-image allows unauthenticated local access to Ironic API |
| CVE-2024-31916 | IBM OpenBMC information disclosure |
| CVE-2024-33610 | "sessionlist.html" and "sys_trayentryreboot.html" are accessible with no authentication. "sessionlist.html" provides logged-i... |
| CVE-2024-33939 | WordPress LMS by Masteriyo plugin <= 1.7.3 - Broken Authentication vulnerability |
| CVE-2024-3496 | Authentication Bypass Vulnerability |
| CVE-2024-35124 | IBM OpenBMC authentication bypass |
| CVE-2024-35151 | IBM OpenPages information disclosure |
| CVE-2024-35214 | Vulnerability in CylanceOPTICS Windows Installer Package Impacts CylanceOPTICS for Windows |
| CVE-2024-37893 | MFA bypass in oauth flow in Firefly III |
| CVE-2024-38279 | Authentication Bypass Using an Alternate Path or Channel in Motorola Solutions Vigilant Fixed LPR Coms Box (BCAV1F2-C600) |
| CVE-2024-38437 | D-Link - CWE-288: Authentication Bypass Using an Alternate Path or Channel |
| CVE-2024-39309 | ZDI-CAN-23894: Parse Server literalizeRegexPart SQL Injection Authentication Bypass Vulnerability |
| CVE-2024-41173 | Beckhoff: Local authentication bypass in the IPC-Diagnostics package included in TwinCAT/BSD |
| CVE-2024-42178 | HCL MyXalytics is affected by a failure to restrict URL access vulnerability |
| CVE-2024-43234 | WordPress Woffice theme <= 5.4.14 - Unauthenticated Account Takeover vulnerability |
| CVE-2024-43692 | Dover Fueling Solutions ProGauge MAGLINK LX CONSOLE Authentication Bypass Using an Alternate Path or Channel |
| CVE-2024-46887 | The web server of affected devices do not properly authenticate user request to the '/ClientArea/RuntimeInfoData.mwsl' endpoi... |
| CVE-2024-47009 | Path Traversal in Ivanti Avalanche before version 6.4.5 allows a remote unauthenticated attacker to bypass authentication. |
| CVE-2024-47010 | Path Traversal in Ivanti Avalanche before version 6.4.5 allows a remote unauthenticated attacker to bypass authentication. |
| CVE-2024-47406 | Sharp and Toshiba Tec MFPs improperly process HTTP authentication requests, resulting in an authentication bypass vulnerabili... |
| CVE-2024-47574 | A authentication bypass using an alternate path or channel in Fortinet FortiClientWindows version 7.4.0, versions 7.2.4 throu... |
| CVE-2024-49247 | WordPress BuddyPress Better Registration plugin <= 1.6 - Broken Authentication vulnerability |
| CVE-2024-49328 | WordPress WP REST API FNS Plugin plugin <= 1.0.0 - Account Takeover vulnerability |
| CVE-2024-49604 | WordPress Simple User Registration plugin <= 5.5 - Account Takeover vulnerability |
| CVE-2024-49675 | WordPress iBryl Switch User plugin <= 1.0.1 - Account Takeover vulnerability |
| CVE-2024-50334 | Semicolon Path Injection on API /api;/config |
| CVE-2024-50477 | WordPress Stacks Mobile App Builder plugin <= 5.2.3 - Account Takeover vulnerability |
| CVE-2024-50486 | WordPress Acnoo Flutter API plugin <= 1.0.5 - Account Takeover vulnerability |
| CVE-2024-50487 | WordPress MaanStore API plugin <= 1.0.1 - Account Takeover vulnerability |
| CVE-2024-50488 | WordPress Token Login plugin <= 1.0.3 - Broken Authentication vulnerability |
| CVE-2024-50489 | WordPress Realty Workstation plugin <= 1.0.45 - Account Takeover vulnerability |
| CVE-2024-50503 | WordPress User Toolkit plugin <= 1.2.3 - Account Takeover vulnerability |
| CVE-2024-51464 | IBM i authentication bypass |
| CVE-2024-52475 | WordPress Wawp plugin < 3.0.18 - Account Takeover vulnerability |
| CVE-2024-52586 | eLabFTW MFA bypass |
| CVE-2024-5322 | N-central Authentication Bypass via Session Rebinding |
| CVE-2024-54294 | WordPress Firebase OTP Authentication plugin <= 1.0.1 - Account Takeover vulnerability |
