Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-305
CWE-305: Authentication Bypass by Primary Weakness
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2019-01572 | Уязвимость функции register_hooks() веб-сервера Apache HTTP Server, связанная с возможностью обхода аутентификации, позволяющая нарушителю обойти существующий механизм контроля доступа |
| BDU:2019-02641 | Уязвимость операционной системы Astra Linux, связанная с недостатками механизма блокировки экрана, позволяющая нарушителю осуществить обход окна блокировки |
| BDU:2019-02721 | Уязвимость библиотеки Paramiko операционных систем Oracle Solaris, Ubuntu, Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Virtualization и консоли управления Red Hat Ansible Tower, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-00793 | Уязвимость компонента STARTTLS программного средства для управления идентификацией и доступом Keycloak, связанная с ошибками реализации процедуры аутентификации, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-00794 | Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с ошибками реализации процедуры аутентификации, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-01340 | Уязвимость контроллера домена Samba Active Directory пакета программ для сетевого взаимодействия Samba, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2020-02187 | Уязвимость веб-интерфейса администрирования операционной системы PAN-OS, позволяющая нарушителю получить доступ к устройству |
| BDU:2020-05876 | Уязвимость X-сервера fly-dm, связанная с обходом аутентификации в силу исходной ошибки, позволяющая нарушителю получить доступ к защищаемой информации, нарушить её целостность, а также вызвать отказ в обслуживании |
| BDU:2021-00085 | Уязвимость менеджера окон fly-wm, связанная с обходом аутентификации в силу исходной ошибки, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2021-02221 | Уязвимость функции отложенной аутентификации deferred_auth программного обеспечения OpenVPN, позволяющая нарушителю вынудить сервер вернуть сообщение PUSH_REPLY c данными о настройках VPN до отправки сообщения AUTH_FAILED |
| BDU:2021-02289 | Уязвимость SCADA системы ОИК Диспетчер НТ, связанная с неправильной реализацией алгоритма аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2021-03484 | Уязвимость программного обеспечения для создания частной виртуальной сети astra-openvpn-server, связанная с обходом аутентификации в силу исходной ошибки, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а та... |
| BDU:2022-03036 | Уязвимость реализации протокола OAUTH2 утилиты командной строки cURL, позволяющая нарушителю обойти процесс аутентификации и получить несанкционированный доступ к защищаемой информации |
| BDU:2022-03185 | Уязвимость реализации протоколов TLS и SSH утилиты командной строки cURL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02103 | Уязвимость библиотеки libcurl, связанная с обходом процедуры аутентификации, позволяющая нарушителю повторно использовать неподходящее соединение |
| BDU:2023-02106 | Уязвимость библиотеки libcurl, связанная с повторным использованием FTP-соединения, позволяющая нарушителю использовать неправильные учетные данные при выполнении передачи, что потенциально может привести к раскрытию защищаемой информации |
| BDU:2023-02109 | Уязвимость функции повторного использования соединения библиотеки libcurl, позволяющая нарушителю повлиять на передачу данных krb5/kerberos / negotiate /GSSAPI и потенциально привести к несанкционированному доступу к конфиденциальной информации |
| BDU:2023-02318 | Уязвимость реализации протокола WiFi IEEE 802.11, связанная с возможностью перехвата транслируемых устройством кадров и подмены MAC-адреса цели, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2023-02338 | Уязвимость реализации алгоритма хеширования bcrypt библиотеки для экспорта файлов системы Prometheus Exporter Toolkit, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2023-03869 | Уязвимость инструмента для запуска изолированных контейнеров Runc, связанная с неверным определением символических ссылок перед доступом к файлу, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызва... |
| BDU:2023-04099 | Уязвимость аналитической службы SonicWall Analytics и глобальной системы управления межсетевыми экранами SonicWall Global Management System (GMS), связанная с обходом аутентификации в силу исходной ошибки, позволяющая нарушителю повысить свои привиле... |
| BDU:2023-04158 | Уязвимость микропрограммного обеспечения контроллеров серии ROC800, связанная с обходом аутентификации в силу исходной ошибки, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и вызвать отказ в обслуживании |
