Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-295
CWE-295 Improper Certificate Validation
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-00721 | Уязвимость программного обеспечения Trillian, позволяющая удаленному злоумышленнику нарушить конфиденциальность и целостность защищаемой информации |
| BDU:2015-01455 | Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить целостность защищаемой информации |
| BDU:2015-01456 | Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить целостность защищаемой информации |
| BDU:2015-01457 | Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить целостность защищаемой информации |
| BDU:2015-01458 | Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить целостность защищаемой информации |
| BDU:2015-01459 | Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить целостность защищаемой информации |
| BDU:2015-04270 | Уязвимость операционной системы SUSE Linux Enterprise, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04271 | Уязвимость операционной системы SUSE Linux Enterprise, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04272 | Уязвимость операционной системы SUSE Linux Enterprise, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05263 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05264 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05265 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05266 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05267 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05268 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05269 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05270 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05271 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05272 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05273 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05274 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05275 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05276 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05277 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05278 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05279 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-05280 | Уязвимость операционной системы openSUSE, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-06080 | Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-06122 | Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-06123 | Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-06124 | Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-06125 | Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-06126 | Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-06203 | Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-06204 | Уязвимости операционной системы Red Hat Enterprise Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-07481 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08549 | Уязвимость операционной системы CentOS, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08561 | Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-08562 | Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-08563 | Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-08564 | Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-08565 | Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-08566 | Уязвимости операционной системы CentOS, позволяющие удаленному злоумышленнику нарушить доступность защищаемой информации |
| BDU:2015-09363 | Уязвимость операционной системы Gentoo Linux, позволяющая удаленному злоумышленнику нарушить целостность защищаемой информации |
| BDU:2015-09404 | Уязвимости операционной системы Gentoo Linux, позволяющие удаленному злоумышленнику нарушить целостность и доступность защищаемой информации |
| BDU:2015-09682 | Уязвимости операционной системы Gentoo Linux, позволяющие удаленному злоумышленнику нарушить целостность и доступность защищаемой информации |
| BDU:2015-09683 | Уязвимости операционной системы Gentoo Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-09978 | Уязвимость интерпретатора Ruby, позволяющая нарушителю подменить SSL-сервер |
| BDU:2016-00843 | Уязвимость операционной системы iOS, позволяющая нарушителю подменить доверенный профиль MDM |
| BDU:2017-00461 | Уязвимость операционных систем Mac OS X и iOS, позволяющая нарушителю подделывать сертификаты |
| BDU:2018-00021 | Уязвимость пакета OpenVPN, существующая из-за неправильной обработки клиентских подключений к HTTP-прокси, позволяющая нарушителю выполнить произвольный код |
| BDU:2018-01566 | Уязвимость компонента HTC Bootloader операционной системы Android, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-00942 | Уязвимость компонента обработки сертификатов IP-телефонов Cisco SPA112, SPA525 и SPA5X5 Series, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2019-01032 | Уязвимость набора инструментов для разработки программного обеспечения Azure IoT SDK, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю осуществить атаку типа "человек посередине" |
| BDU:2019-01322 | Уязвимость методов transport.ssl библиотеки сообщений Qpid Proton-J, позволяющая нарушителю осуществить атаку "человек посередине" |
| BDU:2019-01355 | Уязвимость службы импорта данных virt-cdi-importer средства виртуализации Kubevirt, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2019-01383 | Уязвимость компонента Cisco Smart Call Home операционных систем Cisco IOS XE и Cisco IOS, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-01416 | Уязвимость почтового сервера Dovecot, связанная с ошибками подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-01802 | Уязвимость сетевой операционной системы NX-OS маршрутизаторов Cisco Nexus серии 9000, связанная с ошибками подтверждения подлинности сертификата безопасности транспортного уровня (TLS), позволяющая нарушителю получить полный контроль над всеми компон... |
| BDU:2019-02105 | Уязвимость модуля urllib3 интерпретатора языка программирования Python, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю установить SSL-соединение |
| BDU:2019-02432 | Уязвимость интерфейса HMI панелей управления систем автоматизации ABB, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-02465 | Уязвимость библиотеки Apache Qpid Proton, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю реализовать атаку "человек посередине" и осуществить перехват TLS-трафика |
| BDU:2019-03108 | Уязвимость компонента WebSocket client сервера приложений Apache Tomcat, связанная с ошибками при проверке имен хостов при использовании протокола Transport Layer Security (TLS), позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2019-03123 | Уязвимость библиотеки OpenSSL, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2019-03154 | Уязвимость программного обеспечения для веб-конференцсвязи Cisco Webex Meetings Mobile, вызванная ошибками при проверке SSL-сертификата, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2019-03192 | Уязвимость программного средства для обеспечения взаимодействия копий приложения на различных устройствах и платформах Project Rome SDK, связанная с ошибками подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный д... |
| BDU:2019-03654 | Уязвимость компонента SRX Series Application Identification (app-id) операционной системы Junos OS маршрутизаторов SRX Series, позволяющая нарушителю реализовать атаку "человек посередине" |
| BDU:2019-04593 | Уязвимость реализации операций резервного копирования и восстановления данных программного обеспечения управления виртуальной инфраструктурой VMware vCenter Server Appliance, позволяющая нарушителю получить несанкционированный доступ к защищаемой инф... |
| BDU:2019-04594 | Уязвимость реализации операций резервного копирования и восстановления данных программного обеспечения управления виртуальной инфраструктурой VMware vCenter Server Appliance, позволяющая нарушителю получить несанкционированный доступ к защищаемой инф... |
| BDU:2020-00181 | Уязвимость интерфейса программирования приложений Windows CryptoAPI (Crypt32.dll) операционных систем Windows, позволяющая нарушителю обойти существующие ограничения безопасности и реализовать атаку типа "человек посередине" |
| BDU:2020-00240 | Уязвимость модуля SIP TLS микропрограммного обеспечения IP-телефонов Huawei CloudLink Phone 7900, позволяющая нарушителю выполнять атаки типа "человек посередине" |
| BDU:2020-00597 | Уязвимость браузера Firefox, связанная с ошибкой службы сетевой безопасности CertificateVerify, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-00980 | Уязвимость реализации SSL протокола в наборе функций Cisco Intelligent Proximity программного обеспечения для веб-конференцсвязи Cisco Webex Meetings, Cisco Webex Teams, Cisco Meeting App и Cisco Jabber, позволяющая нарушителю получить доступ к конфи... |
| BDU:2020-01354 | Уязвимость программной платфоры Open Build Service, связанная с ошибками подтверждения подлинности сертификата, позволяющая нарушителю обойти существующие ограничения безопасности и реализовать атаку типа "человек посередине" |
| BDU:2020-01889 | Уязвимость пакета crypto/x509 языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-02755 | Уязвимость функции words.protocols.jabber.xmlstream сетевого фреймворка Twisted, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-03020 | Уязвимость службы обновления программного обеспечения для веб-конференцсвязи Cisco Webex Meetings Desktop App для операционных систем Mac, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-03244 | Уязвимость почтового клиента Mutt, связанная с неправильным подтверждением подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2020-03297 | Уязвимость команды tls_trust_file SMTP-клиента Msmtp и POP3-клиента Mpop, позволяющая нарушителю оказать воздействие на целостность, доступность и конфиденциальность информации |
| BDU:2020-03339 | Уязвимость программных продуктов VMware Workspace One, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-03445 | Уязвимость библиотеки Ustream-SSL встраиваемой операционной системы OpenWrt, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-03446 | Уязвимость библиотеки Ustream-SSL встраиваемой операционной системы OpenWrt, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-03621 | Уязвимость реализации протокола TLS программной платформы Node.js, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-03624 | Уязвимость реализации класса SmtpAppender библиотеки журналирования Java-программ Log4j, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-03810 | Уязвимость программного комплекса защиты конечных точек GlobalProtect for Windows, связанная с ошибками подтверждения подлинности сертификата, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2020-04035 | Уязвимость инструмента автоматизации управления инфраструктурой Puppet и приложения для его запуска Puppet Agent, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищ... |
| BDU:2020-04509 | Уязвимость системы обновления среды разработки приложений Apache NetBeans, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2020-04942 | Уязвимость интерфейса управления средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю оказать воздействие на целостность, конфиденциальность и доступность защищаемой информации |
| BDU:2020-05269 | Уязвимость демона программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-05511 | Уязвимость клиента OpenVPN операционной системы Synology Router Manager (SRM), позволяющая нарушителю получить несанкционированный доступ к целевому устройству |