| CVE-2024-54295 | WordPress ListApp Mobile Manager plugin <= 1.7.7 - Account Takeover vulnerability |
| CVE-2024-54296 | WordPress CoSchool LMS plugin <= 1.2 - Account Takeover vulnerability |
| CVE-2024-54297 | WordPress vBSSO-lite plugin <= 1.4.3 - Account Takeover vulnerability |
| CVE-2024-54336 | WordPress Projectopia plugin <= 5.1.7 - Account Takeover vulnerability |
| CVE-2024-55591 | An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] affecting FortiOS version 7.0.0 through 7... |
| CVE-2024-56013 | WordPress Wovax IDX plugin <= 1.2.2 - Account Takeover vulnerability |
| CVE-2024-56044 | WordPress WPLMS plugin <= 1.9.9 - Unauthenticated Arbitrary User Token Generation vulnerability |
| CVE-2024-5620 | Authentication Bypass in PruvaSoft Informatics' Apinizer Management Console |
| CVE-2024-56325 | Apache Pinot: Authentication bypass issue. If the path does not contain / and contain . authentication is not required |
| CVE-2024-6635 | WooCommerce - Social Login <= 2.7.3 - Unauthenticated Authentication Bypass |
| CVE-2024-6684 | Authentication Bypass in GST Electronics' inohom Nova Panel N7 |
| CVE-2024-7007 | Authentication Bypass Using an Alternate Path or Channel in Positron Broadcast Signal Processor TRA7005 |
| CVE-2024-7027 | WooCommerce - PDF Vouchers <= 4.9.3 - Authentication Bypass to Voucher Vendor |
| CVE-2024-7125 | Authentication Bypass Vulnerability in Hitachi Ops Center Common Services |
| CVE-2024-7314 | anji-plus AJ-Report Authentication Bypass |
| CVE-2024-7350 | Appointment Booking Calendar Plugin and Online Scheduling Plugin – BookingPress 1.1.6 - 1.1.7 - Authentication Bypass to Acc... |
| CVE-2024-7503 | WooCommerce - Social Login <= 2.7.5 - Authentication Bypass to Account Takeover |
| CVE-2024-7628 | MStore API – Create Native Android & iOS Apps On The Cloud <= 4.15.2 - Authentication Bypass to Account Takeover |
| CVE-2024-7781 | Jupiter X Core <= 4.7.5 - Limited Unauthenticated Authentication Bypass to Account Takeover |
| CVE-2024-8012 | An authentication bypass weakness in the message broker service of Ivanti Workspace Control before version 2025.2 (10.19.0.0)... |
| CVE-2024-8277 | WooCommerce Photo Reviews Premium <= 1.3.13.2 - Authentication Bypass to Account Takeover and Privilege Escalation |
| CVE-2024-8943 | LatePoint <= 5.0.12 - Authentication Bypass |
| CVE-2024-9105 | UltimateAI <= 2.8.3 - Authentication Bypass |
| CVE-2024-9106 | Wechat Social login <= 1.3.0 - Authentication Bypass |
| CVE-2024-9289 | WordPress & WooCommerce Affiliate Program <= 8.4.1 - Authentication Bypass to Account Takeover and Privilege Escalation |
| CVE-2024-9488 | Comments – wpDiscuz <= 7.6.24 - Authentication Bypass via WordPress.com OAuth provider |
| CVE-2024-9501 | Wp Social Login and Register Social Counter <= 3.0.7 - Authentication Bypass via WordPress.com OAuth provider |
| CVE-2024-9522 | WP Users Masquerade <= 2.0.0 - Authentication Bypass |
| CVE-2024-9658 | School Management System for Wordpress <= 93.0.0 - Authenticated (Student+) Account Takeover and Privilege Escalation |
| CVE-2024-9822 | Pedalo Connector <= 2.0.5 - Authentication Bypass to Administrator |
| CVE-2024-9861 | Miniorange OTP Verification with Firebase <= 3.6.0 - Authentication Bypass |
| CVE-2024-9890 | User Toolkit <= 1.2.3 - Authenticated (Subscriber+) Authentication Bypass |
| CVE-2024-9893 | Nextend Social Login Pro <= 3.1.14 - Authentication Bypass via WordPress.com OAuth provider |
| CVE-2024-9930 | Extensions by HocWP Team <= 0.2.3.2 - Authentication Bypass |
| CVE-2024-9931 | Wux Blog Editor <= 3.0.0 - Authentication Bypass to Administrator |
| CVE-2024-9933 | WatchTowerHQ <= 3.9.6 - Authentication Bypass to Administrator due to Missing Empty Value Check |
| CVE-2024-9988 | Crypto <= 2.15 - Authentication Bypass via register |
| CVE-2024-9989 | Crypto <= 2.15 - Authentication Bypass via log_in |
| CVE-2025-0159 | IBM FlashSystem authentication bypass |
| CVE-2025-0181 | WP Foodbakery <= 4.7 - Authentication Bypass in foodbakery_parse_request |
| CVE-2025-0316 | WP Directorybox Manager <= 2.5 - Authentication Bypass |
| CVE-2025-0364 | BigAntSoft BigAnt Server Account Registration Bypass to File Upload RCE |
| CVE-2025-0549 | Authentication Bypass Using an Alternate Path or Channel in GitLab |
| CVE-2025-0674 | Elber Communications Equipment Authentication Bypass Using an Alternate Path or Channel |
| CVE-2025-0749 | Homey <= 2.4.3 - Limited Authentication Bypass due to Missing Empty Value Check |
| CVE-2025-10294 | OwnID Passwordless Login <= 1.3.4 - Authentication Bypass |
| CVE-2025-10538 | Authentication Bypass in LG Innotek Camera |
| CVE-2025-1061 | Nextend Social Login Pro <= 3.1.16 - Authentication Bypass via Apple OAuth provider |
| CVE-2025-10653 | Raise3D Pro2 Series 3D Printers Authentication Bypass Using an Alternate Path or Channel |
| CVE-2025-11522 | Search & Go - Directory WordPress Theme <= 2.7 - Authentication Bypass to Privilege Escalation via Account Takeover |
| CVE-2025-11534 | Authentication Bypass Using an Alternate Path or Channel in Raisecomm RAX701-GC Series |
| CVE-2025-11621 | Vault AWS auth method bypass due to AWS client cache |
| CVE-2025-12466 | Simple OAuth (OAuth2) & OpenID Connect - Critical - Access bypass - SA-CONTRIB-2025-114 |
| CVE-2025-1283 | Dingtian DT-R0 Series Authentication Bypass Using an Alternate Path or Channel |
| CVE-2025-1313 | Nokri - Job Board WordPress Theme <= 1.6.3 - Authenticated (Subscriber+) Privilege Escalation via Account Takeover |
| CVE-2025-1315 | InWave Jobs <= 3.5.1 - Unauthenticated Privilege Escalation via Password Reset |
| CVE-2025-1515 | WP Real Estate Manager <= 2.8 - Authentication Bypass via Account Takeover |
| CVE-2025-1564 | SetSail Membership <= 1.0.3 - Authentication Bypass via Account Takeover |
| CVE-2025-1638 | Alloggio Membership <= 1.1 - Authentication Bypass via Social Login Account Takeover |
| CVE-2025-1671 | Academist Membership <= 1.1.6 - Authentication Bypass via Account Takeover |
| CVE-2025-1717 | Login Me Now <= 1.7.2 - Authentication Bypass |
| CVE-2025-1739 | Multiple vulnerabilities in Trivision Camera NC227WF |
| CVE-2025-1909 | BuddyBoss Platform Pro <= 2.7.01 - Authentication Bypass via Apple OAuth provider |
| CVE-2025-2080 | Optigo Networks Visual BACnet Capture Tool and Optigo Visual Networks Capture Tool version 3.1.2rc11 contain an exposed web m... |
| CVE-2025-22230 | Authentication bypass vulnerability |
| CVE-2025-22277 | WordPress Vitepos plugin <= 3.1.4 - Broken Authentication vulnerability |
| CVE-2025-22462 | An authentication bypass in Ivanti Neurons for ITSM (on-prem only) before 2023.4, 2024.2 and 2024.3 with the May 2025 Securit... |
| CVE-2025-22862 | An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] in FortiOS 7.4.0 through 7.4.7, 7.2.0 thr... |
| CVE-2025-23217 | Mitmweb API Authentication Bypass Using Proxy Server |
| CVE-2025-24000 | WordPress Post SMTP plugin <= 3.2.0 - Account Takeover Vulnerability |
| CVE-2025-24472 | An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] affecting FortiOS 7.0.0 through 7.0.16 an... |
| CVE-2025-24496 | An information disclosure vulnerability exists in the /goform/getproductInfo functionality of Tenda AC6 V5.0 V02.03.01.110. S... |