| BDU:2021-00100 | Уязвимость набора криптографических библиотек NSS, связанная с неправильным подтверждением подлинности сертификата, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-00556 | Уязвимость диспетчера устройств системы сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-00638 | Уязвимость системы сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-00708 | Уязвимость процесса регистрации сертификата системы централизованного управления устройствами Cisco Unified Computing System Central, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00780 | Уязвимость библиотеки Django, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01180 | Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2021-01204 | Уязвимость базы данных для интернет вещей IoT Apache IoTDB, связанная с наличием открытого порта JMX 31999, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-01328 | Уязвимость реализации GTlsClientConnection библиотеки glib-networking, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2021-01589 | Уязвимость программной платформы Cisco Jabber for Windows, связанная с недостаточной проверкой сертификатов, позволяющая нарушителю перехватить сетевые запросы от уязвимого программного обеспечения и предоставить злонамеренно созданный сертификат |
| BDU:2021-01780 | Уязвимость политики аутентификации систем управления базами данных "Ред База Данных", связанная с ошибкой проверки аутентификационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-01787 | Уязвимость реализации GlobalProtect SSL VPN операционной системы PAN-OS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01845 | Уязвимость реализации конфигурации X509_V_FLAG_X509_STRICT библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01915 | Уязвимость библиотек crypto/x509 и golang.org/x/crypto/cryptobyte языка программирования GO, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-02181 | Уязвимость набора утилит командной строки MongoDB Tools системы управления базами данных MongoDB, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2021-02853 | Уязвимость криптографических функций библиотеки средства разработки GoLang прикладного программного обеспечения Аврора Центр, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03338 | Уязвимость библиотеки управления виртуализацией Libvirt, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслужив... |
| BDU:2021-03462 | Уязвимость программного обеспечения для создания частной виртуальной сети astra-openvpn-server, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03510 | Уязвимость программного средства для взаимодействия с серверами CURL, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-03959 | Уязвимость агента веб-приложения для управления ИТ-активами ManageEngine AssetExplorer, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2021-03962 | Уязвимость функции интеграции платформы управления политиками соединений Cisco Identity Services Engine системы управления сетью Cisco Digital Network Architecture (DNA) Center, связанная с ошибками процедуры подтверждения подлинности сертификата, по... |
| BDU:2021-03969 | Уязвимость корпоративной платформы приложений-контейнеров OpenShift, связанная с ошибками при проверке подлинности сертификата, позволяющая нарушителю замаскироваться под надежную службу в кластере |
| BDU:2021-04021 | Уязвимость функции vswprintf в файле AEAgent.cpp программного обеспечения для управления IT-активами ManageEngine AssetExplorer, позволяющая нарушителю вызвать переполнение кучи |
| BDU:2021-04264 | Уязвимость реализации класса Net::IMAP интерпретатора Ruby, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2021-04584 | Уязвимость опции dialback_without_dialback модуля mod_dialback сервера для Jabber/XMPP Prosody, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-04614 | Уязвимость библиотеки управления потоками RSS/Atom/Pie LibGRSS, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-04664 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-04668 | Уязвимость клиента инструмента синхронизации папок для рабочего стола Nextcloud, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-04700 | Уязвимость языка программирования Nim, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05229 | Уязвимость программного обеспечения для реализации VNC TigerVNC, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2021-05337 | Уязвимость пакета офисных программ LibreOffice, связанная с ошибками при формировании документов documentsignatures.xml, macrosignatures.xml, позволяющая нарушителю манипулировать подписанными документами |
| BDU:2021-06198 | Уязвимость кэширующего прокси-сервера Squid, связанная с ошибками подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине". |
| BDU:2022-00025 | Уязвимость пакета офисных программ LibreOffice, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю создать документ ODF с цифровой подписью |
| BDU:2022-00351 | Уязвимость FTP-сервера vsftpd, связанная с отсутствием защиты передаваемых данных, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2022-00611 | Уязвимость операционных систем Juniper Networks Junos OS, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2022-00715 | Уязвимость пакета crypto/tls языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-00721 | Уязвимость компонента Windows Certificate операционных систем Windows, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2022-00751 | Уязвимость компонента Relative Distinguished Name (RDN) программной платформы Node.js, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-00758 | Уязвимость реализации способа указания всех доменных имен и IP-адресов Subject Alternative Names программной платформы Node.js, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-00759 | Уязвимость реализации способа указания всех доменных имен и IP-адресов Subject Alternative Names программной платформы Node.js, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-01651 | Уязвимость функции x509_crt_verify_name реализации протоколов TLS и SSL Mbed TLS, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-01717 | Уязвимость реализации протокола HTTPS встроенного программного обеспечения маршрутизаторов NETGEAR R6400v2, NETGEAR R6700v3, NETGEAR R6900P, NETGEAR R7000, NETGEAR R7000P, NETGEAR RS400, NETGEAR CBR40, позволяющая нарушителю оказать воздействие на це... |
| BDU:2022-01721 | Уязвимость реализации класса Kubeclient::Configе клиента REST API Kubernetes kubeclient, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2022-01788 | Уязвимость функционала сквозного шифрования клиента инструмента синхронизации папок для рабочего стола Nextcloud, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01882 | Уязвимость прокси-сервера Envoy инструмента настройки сервисов Consul, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-02039 | Уязвимость реализации протоколов TLS и SSL Mbed TLS, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-02043 | Уязвимость реализации протоколов TLS и SSL Mbed TLS, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-02171 | Уязвимость компонента API https программной платформы Node.js, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-02183 | Уязвимость реализации технологии проверки учетных данных аутентификации TrustManager библиотеки для создания API-шлюзов Spring Cloud Gateway, позволяющая нарушителю подключаться к удаленным службам |
| BDU:2022-02221 | Уязвимость системы управления контентом и медиаданными Adobe Experience Manager, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-02334 | Уязвимость операционной системы FortiOS, связанная с недостаточной проверкой подлинности сертификата CN/SAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-02472 | Уязвимость модуля обновления микропрограммного обеспечения маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345, RV345P, связанная с неправильным подтверждением подлинности сертификата, позволяющая нарушител... |
| BDU:2022-03175 | Уязвимость реализации функции OCSP_basic_verify() библиотеки OpenSSL, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2022-04018 | Уязвимость браузеров Firefox для Android, связанная с ошибками процедуры подтверждения подлинности сертификата TLS, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-04248 | Уязвимость устройств управления конференц-связью Cisco Expressway Series и Cisco Telepresence VCS, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю реализовать атаку "человек посередине" |
| BDU:2022-04254 | Уязвимость программного средства администрирования безопасности Schneider Electric EcoStruxure Cybersecurity Admin Expert (CAE), связанная с ошибками подтверждения подлинности сертификата, позволяющая нарушителю провести атаки типа "человек посередин... |
| BDU:2022-04275 | Уязвимость модуля Node.js undici средства управления контейнерами App Connect Enterprise Certified Container, позволяющая нарушителю разрыть защищаемую информацию |
| BDU:2022-04750 | Уязвимость реализации протоколов TLS и SSL платформы аналитики и автоматизации работы с многооблачными сетями дата-центров Cisco Nexus Dashboard, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить до... |
| BDU:2022-04756 | Уязвимость клиентской HTTP-библиотеки OKHttp Square, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю обойти существующие ограничения безопасности и реализовать атаку типа "человек посередине" |
| BDU:2022-04771 | Уязвимость пакета офисных программ LibreOffice, связанная с неправильным подтверждением подлинности сертификата, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-04887 | Уязвимость инструмента автоматизации развертывания приложений в Kubernetes ArgoCD, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-05678 | Уязвимость апплета busybox wget набора UNIX-утилит командной строки BusyBox, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2022-05923 | Уязвимость пакета офисных программ LibreOffice, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-05931 | Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю отключить установленные надстройки |
| BDU:2022-06181 | Уязвимость компонента SupportAssist сетевой операционной системы SmartFabric OS10, позволяющая нарушителю получить доступ к защищаемой информации путем проведения атак типа "человек посередине" |
| BDU:2022-06332 | Уязвимость микропрограммного обеспечения шлюзов Cisco Expressway и микропрограммного обеспечения устройств управления вызовами Cisco TelePresence Video Communication Server, связанная с ошибками процедуры подтверждения подлинности сертификата, позвол... |
| BDU:2022-06857 | Уязвимость операционной системы Cisco AsyncOS системы обеспечения безопасности электронной почты Cisco Email Security Appliance (ESA), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-07041 | Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2022-07288 | Уязвимость компонентов Pulsar C++ Client и Pulsar Python Client облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2023-00056 | Уязвимость сканера безопасности веб-приложений OWASP Zed Attack Proxy, связанная с некорректным подтверждением подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2023-00084 | Уязвимость сервера для управления программами Fortinet FortiClient Enterprise Management Server (EMS), связанная с ошибками подтверждения подлинности сертификата, позволяющая нарушителю провести атаки типа "человек посередине" и раскрыть защищаемую и... |
| BDU:2023-00611 | Уязвимость системы хранения данных Cloud Mobility for Dell Storage, связанная с неправильной проверкой отзыва сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-01224 | Уязвимость терминального сервера NPort 6000 и диспетчера драйверов NPort Windows Driver Manager, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-01295 | Уязвимость терминального сервера NPort 6000 и диспетчера драйверов NPort Windows Driver Manager, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-01629 | Уязвимость компонента Analyzer probe программного обеспечения для аналитики и анализа данных Hitachi Ops Center Analyzer и компонента Analytics probe программного обеспечения для обеспечения функционирования центра обработки данных Hitachi Infrastruc... |
| BDU:2023-01664 | Уязвимость языка программирования Erlang, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-01819 | Уязвимость функции WorkSource операционных систем Android, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02108 | Уязвимость криптографической библиотеки OpenSSL, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-02295 | Уязвимость плагина Jenkins NeuVector Vulnerability Scanner Plugin, связанная с неправильным подтверждением подлинности сертификата SSL/TLS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02391 | Уязвимость плагина Jenkins Image Tag Parameter Plugin, связанная с неправильным подтверждением подлинности сертификата SSL/TLS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-03312 | Уязвимость криптографической библиотеки OpenSSL, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю обойти проверку политик для сертификата |
| BDU:2023-03620 | Уязвимость функции обновления встроенного программного обеспечения маршрутизаторов NETGEAR RAX50, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-03648 | Уязвимость утилиты командной строки cURL, связанная с ошибками процедуры подтверждения подлинности сертификата при сопоставлении подстановочных знаков в сертификатах TLS для имен IDN, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-03689 | Уязвимость кроссплатформенного фреймворка для разработки программного обеспечения Qt, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-03871 | Уязвимость компонента CPAN.pm языка программирования Perl, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2023-03872 | Уязвимость библиотеки языка программирования Perl HTTP::Tiny, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обс... |
| BDU:2023-03918 | Уязвимость плагина Checkmarx сервера автоматизации Jenkins, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-04086 | Уязвимость плагина Jenkins SAML Single Sign On(SSO), связанная с отсутствием проверки сертификата SSL/TLS, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-04973 | Уязвимость функции X509_VERIFY_PARAM_add0_policy() библиотеки OpenSSL, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-04979 | Уязвимость системы управления базами данных MongoDB, связанная с некорректной проверкой подлинности сертификата клиента, позволяющая нарушителю установить TLS-соединение с сервером |
| BDU:2023-04995 | Уязвимость модулей Airflow SMTP Provider и Airflow IMAP Provider программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным |
| BDU:2023-05147 | Уязвимость программного сетевого средства для миграции серверов UaGateway, связанная с некорректной проверкой сертификата, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-05362 | Уязвимость средства криптографической защиты Bouncy Castle, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-05436 | Уязвимость пакета cryptography интерпретатора языка программирования Python, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-05658 | Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информ... |
| BDU:2023-05659 | Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информ... |
| BDU:2023-06111 | Уязвимость компонента Security операционных систем iOS, watchOS, iPadOS и macOS, позволяющая нарушителю обойти проверку цифровой подписи |
| BDU:2023-06312 | Уязвимость компонента Security операционных систем tvOS, iOS, iPadOS, watchOS, macOS, позволяющая нарушителю обойти проверку подписи |
| BDU:2023-07023 | Уязвимость компонента JSSE программной платформы Java SE и виртуальной машины Oracle GraalVM for JDK, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07090 | Уязвимость программного обеспечения OpenVPN Connect, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-07245 | Уязвимость дистрибутива языка программирования Python Anaconda, связанная с возможностью записи в файлы в директории anaconda3, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07247 | Уязвимость плагина Jenkins VMware Lab Manager Slaves Plugin, связанная с отключением глобального использования протокола SSL/TLS и проверки подлинности имени хоста для виртуальной машины (JVM), позволяющая нарушителю реализовать атаку "человек посере... |
| BDU:2023-07270 | Уязвимость компонента InvokeHTTP платформы обработки данных Apache NiFi MiNiFi, существующая из-за недостаточной проверки подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-07355 | Уязвимость сетевого программного средства Netty, связана с ошибками при проверке сертификата TLS, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-07699 | Уязвимость прокси-сервера Squid, связанная с ошибками при проверке сертификата SSL/TLS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-08099 | Уязвимость агента для сборки и доставки данных в Elasticsearch или Logstash Elastic Beats, агента для сбора метрик Elastic Agent, серверного программного средства мониторинга и анализа производительности приложений Elastic APM Server, серверного прог... |
| BDU:2023-08235 | Уязвимость программного средства обнаружения и предотвращения угроз Proofpoint Insider Threat Management для операционной системы MacOS, связанная с некорректным подтверждением подлинности сертификата, позволяющая нарушителю оказать воздействие на ко... |
| BDU:2023-08410 | Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager и средства отслеживания и анализа событий безопасности FortiAnalyzer, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющ... |
| BDU:2023-08729 | Уязвимость программного обеспечения OPC-серверов KEPServerEX, ThingWorx Kepware Server, ThingWorx Industrial Connectivity, OPC-Aggregator, ThingWorx Kepware Edge, Rockwell Automation KEPServer Enterprise, GE Digital Industrial Gateway Server, Softwar... |
| BDU:2023-09049 | Уязвимость реализации протокола TLS инструмента обработки сценариев RTU500 Scripting interface программируемых логических контроллеров Hitachi Energy RTU500, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и проводи... |
| BDU:2023-09113 | Уязвимость функции сканирования протоколов SSL/TLS антивирусного программного обеспечения ESET NOD32, ESET Internet Security, ESET Smart Security Premium, ESET Security Ultimate, ESET Endpoint Antivirus для Windows, ESET Endpoint Security для Windows... |
| BDU:2024-00032 | Уязвимость веб-интерфейса программного обеспечения для управления сетевой инфраструктурой SINEC INS (Infrastructure Network Services), позволяющая нарушителю повысить свои привилегии |
| BDU:2024-00232 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с некорректной проверкой сертификата при аутентификации по смарт-картам, позволяющая нарушителю пройти проверку подлинности как другой пользователь |
| BDU:2024-00475 | Уязвимость службы Server Key Distribution операционной системы Windows, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-01102 | Уязвимость утилиты для оптимизации процедур автоматического обновления драйверов BIOS Lenovo Vantage Service, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить произвольный код с повышенными привил... |
| BDU:2024-01126 | Уязвимость реализации протокола FortiLink операционных систем FortiOS, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2024-01573 | Уязвимость модуля обнаружения фронтинга доменов программного обеспечения безопасного доступа к интернету Zscaler Internet Access (ZIA), позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2024-01902 | Уязвимость программного средства управления снимками данных в среде резервного копирования и восстановления информации Veritas NetBackup Snapshot Manager, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю вз... |
| BDU:2024-01947 | Уязвимость системы управления базами данных MongoDB, связанная с ошибками процедуры подтверждения подлинности TLS сертификата, позволяющая нарушителю установить несанкционированное соединение к серверу MongoDB |
| BDU:2024-02063 | Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2024-02721 | Уязвимость функции curl_wssl_init_ctx компонента vquic-tls.c утилиты командной строки cURL, позволяющая нарушителю игнорировать любые проблемы с сертификатами |
| BDU:2024-02909 | Уязвимость драйвера Snowflake Connector .NET для работы с облачной платформой обработки и хренения данных Snowflake на платформе .NET, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "... |
| BDU:2024-03447 | Уязвимость сетевого программного средства Airflow FTP Provider, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2024-03917 | Уязвимость брокера сообщений RabbitMQ системы сбора и анализа событий безопасности IBM QRadar SIEM, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2024-04212 | Уязвимость криптографической библиотеки C++ Botan, связанная с неправильной проверкой сертификата, позволяющая нарушителю подделать ответы OCSP |
| BDU:2024-04264 | Уязвимость приложения для установления связи между облачной платформой и локальной системой SAP Cloud Connector, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на конфиденциальность и... |
| BDU:2024-04370 | Уязвимость реализации протокола SMTPS программного средства управления проектами и задачами JetBrains YouTrack, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-04383 | Уязвимость функции nimble refresh менеджера пакетов Nimble языка программирования Nim, позволяющая нарушителю реализовать атаку типа "человек посередине" или выполнить произвольный код |
| BDU:2024-04678 | Уязвимость программного обеспечения управления и настройки сетевых устройств TP-Link Tether и TP-Link Tapo, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку "человек посередине" (MITM) |
| BDU:2024-04913 | Уязвимость компонента LibreOfficeKit пакета офисных программ LibreOffice, позволяющая уязвимости может позволить нарушителю выполнить произвольный код |
| BDU:2024-05161 | Уязвимость микропрограммного обеспечения Wi-Fi роутеров D-Link DIR-1950, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю реализовать атаку "человек посередине" (MITM) |
| BDU:2024-06169 | Уязвимость веб-интерфейса exacqVision Web Service системы видеонаблюдения exacqVision, связанная с ошибками процедуры подтверждения подлинности TLS сертификата, позволяющая нарушителю выполнить атаку "человек посередине" (MITM) |
| BDU:2024-06443 | Уязвимость пользовательского интерфейса проверки сертификата пакета офисных программ LibreOffice, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-06947 | Уязвимость реализации протокола TLS веб-браузера Firefox, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2024-07439 | Уязвимость протокол NBD библиотеки libnbd, связанная с неправильной проверкой сертификата, позволяющая нарушителю раскрыть защищаемую информацию и оказать воздействие на целостность системы |
| BDU:2024-07774 | Уязвимость программного средства для взаимодействия с серверами curl, связанная c неправильной проверкой сертификата, позволяющая нарушителю оказывать влияние на целостность системы. |