| CVE-2025-24846 | Authentication bypass vulnerability exists in FutureNet AS series (Industrial Routers) provided by Century Systems Co., Ltd.... |
| CVE-2025-2492 | An improper authentication control vulnerability exists in AiCloud. This vulnerability can be triggered by a crafted request,... |
| CVE-2025-25171 | WordPress WP SmartPay plugin <= 2.7.13 - Account Takeover vulnerability |
| CVE-2025-26700 | Authentication bypass using an alternate path or channel issue exists in ”RoboForm Password Manager" App for Android versions... |
| CVE-2025-26966 | WordPress PrivateContent plugin <= 8.11.5 - Unauthenticated Account Takeover vulnerability |
| CVE-2025-27129 | An authentication bypass vulnerability exists in the HTTP authentication functionality of Tenda AC6 V5.0 V02.03.01.110. A spe... |
| CVE-2025-2746 | Kentico Xperience <= 13.0.172 Staging Sync Server Digest Password Authentication Bypass |
| CVE-2025-2747 | Kentico Xperience <= 13.0.178 Staging Sync Server None Password Type Authentication Bypass |
| CVE-2025-29996 | Authentication Bypass Vulnerability in CAP back office application |
| CVE-2025-30026 | The AXIS Camera Station Server had a flaw that allowed to bypass authentication that is normally required. |
| CVE-2025-30184 | CyberData 011209 SIP Emergency Intercom Authentication Bypass Using an Alternate Path or Channel |
| CVE-2025-31019 | WordPress Password Policy Manager plugin <= 2.0.4 - Account Takeover vulnerability |
| CVE-2025-31022 | WordPress PayU India plugin < 3.8.8 - Account Takeover vulnerability |
| CVE-2025-31095 | WordPress Material Dashboard <= 1.4.5 - Privilege Escalation Vulnerability |
| CVE-2025-31694 | Two-factor Authentication (TFA) - Moderately critical - Access bypass - SA-CONTRIB-2025-023 |
| CVE-2025-32357 | In Zammad 6.4.x before 6.4.2, an authenticated agent with knowledge base permissions was able to use the Zammad API to fetch... |
| CVE-2025-34026 | Versa Concerto Actuator Authentication Bypass Information Leak |
| CVE-2025-34143 | ETQ Reliance CG Authentication Bypass via Trailing Space RCE |
| CVE-2025-34251 | Tesla Telematics Control Unit (TCU) < v2025.14 Authentication Bypass |
| CVE-2025-34520 | Arcserve UDP < 10.2 Authentication Bypass |
| CVE-2025-3639 | Liferay Portal 7.3.0 through 7.4.3.132, and Liferay DXP 2025.Q1 through 2025.Q1.6, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 thr... |
| CVE-2025-3844 | PeproDev Ultimate Profile Solutions 1.9.1 - 7.5.2 - Authentication Bypass to Account Takeover |
| CVE-2025-39535 | WordPress Vitepos <= 3.1.7 - Broken Authentication Vulnerability |
| CVE-2025-40581 | A vulnerability has been identified in SCALANCE LPE9403 (6GK5998-3GS00-2AC2) (All versions with SINEMA Remote Connect Edge Cl... |
| CVE-2025-40743 | A vulnerability has been identified in SINUMERIK 828D PPU.4 (All versions < V4.95 SP5), SINUMERIK 828D PPU.5 (All versions <... |
| CVE-2025-40761 | A vulnerability has been identified in RUGGEDCOM ROX MX5000 (All versions), RUGGEDCOM ROX MX5000RE (All versions), RUGGEDCOM... |
| CVE-2025-4427 | Authentication Bypass |
| CVE-2025-44957 | Ruckus SmartZone (SZ) before 6.1.2p3 Refresh Build allows authentication bypass via a valid API key and crafted HTTP headers. |
| CVE-2025-46412 | Vertiv Liebert RDU101 and UNITY Authentication Bypass Using an Alternate Path or Channel |
| CVE-2025-47244 | Inedo ProGet through 2024.22 allows remote attackers to reach restricted functionality through the C# reflection layer, as de... |
| CVE-2025-47461 | WordPress Subaccounts for WooCommerce plugin <= 1.6.6 - Account Takeover vulnerability |