| BDU:2024-07775 | Уязвимость криптографической библиотеки C++ Botan, связанная с неправильной проверкой сертификата, позволяющая нарушителю оказать влияние на целостность системы |
| BDU:2024-08142 | Уязвимость компонента Secure Channel (Schannel) операционных систем Windows, позволяющая нарушителю выполнить спуфинг-атаку |
| BDU:2024-09110 | Уязвимость плагина Checkmk Exchange для маршрутизаторов MikroTik, позволяющая нарушителю реализовать спуфинг-атаку |
| BDU:2024-09262 | Уязвимость менеджера хранения данных Adaptec Maxview промышленных компьютеров SIMATIC IPC1047, SIMATIC IPC1047E, SIMATIC IPC647D, SIMATIC IPC647E, позволяющая нарушителю проводить атаки типа "человек посередине" |
| BDU:2024-09433 | Уязвимость кросс-платформенный BitTorrent клиента qBittorrent, связанная с неправильным подтверждением подлинности сертификата SSL/TLS, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2024-09584 | Уязвимость программы просмотра и редактирования PDF документов PDF-XChange Editor, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-09903 | Уязвимость реализации протокола OpenID Connect (OIDC) средства управления IT-сервисами Ivanti Neurons for ITSM, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2024-10083 | Уязвимость функции set_verify_callback() системы мониторинга доступности сетевых ресурсов Icinga, позволяющая нарушителю обойти ограничения безопасности, получить несанкционированный доступ к защищаемой информации или выполнить произвольные команды |
| BDU:2024-10221 | Уязвимость реализации протоколов TLS и SSL средства управления сетью и политиками дата-центров Cisco Nexus Dashboard Orchestrator (NDO), позволяющая нарушителю раскрыть защищаемую информацию. |
| BDU:2024-10692 | Уязвимость реализации протокола mTLS (mutual TLS) программного средства для управления идентификацией и доступом Keycloak, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11171 | Уязвимость средства защиты облачных, виртуальных и физических систем Veeam Backup Replication, связанная с отсутствием проверки подлинности для критически важной функции, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-11271 | Уязвимость виртуальных и физических систем Veeam Backup Replication, связанная с неправильной проверкой сертификата TLS, позволяющая нарушителю выполнить атаку "человек посередине" (MITM) |
| BDU:2024-11595 | Уязвимость функции SAML SSO средств защиты Fortinet FortiClient для Windows, FortiClient для Mac, FortiClient для iOS, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку "человек посередине" (... |
| BDU:2024-11599 | Уязвимость средства защиты Fortinet FortiClient, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2025-00180 | Уязвимость программного обеспечения для управления аксессуарами и экранами Lenovo Accessories and Display Manager (LADM) и программного обеспечения для управления и настройки дисплеев Lenovo Display Control Center (LDCC), связанная с ошибками процеду... |
| BDU:2025-00181 | Уязвимость программного обеспечения для управления аксессуарами и экранами Lenovo Accessories and Display Manager (LADM) и программного обеспечения для управления и настройки дисплеев Lenovo Display Control Center (LDCC), связанная с ошибками процеду... |
| BDU:2025-00188 | Уязвимость микропрограммного обеспечения планшетов Lenovo Tab K10, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00218 | Уязвимость программного инструмента для сбора данных о производительности сети и приложений Cisco ThousandEyes Endpoint Agent, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00250 | Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller, связанная с некорректной проверкой сертификата, позволяющая нарушителю получить несанкционированный доступ к з... |
| BDU:2025-00339 | Уязвимость набора библиотек OTP языка программирования Erlang, позволяющая нарушителю проводить атаки типа "человек по середине" |
| BDU:2025-00742 | Уязвимость операционных систем QuTS hero и QTS сетевых устройств Qnap, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00897 | Уязвимость компонента Root Certificate Handler программного средства для обеспечения безопасного удаленного доступа к данным Palo Alto Networks GlobalProtect App, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-01790 | Уязвимость клиента приложения для бизнес-аналитики IBM Cognos Analytics Mobile, позволяющая нарушителю выполнить атаку "человек посередине" (MITM) |
| BDU:2025-01833 | Уязвимость криптографической библиотеки Dell BSAFE SSL-J, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02005 | Уязвимость системы видеонаблюдения UniFi Protect Cameras, связанная с отсутствием возможности обновления прошивки, позволяющая нарушителю получить полный контроль над системой |
| BDU:2025-02006 | Уязвимость системы видеонаблюдения UniFi Protect Cameras, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить полный контроль над системой |
| BDU:2025-02217 | Уязвимость веб-сервера микропрограммного обеспечения программируемых логических контроллеров SIMATIC S7-1200, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-02309 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, Thunderbird ESR связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказывать воздействие на конфиденциальность, целостность и... |
| BDU:2025-02452 | Уязвимость системы автоматизации технической поддержки Helpdesk сетевых устройств Qnap, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2025-02805 | Уязвимость средства управления доступом к сети FortiNAC-F, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2025-02842 | Уязвимость инструмента аналитики и управления безопасностью Fortinet FortiPortal, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2025-03143 | Уязвимость компонента Application-Layer Protocol Negotiation (ALPN) браузеров Mozilla Firefox, Firefox ESR и почтовых клиентов Thunderbird, Thunderbird ESR, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес |
| BDU:2025-03799 | Уязвимость операционных систем Synology BeeStation Manager (BSM), Synology DiskStation Manager (DSM) и Synology BeeStation OS, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю записывать ограниченное количе... |
| BDU:2025-03801 | Уязвимость системы мгновенного обмена сообщениями Pidgin, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить контроль над соединением XMPP, учетные данные пользователя и содержимое сообщений |
| BDU:2025-04191 | Уязвимость HTTP библиотеки Urllib3 языка программирования Python, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2025-04276 | Уязвимость программного средства управления лицензиями Siemens License Server (SLS), связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04568 | Уязвимость модуля APP Enforcement (APPE) микропрограммного обеспечения маршрутизаторов DrayTek Vigor, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-05017 | Уязвимость механизма PSL validation клиентского модуля Apache HttpClient средства Apache HttpComponents, позволяющая нарушителю осуществить CSRF-атаку |
| BDU:2025-05151 | Уязвимость платформы хранения данных Dell ECS, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06184 | Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2025-06413 | Уязвимость функции x509_main модуля apps/x509.c библиотеки OpenSSL, позволяющая нарушителю подменить доверенный сертификат |
| BDU:2025-07294 | Уязвимость функции аварийного восстановления Native HA Cross-Region Replication (CRR) программного средства управления контейнеризованными средами IBM MQ Operator, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07649 | Уязвимость реализации протокола TLS браузера Mozilla Firefox, позволяющая нарушителю обойти существующие ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07721 | Уязвимость клиента IEC 61850 Client программного средства системы контроля и управления оборудованием Hitachi Energy MicroSCADA X SYS600, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2025-08427 | Уязвимость реализации протокола SMB операционных систем Microsoft Windows, позволяющая нарушителю выполнить спуфинг-атаку |
| BDU:2025-08542 | Уязвимость инженерного программного обеспечения SICAM TOOLBOX II, связанная с некорректной проверкой сертификата, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2025-08543 | Уязвимость инженерного программного обеспечения SICAM TOOLBOX II, связанная с некорректной проверкой сертификата, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2025-08890 | Уязвимость программного обеспечения для проведения видеоконференций Zoom, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09074 | Уязвимость программного средства управления и запуска OCI-контейнеров Podman, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2025-09484 | Уязвимость компонента Tidal автомагнитолы Alpine iLX-507, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-09520 | Уязвимость инструмента установки и обновления драйверов ASUS DriverHub, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-09561 | Уязвимость метода аутентификации платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition, позволяющая нарушителю создать вредоносный сертификат |
| BDU:2025-09585 | Уязвимость функции meeting-join программного обеспечения веб-конференцсвязи Cisco Webex Meetings, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2025-09865 | Уязвимость кроссплатформенного программного обеспечения для защиты сетевых соединений Stunnel, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-10232 | Уязвимость библиотеки libcurl, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10233 | Уязвимость библиотеки libcurl, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10319 | Уязвимость прикладного программного интерфейса централизованной системы управления сетью Cisco Catalyst SD-WAN Manager, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10541 | Уязвимость системного подключаемого модуля операционных систем Synology DiskStation Manager (DSM), связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информаци... |
| BDU:2025-11075 | Уязвимость библиотеки безопасности транспортного уровня GnuTLS, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации |
| BDU:2025-11398 | Уязвимость реализации протокола согласования ключей Diffie-Hellman Key Agreement Protocol библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-11452 | Уязвимость программного средства управления кластерами виртуальных машин Kubernetes, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2025-11984 | Уязвимость утилиты для обработки логов Syslog-ng, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2025-12653 | Уязвимость графического интерфейса операционной системы FortiOS и масштабируемой облачной системы безопасности FortiSASE, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2025-13427 | Уязвимость FTP-сервера ProFTPD, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю манипулировать данными |
| BDU:2025-13444 | Уязвимость FTP-сервера ProFTPD, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю манипулировать данными |
| BDU:2025-14697 | Уязвимость инструмента управления базами данных pgAdmin 4, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить доступ к учётным данным LDAP |
| BDU:2025-14920 | Уязвимость набора инструментов для проектирования и моделирования Siemens Solid Edge, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2025-15936 | Уязвимость микропрограммного обеспечения маршрутизаторов NETGEAR RAX30, RAXE300, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-15985 | Уязвимость клиента IAM (Identity and Access Management) программного обеспечения для проектирования, эксплуатации и обслуживания технологических установок COMOS, наборов инструментов для проектирования и моделирования Siemens Solid Edge, Simcenter 3D... |
| BDU:2025-16020 | Уязвимость программного средства для обеспечения безопасного удаленного доступа к данным Palo Alto Networks GlobalProtect App, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю создать вредоносный сертификат |
| BDU:2025-16372 | Уязвимость программного средства управления проектами и задачами JetBrains YouTrack, связанная с отсутствие проверки сертификата TLS, позволяющая нарушителю раскрыть защищаемую информацию и оказать воздействие на целостность системы |
| BDU:2026-00201 | Уязвимость программного обеспечения для проектирования, эксплуатации и обслуживания технологических установок COMOS, наборов инструментов для проектирования и моделирования Simcenter 3D и Simcenter Femap, связанная с ошибками процедуры подтверждения... |
| BDU:2026-00258 | Уязвимость программного обеспечения для управления, контроля и организации процессов печати Vasion Print Virtual Appliance Host и Print Application, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнит... |
| BDU:2026-00268 | Уязвимость языка программирования Go, связанная с недостатками процедуры авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2007-5967 | A flaw in Mozilla's embedded certificate code might allow web sites to install root certificates on devices without user appr... |
| CVE-2012-0955 | software-properties incorrectly validated TLS certificates |
| CVE-2013-10001 | HTC One/Sense Mail Client certificate validation |
| CVE-2014-8164 | A insecure configuration for certificate verification (http.verify_mode = OpenSSL::SSL::VERIFY_NONE) may lead to verification... |
| CVE-2016-10534 | electron-packager is a command line tool that packages Electron source code into `.app` and `.exe` packages. along with Elect... |
| CVE-2016-6562 | ShoreTel Mobility Client for iOS and Android, version 9.1.3.109 and earlier, fails to properly validate SSL certificates prov... |
| CVE-2016-7075 | It was found that Kubernetes as used by Openshift Enterprise 3 did not correctly validate X.509 client intermediate certifica... |
| CVE-2017-13083 | Akeo Consulting Rufus prior to version 2.17.1187 does not adequately validate the integrity of updates downloaded over HTTP,... |
| CVE-2017-13105 | Hi Security Virus Cleaner - Antivirus, Booster, 3.7.1.1329, 2017-09-13, Android application accepts all SSL certificates dur... |
| CVE-2017-14806 | Insecure handling of repodata and packages in SUSE Studio onlite |
| CVE-2017-2623 | It was discovered that rpm-ostree and rpm-ostree-client before 2017.3 fail to properly check GPG signatures on packages when... |
| CVE-2017-2629 | curl before 7.53.0 has an incorrect TLS Certificate Status Request extension feature that asks for a fresh proof of the serve... |
| CVE-2017-2639 | It was found that CloudForms does not verify that the server hostname matches the domain name in the certificate when using a... |
| CVE-2017-2648 | It was found that jenkins-ssh-slaves-plugin before version 1.15 did not perform host key verification, thereby enabling Man-i... |
| CVE-2017-2649 | It was found that the Active Directory Plugin for Jenkins up to and including version 2.2 did not verify certificates of the... |
| CVE-2017-3182 | On the iOS platform, the ThreatMetrix SDK versions prior to 3.2 fail to validate SSL certificates provided by HTTPS connectio... |
| CVE-2017-3190 | Flash Seats Mobile App for Android version 1.7.9 and earlier and for iOS version 1.9.51 and earlier fails to properly validat... |
| CVE-2017-3194 | Pandora iOS app prior to version 8.3.2 fails to properly validate SSL certificates provided by HTTPS connections, which may e... |
| CVE-2017-3218 | Samsung Magician 5.0 fails to validate TLS certificates for HTTPS software update traffic. Prior to version 5.0, Samsung Magi... |
| CVE-2017-7468 | In curl and libcurl 7.52.0 to and including 7.53.1, libcurl would attempt to resume a TLS session even if the client certific... |
| CVE-2017-7513 | It was found that Satellite 5 configured with SSL/TLS for the PostgreSQL backend failed to correctly validate X.509 server ce... |
| CVE-2017-7562 | An authentication bypass flaw was found in the way krb5's certauth interface before 1.16.1 handled the validation of client c... |
| CVE-2017-7932 | An improper certificate validation issue was discovered in NXP i.MX 28 i.MX 50, i.MX 53, i.MX 7Solo i.MX 7Dual Vybrid VF3xx,... |
| CVE-2017-8445 | An error was found in the X-Pack Security TLS trust manager for versions 5.0.0 to 5.5.1. If reloading the trust material fail... |
| CVE-2018-0227 | A vulnerability in the Secure Sockets Layer (SSL) Virtual Private Network (VPN) Client Certificate Authentication feature for... |
| CVE-2018-0277 | A vulnerability in the Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) certificate validation during EA... |
| CVE-2018-0334 | A vulnerability in the certificate management subsystem of Cisco AnyConnect Network Access Manager and of Cisco AnyConnect Se... |
| CVE-2018-0434 | Cisco SD-WAN Solution Certificate Validation Vulnerability |
| CVE-2018-19946 | The vulnerability have been reported to affect earlier versions of Helpdesk. If exploited, this improper certificate validati... |
| CVE-2018-4849 | A vulnerability has been identified in Siveillance VMS Video for Android (All versions < V12.1a (2018 R1)), Siveillance VMS V... |
| CVE-2018-5408 | PrinterLogic Print Management Software fails to validate the management portal SSL certificates |
| CVE-2019-0054 | Junos OS: SRX Series: An attacker may be able to perform Man-in-the-Middle (MitM) attacks during app-id signature updates. |
| CVE-2019-1010275 | helm Before 2.7.2 is affected by: CWE-295: Improper Certificate Validation. The impact is: Unauthorized clients could connect... |
| CVE-2019-15604 | Improper Certificate Validation in Node.js 10, 12, and 13 causes the process to abort when sending a crafted X.509 certificat... |
| CVE-2019-1590 | Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Insecure Fabric Authentication Vulnerability |
| CVE-2019-1659 | Cisco Prime Infrastructure Certificate Validation Vulnerability |
| CVE-2019-1683 | Cisco SPA112, SPA525, and SPA5x5 Series IP Phones Certificate Validation Vulnerability |
| CVE-2019-1748 | Cisco IOS and IOS XE Software Network Plug-and-Play Agent Certificate Validation Vulnerability |
| CVE-2019-1757 | Cisco IOS and IOS XE Software Smart Call Home Certificate Validation Vulnerability |
| CVE-2019-1948 | Cisco Webex Meetings Mobile (iOS) SSL Certificate Validation Vulnerability |
| CVE-2019-3685 | Missing TLS certificate validation for HTTPS connections in osc |
| CVE-2019-3751 | Dell EMC Enterprise Copy Data Management (eCDM) versions 1.0, 1.1, 2.0, 2.1, and 3.0 contain a certificate validation vulnera... |
| CVE-2019-3777 | Apps Manager unverified SSL certs in Cloud Controller proxy |
| CVE-2019-3814 | It was discovered that Dovecot before versions 2.2.36.1 and 2.3.4.1 incorrectly handled client certificates. A remote attacke... |
| CVE-2019-3841 | Kubevirt/virt-cdi-importer, versions 1.4.0 to 1.5.3 inclusive, were reported to disable TLS certificate validation when impor... |
| CVE-2019-3875 | A vulnerability was found in keycloak before 6.0.2. The X.509 authenticator supports the verification of client certificates... |
| CVE-2019-3890 | It was discovered evolution-ews before 3.31.3 does not check the validity of SSL certificates. An attacker could abuse this f... |
| CVE-2019-5101 | An exploitable information leak vulnerability exists in the ustream-ssl library of OpenWrt, versions 18.06.4 and 15.05.1. Whe... |
| CVE-2019-5102 | An exploitable information leak vulnerability exists in the ustream-ssl library of OpenWrt, versions 18.06.4 and 15.05.1. Whe... |
| CVE-2019-7615 | A TLS certificate validation flaw was found in Elastic APM agent for Ruby versions before 2.9.0. When specifying a trusted se... |
| CVE-2020-10059 | UpdateHub Module Explicitly Disables TLS Verification |
| CVE-2020-10925 | This vulnerability allows network-adjacent attackers to compromise the integrity of downloaded information on affected instal... |
| CVE-2020-12143 | The certificate used to identify Orchestrator to EdgeConnect devices is not validated |
| CVE-2020-12144 | The certificate used to identify the Silver Peak Cloud Portal to EdgeConnect devices is not validated |
| CVE-2020-15133 | Missing TLS certificate verification in Faye Websocket |
| CVE-2020-15134 | Missing TLS certificate verification in Faye |
| CVE-2020-15732 | Improper Certificate Validation vulnerability in the Online Threat Prevention module as used in Bitdefender Total Security al... |
| CVE-2020-2033 | GlobalProtect App: Missing certificate validation vulnerability can disclose pre-logon authentication cookie |
| CVE-2020-25680 | A flaw was found in JBCS httpd in version 2.4.37 SP3, where it uses a back-end worker SSL certificate with the keystore file'... |
| CVE-2020-26184 | Dell BSAFE Micro Edition Suite, versions prior to 4.5.1, contain an Improper Certificate Validation vulnerability. |
| CVE-2020-27648 | Improper certificate validation vulnerability in OpenVPN client in Synology DiskStation Manager (DSM) before 6.2.3-25426-2 al... |
| CVE-2020-27649 | Improper certificate validation vulnerability in OpenVPN client in Synology Router Manager (SRM) before 1.2.4-8081 allows man... |
| CVE-2020-29504 | Dell BSAFE Crypto-C Micro Edition, versions before 4.1.5, and Dell BSAFE Micro Edition Suite, versions before 4.5.2, contain... |
| CVE-2020-3155 | Cisco Intelligent Proximity SSL Certificate Validation Vulnerability |
| CVE-2020-3342 | Cisco Webex Meetings Desktop App for Mac Update Feature Code Execution Vulnerability |
| CVE-2020-3557 | Cisco Firepower Management Center Software Denial of Service Vulnerability |
| CVE-2020-5367 | Dell EMC Unisphere for PowerMax versions prior to 9.1.0.17, Dell EMC Unisphere for PowerMax Virtual Appliance versions prior... |
| CVE-2020-6781 | Improper Certificate Validation in Bosch Smart Home System App for iOS |
| CVE-2020-7922 | Kubernetes Operator generates potentially insecure certificates |
| CVE-2020-7924 | Specific command line parameter might result in accepting invalid certificate |
| CVE-2020-8156 | A missing verification of the TLS host in Nextcloud Mail 1.1.3 allowed a man in the middle attack. |
| CVE-2020-8279 | Missing validation of server certificates for out-going connections in Nextcloud Social < 0.4.0 allowed a man-in-the-middle a... |
| CVE-2020-8286 | curl 7.41.0 through 7.73.0 is vulnerable to an improper check for certificate revocation due to insufficient verification of... |
| CVE-2020-8289 | Backblaze for Windows before 7.0.1.433 and Backblaze for macOS before 7.0.1.434 suffer from improper certificate validation i... |
| CVE-2021-1134 | Cisco DNA Center Certificate Validation Vulnerability |
| CVE-2021-1276 | Cisco Data Center Network Manager Certificate Validation Vulnerabilities |
| CVE-2021-1277 | Cisco Data Center Network Manager Certificate Validation Vulnerabilities |
| CVE-2021-1354 | Cisco Unified Computing System Central Software Improper Certificate Validation Vulnerability |