| CVE-2025-47707 | Enterprise MFA - TFA for Drupal - Moderately critical - Access bypass - SA-CONTRIB-2025-053 |
| CVE-2025-47710 | Enterprise MFA - TFA for Drupal - Critical - Access bypass - SA-CONTRIB-2025-056 |
| CVE-2025-47941 | TYPO3 Has Broken Authentication in Backend MFA |
| CVE-2025-4797 | Golo <= 1.7.0 - Authentication Bypass to Account Takeover |
| CVE-2025-48010 | One Time Password - Moderately critical - Access bypass - SA-CONTRIB-2025-061 |
| CVE-2025-48011 | One Time Password - Moderately critical - Access bypass - SA-CONTRIB-2025-062 |
| CVE-2025-48904 | Vulnerability that cards can call unauthorized APIs in the FRS process Impact: Successful exploitation of this vulnerability... |
| CVE-2025-48926 | The admin panel in the TeleMessage service through 2025-05-05 allows attackers to discover usernames, e-mail addresses, passw... |
| CVE-2025-49125 | Apache Tomcat: Security constraint bypass for pre/post-resources |
| CVE-2025-4973 | Workreap <= 3.3.1 - Authentication Bypass via 'workreap_verify_user_account' |
| CVE-2025-49901 | WordPress Simple Link Directory plugin < 14.8.1 - Broken Authentication vulnerability |
| CVE-2025-5060 | Bravis User <= 1.0.0 - Authentication Bypass to Account Takeover |
| CVE-2025-51381 | An authentication bypass vulnerability exists in KCM3100 Ver1.4.2 and earlier. If this vulnerability is exploited, an attacke... |
| CVE-2025-5190 | Browse As <= 0.2 - Authenticated (Subscriber+) Authentication Bypass via Cookie |
| CVE-2025-53099 | Sentry Missing Invalidation of Authorization Codes During OAuth Exchange and Revocation |
| CVE-2025-53187 | Unauthenticated RCE |
| CVE-2025-5397 | Jobmonster - Job Board WordPress Theme <= 4.8.1 - Authentication Bypass |
| CVE-2025-54713 | WordPress Taxi Booking Manager for WooCommerce Plugin <= 1.3.0 - Broken Authentication Vulnerability |
| CVE-2025-54725 | WordPress Golo Theme <= 1.7.0 - Broken Authentication Vulnerability |
| CVE-2025-54738 | WordPress Jobmonster Theme <= 4.7.9 - Broken Authentication Vulnerability |
| CVE-2025-55012 | Zed AI Agent Remote Code Execution |
| CVE-2025-57819 | FreePBX Affected by Authentication Bypass Leading to SQL Injection and RCE |
| CVE-2025-58133 | Zoom Rooms Clients - Authentication Bypass |
| CVE-2025-5820 | Sony XAV-AX8500 Bluetooth ERTM Channel Authentication Bypass Vulnerability |
| CVE-2025-5821 | Case Theme User <= 1.0.3 - Authentication Bypass via Social Login |
| CVE-2025-59367 | An authentication bypass vulnerability has been identified in certain DSL series routers, may allow remote attackers to gain... |
| CVE-2025-5955 | Service Finder SMS System <= 2.0.0 - Authentication Bypass |
| CVE-2025-60041 | WordPress Emails Catch All plugin <= 3.5.3 - Broken Authentication vulnerability |
| CVE-2025-61673 | Karapace is vulnerable to Authentication Bypass |
| CVE-2025-61733 | Apache Kylin: Authentication bypass |
| CVE-2025-62064 | WordPress Search & Go theme <= 2.7 - Broken Authentication vulnerability |
| CVE-2025-6388 | Spirit Framework <= 1.2.14 - Authentication Bypass to Account Takeover and Privilege Escalation |
| CVE-2025-64121 | Nuvation Energy Multi-Stack Controller Authentication Bypass |
| CVE-2025-64173 | Apollo Router Core: Access Control Bypass on Polymorphic Types |
| CVE-2025-64236 | WordPress Tuturn plugin < 3.6 - Broken Authentication vulnerability |
| CVE-2025-64530 | @apollo/composition has Improper Enforcement of Access Control on Interface Types and Fields |
| CVE-2025-66238 | Sunbird DCIM dcTrack and Power IQ Authentication Bypass Using an Alternate Path or Channel |