| CVE-2021-20230 | A flaw was found in stunnel before 5.57, where it improperly validates client certificates when it is configured to use both... |
| CVE-2021-20327 | MongoDB Node.js client side field level encryption library may not be validating KMS certificate |
| CVE-2021-20328 | MongoDB Java driver client-side field level encryption not verifying KMS host name |
| CVE-2021-20989 | Fibaro Home Center Insufficient remote access server authorization |
| CVE-2021-21385 | Disabled hostname verification and accepting self-signed certificates |
| CVE-2021-21548 | Dell EMC Unisphere for PowerMax versions before 9.1.0.27, Dell EMC Unisphere for PowerMax Virtual Appliance versions before... |
| CVE-2021-21559 | Dell EMC NetWorker, versions 18.x, 19.1.x, 19.2.x 19.3.x, 19.4, and 19.4.0.1 contain an Improper Certificate Validation vulne... |
| CVE-2021-21571 | Dell UEFI BIOS https stack leveraged by the Dell BIOSConnect feature and Dell HTTPS Boot feature contains an improper certifi... |
| CVE-2021-21959 | A misconfiguration exists in the MQTTS functionality of Sealevel Systems, Inc. SeaConnect 370W v1.3.34. This misconfiguration... |
| CVE-2021-22138 | In Logstash versions after 6.4.0 and before 6.8.15 and 7.12.0 a TLS certificate validation flaw was found in the monitoring f... |
| CVE-2021-22278 | Certificate verification vulnerability in Update Manager of PCM600 Engineering Tool |
| CVE-2021-22511 | Improper Certificate Validation vulnerability in Micro Focus Application Automation Tools Plugin - Jenkins plugin. The vulner... |
| CVE-2021-22895 | Nextcloud Desktop Client before 3.3.1 is vulnerable to improper certificate validation due to lack of SSL certificate verific... |
| CVE-2021-22939 | If the Node.js https API was used incorrectly and "undefined" was in passed for the "rejectUnauthorized" parameter, no error... |
| CVE-2021-23167 | Improper certificate validation vulnerability in SMTP Client allows man-in-the-middle attack to retrieve sensitive informatio... |
| CVE-2021-25633 | Content Manipulation with Double Certificate Attack |
| CVE-2021-25634 | Timestamp Manipulation with Signature Wrapping |
| CVE-2021-25635 | Content Manipulation with Certificate Validation Attack |
| CVE-2021-26320 | Insufficient validation of the AMD SEV Signing Key (ASK) in the SEND_START command in the SEV Firmware may allow a local auth... |
| CVE-2021-27257 | This vulnerability allows network-adjacent attackers to compromise the integrity of downloaded information on affected instal... |
| CVE-2021-29495 | Nim stdlib httpClient does not validate peer certificates by default |
| CVE-2021-29504 | Improper Certificate Validation in WP-CLI framework |
| CVE-2021-31892 | A vulnerability has been identified in SINUMERIK Analyse MyCondition (All versions), SINUMERIK Analyze MyPerformance (All ver... |
| CVE-2021-32727 | End-to-end encryption device setup did not verify public key |
| CVE-2021-32728 | End-to-end encryption device setup did not verify public key |
| CVE-2021-32755 | Certificate pinning is not enforced on the web socket connection |
| CVE-2021-34599 | Improper Certificate Validation in CODESYS Git |
| CVE-2021-3460 | The Motorola MH702x devices, prior to version 2.0.0.301, do not properly verify the server certificate during communication w... |
| CVE-2021-3618 | ALPACA is an application layer protocol content confusion attack, exploiting TLS servers implementing different protocols but... |
| CVE-2021-3636 | It was found in OpenShift, before version 4.8, that the generated certificate for the in-cluster Service CA, incorrectly incl... |
| CVE-2021-3698 | A flaw was found in Cockpit in versions prior to 260 in the way it handles the certificate verification performed by the Syst... |
| CVE-2021-37698 | Missing TLS service certificate validation in GelfWriter, ElasticsearchWriter, InfluxdbWriter and Influxdb2Writer |
| CVE-2021-3898 | Versions of Motorola Ready For and Motorola Device Help Android applications prior to 2021-04-08 do not properly verify the s... |
| CVE-2021-40713 | Adobe Experience Manager Improper Certificate Validation Could Lead to Man In The Middle Attack |
| CVE-2021-42027 | A vulnerability has been identified in SINUMERIK Edge (All versions < V3.2). The affected software does not properly validate... |
| CVE-2021-44531 | Accepting arbitrary Subject Alternative Name (SAN) types, unless a PKI is specifically defined to use a particular SAN type,... |
| CVE-2021-44533 | Node.js < 12.22.9, < 14.18.3, < 16.13.2, and < 17.3.1 did not handle multi-value Relative Distinguished Names correctly. Atta... |
| CVE-2021-44549 | SMTPS server hostname not checked when making TLS connection to SMTPS server |
| CVE-2022-0759 | A flaw was found in all versions of kubeclient up to (but not including) v4.9.3, the Ruby client for Kubernetes REST API, in... |
| CVE-2022-1632 | An Improper Certificate Validation attack was found in Openshift. A re-encrypt Route with destinationCACertificate explicitly... |
| CVE-2022-20814 | Cisco Expressway Series and Cisco TelePresence VCS Improper Certificate Validation Vulnerability |
| CVE-2022-20860 | Cisco Nexus Dashboard SSL Certificate Validation Vulnerability |
| CVE-2022-21654 | Incorrect configuration handling allows TLS session re-use without re-validation in Envoy |
| CVE-2022-21656 | X.509 subjectAltName matching bypass in Envoy |
| CVE-2022-21657 | X.509 Extended Key Usage and Trust Purposes bypass in Envoy |
| CVE-2022-22156 | Junos OS: Certificate validation is skipped when fetching system scripts from a HTTPS URL |
| CVE-2022-22380 | IBM Security Verify Privilege improper authentication |
| CVE-2022-22549 | Dell PowerScale OneFS, 8.2.x-9.3.x, contains a Improper Certificate Validation. A unauthenticated remote attacker could poten... |
| CVE-2022-23632 | Traefik skips the router TLS configuration when the host header is an FQDN |
| CVE-2022-23649 | Improper Certificate Validation in Cosign |
| CVE-2022-24319 | A CWE-295: Improper Certificate Validation vulnerability exists that could allow a Man-in-theMiddle attack when communication... |
| CVE-2022-24320 | A CWE-295: Improper Certificate Validation vulnerability exists that could allow a Man-in-theMiddle attack when communication... |
| CVE-2022-24901 | Authentication bypass and denial of service (DoS) vulnerabilities in Apple Game Center auth adapter |
| CVE-2022-26305 | Execution of Untrusted Macros Due to Improper Certificate Validation |
| CVE-2022-27644 | This vulnerability allows network-adjacent attackers to compromise the integrity of downloaded information on affected instal... |
| CVE-2022-29222 | Improper Certificate Validation in Pion DTLS |
| CVE-2022-2996 | A flaw was found in the python-scciclient when making an HTTPS connection to a server where the server's certificate would no... |
| CVE-2022-31105 | Argo CD's certificate verification is skipped for connections to OIDC providers |
| CVE-2022-31183 | mTLS client verification is skipped in fs2 on Node.js |
| CVE-2022-32151 | Splunk Enterprise disabled TLS validation using the CA certificate stores in Python 3 libraries by default |
| CVE-2022-32152 | Splunk Enterprise lacked TLS cert validation for Splunk-to-Splunk communication by default |
| CVE-2022-32156 | Splunk Enterprise and Universal Forwarder CLI connections lacked TLS cert validation |
| CVE-2022-32210 | `Undici.ProxyAgent` never verifies the remote server's certificate, and always exposes all request & response data to the pro... |
| CVE-2022-32531 | Apache BookKeeper: Java Client Uses Connection to Host that Failed Hostname Verification |
| CVE-2022-32748 | A CWE-295: Improper Certificate Validation vulnerability exists that could cause the CAE software to give wrong data to end u... |
| CVE-2022-33681 | Improper Hostname Verification in Java Client and Proxy can expose authentication data via MITM |
| CVE-2022-33682 | Disabled Hostname Verification makes Brokers, Proxies vulnerable to MITM attack |
| CVE-2022-33683 | Disabled Certificate Validation makes Broker, Proxy Admin Clients vulnerable to MITM attack |
| CVE-2022-33684 | Apache Pulsar C++/Python OAuth Clients prior to 3.0.0 were vulnerable to an MITM attack due to Disabled Certificate Validatio... |
| CVE-2022-34394 | Dell OS10, version 10.5.3.4, contains an Improper Certificate Validation vulnerability in Support Assist. A remote unauthenti... |
| CVE-2022-34404 | Dell System Update, version 2.0.0 and earlier, contains an Improper Certificate Validation in data parser module. A local at... |
| CVE-2022-34865 | Traffic intelligence feeds vulnerability CVE-2022-34865 |
| CVE-2022-37437 | Ingest Actions UI in Splunk Enterprise 9.0.0 disabled TLS certificate validation |
| CVE-2022-3761 | OpenVPN Connect versions before 3.4.0.4506 (macOS) and OpenVPN Connect before 3.4.0.3100 (Windows) allows man-in-the-middle a... |
| CVE-2022-3913 | Rapid7 Nexpose Certificate Validation Issue |
| CVE-2022-39161 | IBM WebSphere Application Server information disclosure |
| CVE-2022-39264 | nheko vulnerable to secret poisoning using MITM on secret requests by the homeserver |
| CVE-2022-39334 | nextcloudcmd incorrectly trusts bad TLS certificates |
| CVE-2022-39948 | An improper certificate validation vulnerability [CWE-295] in FortiOS 7.2.0 through 7.2.3, 7.0.0 through 7.0.7, 6.4 all versi... |
| CVE-2022-40147 | A vulnerability has been identified in Industrial Edge Management (All versions < V1.5.1). The affected software does not pro... |
| CVE-2022-43892 | IBM Security Verify Privilege information disclosure |
| CVE-2022-45100 | Dell PowerScale OneFS, versions 8.2.x-9.3.x, contains an Improper Certificate Validation vulnerability. An remote unauthenti... |
| CVE-2022-45457 | Sensitive information disclosure and manipulation due to improper certification validation. The following products are affect... |
| CVE-2022-45458 | Sensitive information disclosure and manipulation due to improper certification validation. The following products are affect... |
| CVE-2022-45856 | An improper certificate validation vulnerability [CWE-295] in FortiClientWindows 6.4 all versions, 7.0.0 through 7.0.7, Forti... |
| CVE-2022-46153 | Routes exposed with an empty TLSOption in traefik |
| CVE-2022-48186 | A certificate validation vulnerability exists in the Baiying Android application which could lead to information disclosure. |
| CVE-2022-4895 | Man-in-the-middle attack Vulnerability in Hitachi Infrastructure Analytics Advisor, Hitachi Ops Center Analyzer |
| CVE-2023-0509 | Improper Certificate Validation in pyload/pyload |
| CVE-2023-1409 | Certificate validation issue in MongoDB Server running on Windows or macOS |
| CVE-2023-1514 | A vulnerability exists in the component RTU500 Scripting interface. When a client connects to a server using TLS, the server... |
| CVE-2023-1664 | A flaw was found in Keycloak. This flaw depends on a non-default configuration "Revalidate Client Certificate" to be enabled... |
| CVE-2023-20881 | Cloud foundry instances having CAPI version between 1.140 and 1.152.0 along with loggregator-agent v7+ may override other use... |
| CVE-2023-22642 | An improper certificate validation vulnerability [CWE-295] in FortiAnalyzer and FortiManager 7.2.0 through 7.2.1, 7.0.0 throu... |
| CVE-2023-23546 | A misconfiguration vulnerability exists in the urvpn_client functionality of Milesight UR32L v32.3.0.5. A specially-crafted m... |