| CVE-2025-6675 | Enterprise MFA - TFA for Drupal - Critical - Access bypass - SA-CONTRIB-2025-082 |
| CVE-2025-6688 | Simple Payment 1.3.6 - 2.3.8 - Authentication Bypass to Admin |
| CVE-2025-67507 | Filament's multi-factor authentication (app) recovery codes can be used multiple times |
| CVE-2025-67915 | WordPress Timetics plugin <= 1.0.46 - Broken Authentication vulnerability |
| CVE-2025-68620 | Signal K Server vulnerable to JWT Token Theft via WebSocket Enumeration and Unauthenticated Polling |
| CVE-2025-68860 | WordPress Mobile builder plugin <= 1.4.2 - Broken Authentication vulnerability |
| CVE-2025-6895 | MelaPress Login Security 2.1.0 - 2.1.1 - Authentication Bypass to Privilege Escalation via get_valid_user_based_on_token Func... |
| CVE-2025-7038 | LatePoint <= 5.1.94 - Unauthenticated Authentication Bypass via load_step Function |
| CVE-2025-7444 | LoginPress Pro <= 5.0.1 - Authentication Bypass via WordPress.com OAuth provider |
| CVE-2025-7642 | Simpler Checkout 0.7.0 - 1.1.9 - Authentication Bypass |
| CVE-2025-7692 | Orion Login with SMS <= 1.0.5 - Authenticated Bypass via Weak OTP |
| CVE-2025-7710 | Brave Conversion Engine (PRO) <= 0.7.7 - Authentication Bypass to Administrator |
| CVE-2025-7742 | Authentication Bypass in LG Innotek Camera |
| CVE-2025-8093 | Authenticator Login - Moderately critical - Access bypass - SA-CONTRIB-2025-098 |
| CVE-2025-8359 | AdForest <= 6.0.9 - Authentication Bypass to Admin |
| CVE-2025-8995 | Authenticator Login - Highly critical - Access bypass - SA-CONTRIB-2025-096 |
| CVE-2025-9313 | Unauthorized database access in Asseco mMedica |
| CVE-2025-9914 | The credentials of the users stored in the system's local database can be used for the log in, making it possible for an atta... |
| CVE-2025-9967 | Orion SMS OTP Verification <= 1.1.7 - Authentication Bypass via Account Takeover |
| CVE-2026-21411 | Authentication bypass issue exists in OpenBlocks series versions prior to FW5.0.8, which may allow an attacker to bypass admi... |
| CVE-2026-22037 | @fastify/express vulnerable to Improper Handling of URL Encoding (Hex Encoding) |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230911-7 | 11.09.2023 | Обход безопасности в Cisco Adaptive Security Appliance (ASA) |
| VULN:20230927-1 | 27.09.2023 | Выполнение произвольного кода в JetBrains TeamCity |
| VULN:20231101-17 | 01.11.2023 | Выполнение произвольного кода в BIG-IP |
| VULN:20231122-26 | 22.11.2023 | Обход безопасности в Red Lion Sixnet RTUs |
| VULN:20240626-16 | 26.06.2024 | Получение конфиденциальной информации в Toshiba Tec MFPs |
| VULN:20240708-36 | 08.07.2024 | Обход безопасности в Session Smart Router |
| VULN:20240805-10 | 05.08.2024 | Получение конфиденциальной информации в BIG-IP Next Central Manager |
| VULN:20241213-80 | 13.12.2024 | Выполнение произвольного кода в Fortinet FortiClient |
| VULN:20241225-21 | 25.12.2024 | Получение конфиденциальной информации в Ivanti Cloud Services Application (CSA) |
| VULN:20250117-42 | 17.01.2025 | Получение конфиденциальной информации в FortiOS and FortiProxy |
| VULN:20250127-34 | 27.01.2025 | Обход безопасности в Hitachi Energy FOXMAN-UN and UNEM |
| VULN:20250303-7 | 03.03.2025 | Получение конфиденциальной информации в FortiOS and FortiProxy |
| VULN:20250618-48 | 18.06.2025 | Обход безопасности в CyberData 011209 SIP Emergency Intercom |
| VULN:20250618-82 | 18.06.2025 | Обход безопасности в Vertiv Liebert RDU101 and UNITY |
| VULN:20250625-10 | 25.06.2025 | Обход безопасности в KAON KCM3100 |
| VULN:20250821-74 | 21.08.2025 | Выполнение произвольного кода в Fortinet products |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.