| CVE-2023-2422 | Keycloak: oauth client impersonation |
| CVE-2023-24461 | BIG-IP Edge Client for Windows and macOS vulnerability |
| CVE-2023-28093 | A user with a compromised configuration can start an unsigned binary as a service. |
| CVE-2023-28321 | An improper certificate validation vulnerability exists in curl <v8.1.0 in the way it supports matching of wildcard patterns... |
| CVE-2023-28807 | Bypass of ZIA domain fronting detection module through evasion technique |
| CVE-2023-29000 | Nextcloud Desktop client does not verify received singed certificate in end-to-end encryption |
| CVE-2023-29175 | An improper certificate validation vulnerability [CWE-295] in FortiOS 6.2 all versions, 6.4 all versions, 7.0.0 through 7.0.1... |
| CVE-2023-31151 | Improper Certificate Validation |
| CVE-2023-31190 | Missing TLS (HTTPS) certificate validation during firmware update in DroneScout ds230 Remote ID receiver from BlueMark Innova... |
| CVE-2023-31421 | Beats, Elastic Agent, APM Server, and Fleet Server Improper Certificate Validation issue |
| CVE-2023-32330 | IBM Security Verify Access man in the middle |
| CVE-2023-32464 | Dell VxRail, versions prior to 7.0.450, contain an improper certificate validation vulnerability. A high privileged remote a... |
| CVE-2023-33861 | IBM Security ReaQta improper certificate validation |
| CVE-2023-35721 | NETGEAR Multiple Routers curl_post Improper Certificate Validation Remote Code Execution Vulnerability |
| CVE-2023-3615 | Lack of server certificate validation in websockets connection |
| CVE-2023-38009 | IBM Cognos Analytics Mobile information disclosure |
| CVE-2023-38686 | Sydent does not verify email server certificates |
| CVE-2023-39441 | Apache Airflow SMTP Provider, Apache Airflow IMAP Provider, Apache Airflow: SMTP/IMAP client components allowed MITM due to m... |
| CVE-2023-41180 | Apache NiFi MiNiFi C++: Incorrect Certificate Validation in InvokeHTTP for MiNiFi C++ |
| CVE-2023-43017 | IBM Security Verify Access man in the middle |
| CVE-2023-43082 | Dell Unity prior to 5.3 contains a 'man in the middle' vulnerability in the vmadapter component. If a customer has a certifi... |
| CVE-2023-47537 | An improper certificate validation vulnerability in Fortinet FortiOS 7.0.0 - 7.0.13, 7.2.0 - 7.2.6, 7.4.0 - 7.4.1 and 6.4 all... |
| CVE-2023-47700 | IBM Storage Virtualize improper certificate validation |
| CVE-2023-47742 | IBM QRadar Suite information dislosure |
| CVE-2023-4801 | ITM MacOS Agent Improper Certificate Validation |
| CVE-2023-48427 | A vulnerability has been identified in SINEC INS (All versions < V1.0 SP2 Update 2). Affected products do not properly valida... |
| CVE-2023-48785 | An improper certificate validation vulnerability [CWE-295] in FortiNAC-F version 7.2.4 and below may allow a remote and unaut... |
| CVE-2023-49247 | Permission verification vulnerability in distributed scenarios. Successful exploitation of this vulnerability may affect serv... |
| CVE-2023-49250 | Apache DolphinScheduler: Insecure TLS TrustManager used in HttpUtil |
| CVE-2023-49567 | Insecure Trust of certificates using collision hash functions in Bitdefender Total Security HTTPS Scanning (VA-11239) |
| CVE-2023-49570 | Insecure Trust of Basic Constraints certificate in Bitdefender Total Security HTTPS Scanning (VA-11210) |
| CVE-2023-50178 | An improper certificate validation vulnerability [CWE-295] in FortiADC 7.4.0, 7.2.0 through 7.2.3, 7.1 all versions, 7.0 all... |
| CVE-2023-50179 | An improper certificate validation vulnerability [CWE-295] in FortiADC 7.4.0, 7.2 all versions, 7.1 all versions, 7.0 all ver... |
| CVE-2023-50314 | IBM WebSphere Application Server Libery information disclosure |
| CVE-2023-50315 | IBM WebSphere Application Server information disclosure |
| CVE-2023-50356 | Improper Certificate Validation in AREAL Topkapi Vision (Server) |
| CVE-2023-50949 | IBM QRadar improper certificate validation |
| CVE-2023-51634 | NETGEAR RAX30 Improper Certificate Validation Remote Code Execution Vulnerability |
| CVE-2023-51662 | Snowflake Connector .NET does not properly check the Certificate Revocation List (CRL) |
| CVE-2023-5422 | SSL Certificates are not checked for E-Mail Handling |
| CVE-2023-5594 | Improper following of a certificate's chain of trust in ESET security products |
| CVE-2023-6043 | A privilege escalation vulnerability was reported in Lenovo Vantage that could allow a local attacker to bypass integrity che... |
| CVE-2023-6055 | Improper Certificate Validation in Bitdefender Total Security HTTPS Scanning (VA-11158) |
| CVE-2023-6056 | Insecure Trust of Self-Signed Certificates in Bitdefender Total Security HTTPS Scanning (VA-11164) |
| CVE-2023-6057 | Insecure Trust of DSA-Signed Certificates in Bitdefender Total Security HTTPS Scanning (VA-11166) |
| CVE-2023-6058 | HTTPS Certificate Validation Issue in Bitdefender Safepay (VA-11167) |
| CVE-2023-6680 | Improper Certificate Validation in GitLab |
| CVE-2024-10444 | Improper certificate validation vulnerability in the LDAP utilities in Synology DiskStation Manager (DSM) before 7.1.1-42962-... |
| CVE-2024-10445 | Improper certificate validation vulnerability in the update functionality in Synology BeeStation OS (BSM) before 1.1-65374 an... |
| CVE-2024-1052 | Boundary Vulnerable to Session Hijacking Through TLS Certificate Tampering |
| CVE-2024-11621 | Missing certificate validation in Devolutions Remote Desktop Manager on macOS, iOS, Android, Linux allows an attacker to inte... |
| CVE-2024-12174 | An Improper Certificate Validation vulnerability exists in Tenable Security Center where an authenticated, privileged attacke... |
| CVE-2024-1351 | MongoDB Server may allow successful untrusted connection |
| CVE-2024-13956 | SSL Verification Bypass |
| CVE-2024-13990 | MicroWorld eScan AV Insecure Update Mechanism Allows Man-in-the-Middle Replacement of Updates |
| CVE-2024-20080 | In gnss service, there is a possible escalation of privilege due to improper certificate validation. This could lead to remot... |
| CVE-2024-20385 | Cisco Nexus Dashboard Orchestrator SSL Certificate Validation Vulnerability |
| CVE-2024-2048 | Vault Cert Auth Method Did Not Correctly Validate Non-CA Certificates |
| CVE-2024-22030 | Rancher agents can be hijacked by taking over the Rancher Server URL |
| CVE-2024-23928 | Pioneer DMH-WT7600NEX Telematics Improper Certificate Validation |
| CVE-2024-23970 | ChargePoint Home Flex Improper Certificate Validation |
| CVE-2024-25053 | IBM Cognos Analytics improper certificate validation |
| CVE-2024-25141 | Apache Airflow Mongo Provider: Certificate validation isn't respected even if SSL is enabled for apache-airflow-providers-mon... |
| CVE-2024-25642 | Improper Certificate Validation in SAP Cloud Connector |
| CVE-2024-27323 | PDF-XChange Editor Updater Improper Certificate Validation Remote Code Execution Vulnerability |
| CVE-2024-28021 | A vulnerability exists in the FOXMAN-UN/UNEM server that affects the message queueing mechanism’s certificate validation. If... |
| CVE-2024-29072 | A privilege escalation vulnerability exists in the Foxit Reader 2024.2.0.25138. The vulnerability occurs due to improper cert... |
| CVE-2024-29171 | Dell BSAFE SSL-J, versions prior to 6.6 and versions 7.0 through 7.2, contains an Improper certificate verification vulnerabi... |
| CVE-2024-29733 | Apache Airflow FTP Provider: FTP_TLS instance with unverified SSL context |
| CVE-2024-29887 | Serverpod client accepts any certificate |
| CVE-2024-30149 | HCL AppScan Source is affected by an expired TLS/SSL certificate |
| CVE-2024-31489 | AAn improper certificate validation vulnerability [CWE-295] in FortiClientWindows 7.2.0 through 7.2.2, 7.0.0 through 7.0.11,... |
| CVE-2024-31853 | A vulnerability has been identified in SICAM TOOLBOX II (All versions < V07.11). During establishment of a https connection t... |
| CVE-2024-31854 | A vulnerability has been identified in SICAM TOOLBOX II (All versions < V07.11). During establishment of a https connection t... |
| CVE-2024-31871 | IBM Security Verify Access Appliance improper certificate validation |
| CVE-2024-31872 | IBM Security Verify Access Appliance missing certificate validation |
| CVE-2024-32865 | exacqVison - TLS certificate validation |
| CVE-2024-33509 | An improper certificate validation vulnerability [CWE-295] in FortiWeb 7.2.0 through 7.2.1, 7.0 all versions, 6.4 all version... |
| CVE-2024-33612 | BIG-IP Next Central Manager vulnerability |
| CVE-2024-35140 | IBM Security Verify Access privilege escalation |
| CVE-2024-37311 | Collabora Online's remote host TLS certificates are not fully verified |
| CVE-2024-3738 | cym1102 nginxWebUI saveCmd handlePath certificate validation |
| CVE-2024-38642 | QuMagie |
| CVE-2024-38861 | Lack of TLS validation in plugin MikroTik on Checkmk Exchange |
| CVE-2024-39312 | Botan has an Authorization Error due to Name Constraint Decoding Bug |
| CVE-2024-40590 | An improper certificate validation vulnerability [CWE-295] in FortiPortal version 7.4.0, version 7.2.4 and below, version 7.0... |
| CVE-2024-4062 | Hualai Xiaofang iSC5 certificate validation |
| CVE-2024-4063 | EZVIZ CS-C6-21WFR-8 Davinci Application certificate validation |
| CVE-2024-40702 | IBM Cognos Controller improper certificate validation |
| CVE-2024-41724 | Improper Certificate Validation (CWE-295) in the Gallagher Command Centre SALTO integration allowed an attacker to spoof the... |
| CVE-2024-42186 | HCL BigFix Patch Download Plug-ins are affected by an insecure protocol support |
| CVE-2024-42193 | HCL BigFix Web Reports is susceptible to a Man-In-The-Middle (MITM) attack |
| CVE-2024-43107 | Improper Certificate Validation (CWE-295) in the Gallagher Milestone Integration Plugin (MIP) permits unauthenticated message... |
| CVE-2024-43177 | IBM Concert improper certificate validation |
| CVE-2024-43201 | Planet Fitness Workouts mobile apps do not properly validate TLS certificates |
| CVE-2024-43550 | Windows Secure Channel Spoofing Vulnerability |
| CVE-2024-45641 | IBM Security ReaQta improper certificate validation |
| CVE-2024-47119 | IBM Storage Defender - Resiliency Service improper certificate validation |
| CVE-2024-47241 | Dell Secure Connect Gateway (SCG) 5.0 Appliance - SRS, version(s) 5.24, contains an Improper Certificate Validation vulnerabi... |
| CVE-2024-47258 | 2N Access Commander version 2.1 and prior is vulnerable in default settings to Man In The Middle attack due to not verifying... |
| CVE-2024-47619 | tranport: TLS host name wildcard matching too lax |
| CVE-2024-4762 | An improper validation vulnerability was reported in the firmware update mechanism of LADM and LDCC that could allow a local... |
| CVE-2024-4786 | An improper validation vulnerability was reported in the Lenovo Tab K10 that could allow a specially crafted application to k... |
| CVE-2024-48865 | QTS, QuTS hero |
| CVE-2024-48915 | Agent Dart missing certificate verification checks |
| CVE-2024-49369 | Icinga 2 has a TLS Certificate Validation Bypass for JSON-RPC and HTTP API Connections |
| CVE-2024-50394 | Helpdesk |
| CVE-2024-52329 | ECOVACS HOME mobile app plugins do not properly validate TLS certificates |
| CVE-2024-52330 | ECOVACS lawnmowers and vacuums do not properly validate TLS certificates |
| CVE-2024-52510 | Nextcloud Desktop client behaves incorrectly if the initial end-to-end-encryption signature is empty |
| CVE-2024-5261 | TLS certificate are not properly verified when utilizing LibreOfficeKit |
| CVE-2024-53846 | ssl fails to validate incorrect extened key usage |
| CVE-2024-54147 | Altair GraphQL Client's desktop app does not validate HTTPS certificates |
| CVE-2024-5445 | Ecosystem Agent Insufficient Transport Layer Security |
| CVE-2024-56521 | An issue was discovered in TCPDF before 6.8.0. If libcurl is used, CURLOPT_SSL_VERIFYHOST and CURLOPT_SSL_VERIFYPEER are set... |
| CVE-2024-5918 | PAN-OS: Improper Certificate Validation Enables Impersonation of a Legitimate GlobalProtect User |
| CVE-2024-5921 | GlobalProtect App: Insufficient Certificate Validation Leads to Privilege Escalation |
| CVE-2024-6001 | An improper certificate validation vulnerability was reported in LADM that could allow a network attacker with the ability to... |
| CVE-2024-6472 | Ability to trust not validated macro signatures removed in high security mode |
| CVE-2024-7206 | Firmware extraction and Hardware SSL Pinning Bypass |
| CVE-2024-7383 | Libnbd: nbd server improper certificate validation |
| CVE-2024-7570 | Improper certificate validation in Ivanti ITSM on-prem and Neurons for ITSM Versions 2023.4 and earlier allows a remote attac... |
| CVE-2024-8007 | Openstack-tripleo-common: rhosp director disables tls verification for registry mirrors |
| CVE-2024-8287 | Anbox Management Service, in versions 1.17.0 through 1.23.0, does not validate the TLS certificate provided to it by the Anbo... |
| CVE-2024-9160 | Security Misconfiguration in Forge module PEADM |
| CVE-2025-0254 | HCL Digital Experience components Ring API and dxclient may be vulnerable to man-in-the-middle (MitM) attacks prior to 9.5 CF... |
| CVE-2025-0500 | Issue affecting Amazon WorkSpaces (when running Amazon DCV protocol), Amazon AppStream 2.0, and Amazon DCV clients |
| CVE-2025-0501 | Issue affecting Amazon WorkSpaces Clients (when running PCoIP protocol) |
| CVE-2025-1001 | Medixant RadiAnt DICOM Viewer Improper Certificate Validation |
| CVE-2025-1002 | MicroDicom DICOM Viewer Improper Certificate Validation |
| CVE-2025-10495 | A potential vulnerability was reported in the Lenovo PC Manager, Lenovo App Store, Lenovo Browser, and Lenovo Legion Zone cli... |
| CVE-2025-10548 | Missing Certificate Validation in CleverControl Installer Allows Remote Code Execution |
| CVE-2025-10699 | A vulnerability was reported in the Lenovo LeCloud client application that, under certain conditions, could allow information... |
| CVE-2025-11619 | Improper certificate validation when connecting to gateways in Devolutions Server 2025.3.2 and earlier allows attackers in Mi... |
| CVE-2025-11633 | Tomofun Furbo 360/Furbo Mini HTTP Traffic collect_logs.sh upload_file_to_s3 certificate validation |
| CVE-2025-11695 | Configuration may unexpectedly disable certificate validation |
| CVE-2025-1193 | Improper host validation in the certificate validation component in Devolutions Remote Desktop Manager on 2024.3.19 and earli... |
| CVE-2025-12047 | A vulnerability was reported in the Lenovo Scanner pro application during an internal security assessment that, under certain... |
| CVE-2025-12943 | Improper certificate validation in firmware update logic in NETGEAR RAX30 and RAXE300 |
| CVE-2025-20126 | Cisco ThousandEyes Endpoint Agent Certificate Validation Vulnerability |
| CVE-2025-20157 | Cisco Catalyst vManage Certificate Validation Vulnerability |
| CVE-2025-20215 | Cisco Webex Meeting Client Join Certificate Validation Vulnerability |
| CVE-2025-2028 | Lack of TLS validation |
| CVE-2025-20670 | In Modem, there is a possible permission bypass due to improper certificate validation. This could lead to remote information... |
| CVE-2025-2183 | GlobalProtect App: Improper Certificate Validation Leads to Privilege Escalation |
| CVE-2025-22486 | File Station 5 |
| CVE-2025-24471 | An Improper Certificate Validation vulnerability [CWE-295] in FortiOS version 7.6.1 and below, version 7.4.7 and below may al... |
| CVE-2025-26478 | Dell ECS version 3.8.1.4 and prior contain an Improper Certificate Validation vulnerability. An unauthenticated attacker with... |
| CVE-2025-29883 | File Station 5 |
| CVE-2025-29884 | File Station 5 |
| CVE-2025-29885 | File Station 5 |
| CVE-2025-30000 | A vulnerability has been identified in Siemens License Server (SLS) (All versions < V4.3). The affected application does not... |
| CVE-2025-30024 | The communication protocol used between client and server had a flaw that could be leveraged to execute a man in the middle a... |
| CVE-2025-30277 | Qsync Central |
| CVE-2025-30278 | Qsync Central |
| CVE-2025-30279 | File Station 5 |
| CVE-2025-30669 | Zoom Workplace Clients - Improper Certificate Validation |
| CVE-2025-3218 | IBM i improper certificate validation |
| CVE-2025-32989 | Gnutls: vulnerability in gnutls sct extension parsing |
| CVE-2025-33031 | File Station 5 |
| CVE-2025-33099 | IBM Concert Software information disclosure |
| CVE-2025-33142 | IBM WebSphere Application Server information disclosure |
| CVE-2025-34066 | AVTECH IP camera, DVR, and NVR Devices Unauthenticated Information Disclosure |
| CVE-2025-34235 | Vasion Print (formerly PrinterLogic) Weak SSL/TLS Certificate Validation RCE |
| CVE-2025-3463 | "This issue is limited to motherboards and does not affect laptops, desktop computers, or other endpoints." An insufficient v... |
| CVE-2025-35434 | CISA Thorium does not validate TLS connections to Elasticsearch |
| CVE-2025-35983 | Improper Certificate Validation (CWE-295) in the Controller 7000 OneLink implementation could allow an unprivileged attacker... |
| CVE-2025-36005 | IBM MQ Operator information disclosure |
| CVE-2025-36041 | IBM MQ improper certificate validation |
| CVE-2025-37730 | Logstash Improper Certificate Validation in TCP output |
| CVE-2025-39205 | A vulnerability exists in the IEC 61850 in MicroSCADA X SYS600 product. The certificate validation of the TLS protocol allows... |
| CVE-2025-40744 | A vulnerability has been identified in Solid Edge SE2025 (All versions < V225.0 Update 11). Affected applications do not prop... |
| CVE-2025-4575 | The x509 application adds trusted use instead of rejected use |
| CVE-2025-46551 | JRuby-OpenSSL has hostname verification disabled by default |
| CVE-2025-46788 | Zoom Workplace for Linux - Improper Certificate Validation |
| CVE-2025-48393 | The server identity check mechanism for firmware upgrade performed via command shell is insecurely implemented potentially al... |
| CVE-2025-48802 | Windows SMB Server Spoofing Vulnerability |
| CVE-2025-5279 | Issue with Amazon Redshift Python Connector and the BrowserAzureOAuth2CredentialsProvider plugin |
| CVE-2025-52919 | In Yealink RPS before 2025-05-26, the certificate upload function does not properly validate certificate content, potentially... |
| CVE-2025-54470 | NeuVector telemetry sender is vulnerable to MITM and DoS |
| CVE-2025-54607 | Authentication management vulnerability in the ArkWeb module. Impact: Successful exploitation of this vulnerability may affec... |
| CVE-2025-54809 | F5 Access for Android vulnerability |
| CVE-2025-55109 | BMC Control-M/Agent default SSL/TLS configuration authenticated bypass |
| CVE-2025-58123 | Lack of TLS validation in plugin BGP Monitoring on Checkmk Exchange |
| CVE-2025-58124 | Lack of TLS validation in plugin check-mk-api on Checkmk Exchange |
| CVE-2025-58125 | Lack of TLS validation in plugin Freebox v6 agent on Checkmk Exchange |
| CVE-2025-58126 | Lack of TLS validation in plugin VMware vSAN on Checkmk Exchange |
| CVE-2025-58127 | Lack of TLS validation in plugin Dell Powerscale on Checkmk Exchange |
| CVE-2025-58781 | WTW-EAGLE App does not properly validate server certificates, which may allow a man-in-the-middle attacker to monitor encrypt... |
| CVE-2025-59347 | Dragonfly Manager makes requests to external endpoints with disabled TLS authentication |
| CVE-2025-59353 | Manager generates mTLS certificates for arbitrary IP addresses |
| CVE-2025-60022 | Improper certificate validation vulnerability exists in 'デジラアプリ' App for iOS prior to ver.80.10.00. If this vulnerabili... |
| CVE-2025-6026 | An improper certificate validation vulnerability was reported in the Lenovo Universal Device Client (UDC) that could allow a... |
| CVE-2025-6032 | Podman: podman missing tls verification |
| CVE-2025-6037 | Vault Certificate Auth Method Did Not Validate Common Name For Non-CA Certificates |
| CVE-2025-61778 | Akka.Remote TLS did not properly implement certificate-based authentication |
| CVE-2025-62371 | OpenSearch Data Prepper plugins trusts all SSL certificates by default |
| CVE-2025-62375 | go-witness Improper Verification of AWS EC2 Identity Documents |
| CVE-2025-64432 | KubeVirt Affected by an Authentication Bypass in Kubernetes Aggregation Layer |
| CVE-2025-65083 | GoSign Desktop through 2.4.1 disables TLS certificate validation when configured to use a proxy server. This can be problemat... |
| CVE-2025-66001 | NeuVector OpenID Connect is vulnerable to man-in-the-middle (MITM) |
| CVE-2025-66491 | Traefik has Inverted TLS Verification Logic in its ingress-nginx Provider |
| CVE-2025-69412 | KDE messagelib before 25.11.90 ignores SSL errors for threatMatches:find in the Google Safe Browsing Lookup API (aka phishing... |
| CVE-2025-7095 | Comodo Internet Security Premium Update certificate validation |
| CVE-2025-71063 | Errands before 46.2.10 does not verify TLS certificates for CalDAV servers. |
| CVE-2025-7390 | Bypass the client certificate trust check of an opc.https server while only secure communication is allowed |
| CVE-2025-7395 | Domain Name Validation Bypass with Apple Native Certificate Validation |
| CVE-2025-8393 | Dreame Technology iOS and Android Mobile Applications Improper Certificate Validation |
| CVE-2025-8476 | Alpine iLX-507 TIDAL Improper Certificate Validation Vulnerability |
| CVE-2025-9708 | Kubernetes C# Client: improper certificate validation in custom CA mode may lead to man-in-the-middle attacks |
| CVE-2025-9785 | Misconfigured certificate validation with self-signed certificates for Print Deploy |
| CVE-2026-22250 | wlc can skip SSL verification |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230512-6 | 12.05.2023 | Обход безопасности в FortiAnalyzer |
| VULN:20231208-10 | 08.12.2023 | Отказ в обслуживании в Dell EMC Enterprise SONiC |
| VULN:20231215-9 | 15.12.2023 | Повышение привилегий в SINEC INS |
| VULN:20240426-14 | 26.04.2024 | Получение конфиденциальной информации в Brocade SANnav |
| VULN:20240828-5 | 28.08.2024 | Получение конфиденциальной информации в Ivanti Neurons for ITSM |
| VULN:20240904-1 | 04.09.2024 | Выполнение произвольного кода в Certifi python-certifi |
| VULN:20250210-6 | 10.02.2025 | Выполнение произвольного кода в Mozilla Firefox, Firefox ESR, Thunderbird и Thunderbird ESR |
| VULN:20250317-77 | 17.03.2025 | Получение конфиденциальной информации в QNAP Helpdesk |
| VULN:20250409-36 | 09.04.2025 | Выполнение произвольного кода в Draytek routers |
| VULN:20250602-9 | 02.06.2025 | Выполнение произвольного кода в Dell PowerScale OneFS |
| VULN:20250618-32 | 18.06.2025 | Потеря целостности в Dell PowerScale OneFS |
| VULN:20251124-20 | 24.11.2025 | Получение конфиденциальной информации в Siemens Solid Edge |
| VULN:20251208-12 | 08.12.2025 | Получение конфиденциальной информации в GL-Inet GL-AXT1800 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.