| BDU:2023-04288 | Уязвимость аналитической службы SonicWall Analytics и глобальной системы управления межсетевыми экранами SonicWall Global Management System (GMS), позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01890 | Уязвимость программного обеспечения для управления идентификацией OpenEdge Authentication Gateway, связанная с обходом аутентификации в силу исходной ошибки, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-03816 | Уязвимость веб-интерфейса управления микропрограммного обеспечения IP-телефонов Cisco IP Phone 6800, Cisco IP Phone 7800, Cisco IP Phone 8800 и Cisco Video Phone 8875, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-04407 | Уязвимость платформы для развертывания сетей MileSight DeviceHub, связанная с ошибками аутентификации, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-06107 | Уязвимость микропрограммного обеспечения BMC-контроллеров Nuvoton BootBlock серии Nuvoton NPCM7xx, связанная с обходом аутентификации в силу исходной ошибки, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-06148 | Уязвимость многосайтовой системы управления контентом UMI CMS, связанная с возможностью обхода аутентификации, позволяющая нарушителю обойти процесс активации аккаунта |
| BDU:2024-06164 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с обходом аутентификации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-08694 | Уязвимость веб-интерфейса управления микропрограммного обеспечения устройств IP-телефонии Cisco Analog Telephone Adapter (ATA) серии 190, позволяющая нарушителю внести ограниченные изменения в конфигурацию или перезагрузить устройство |
| BDU:2024-09481 | Уязвимость компонента ConsumerPullTransferTokenValidationApiController программного обеспечения для обработки данных и информационных экосистем Eclipse EDC, позволяющая нарушителю обойти проверку на истечение срока действия токена |
| BDU:2025-00037 | Уязвимость интерфейса командной строки (CLI) пакета Skupper программного средства управления и интеграции микросервисов в облачных и гибридных средах Red Hat Service Interconnect, позволяющая нарушителю получить несанкционированный доступ к защищаемо... |
| BDU:2025-00223 | Уязвимость реализации технологии удаленного доступа SSL VPN операционных систем SonicOS, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00342 | Уязвимость пакетов dogtag-pki и pki-core, связанная с обходом аутентификации в силу исходной ошибки, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-01619 | Уязвимость функции pam_sm_authenticate() модуля аутентификации PAM-PKCS11 операционных систем Linux, позволяющая нарушителю обойти процедуру аутентификации и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02941 | Уязвимость платформы автоматизации процессов электронного документооборота Documino, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03886 | Уязвимость реализации алгоритма AWS4-HMAC-SHA256 кроссплатформенного FTP-сервера CrushFTP, позволяющая нарушителю обойти ограничения безопасности, получить доступ к учетной записи администратора и выполнить произвольные команды |
| BDU:2025-07452 | Уязвимость программных средств балансировки и управления соединениями Pgpool-II, связанная с обходом аутентификации в силу исходной ошибки, позволяющая нарушителю обойти ограничения безопасности и получить доступ на чтение, изменение и удаление данны... |
| BDU:2025-08213 | Уязвимость фреймворка распределенной совместной работы операционной системы HarmonyOS, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-14632 | Уязвимость программной системы управления активами предприятия IBM Maximo Asset Managemen, связанная с обходом аутентификации в силу исходной ошибки, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищ... |
| BDU:2026-00103 | Уязвимость веб-менеджера для управления файлами и каталогами File Browser, связанная с обходом аутентификации в силу исходной ошибки, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00125 | Уязвимость платформы управления прикладными программными интерфейсами IBM API Connect, связанная с недостатками механизма аутентификации, позволяющая нарушителю получить несанкционированный доступ к платформе |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2019-0042 | Incorrect messages from Juniper Identity Management Service (JIMS) can trigger Denial of Service or firewall bypass condition... |
| CVE-2019-14833 | A flaw was found in Samba, all versions starting samba 4.5.0 before samba 4.9.15, samba 4.10.10, samba 4.11.2, in the way it... |
| CVE-2019-14909 | A vulnerability was found in Keycloak 7.x where the user federation LDAP bind type is none (LDAP anonymous bind), any passwor... |
| CVE-2019-14910 | A vulnerability was found in keycloak 7.x, when keycloak is configured with LDAP user federation and StartTLS is used instead... |
| CVE-2019-3878 | A vulnerability was found in mod_auth_mellon before v0.14.2. If Apache is configured as a reverse proxy and mod_auth_mellon i... |
| CVE-2020-10123 | The currency dispenser of NCR SelfSev ATMs running APTRA XFS 05.01.00 or earlier does not adequately authenticate session key... |
| CVE-2020-10126 | NCR SelfServ ATMs running APTRA XFS 05.01.00 do not properly validate softare updates for the bunch note acceptor (BNA), enab... |
| CVE-2020-10923 | This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of NETGEAR R6700 V1.0... |
| CVE-2020-11012 | Authentication bypass MinIO Admin API |
| CVE-2020-14359 | A vulnerability was found in all versions of Keycloak Gatekeeper, where on using lower case HTTP headers (via cURL) an attack... |
| CVE-2020-15077 | OpenVPN Access Server 2.8.7 and earlier versions allows a remote attackers to bypass authentication and access control channe... |
| CVE-2020-15078 | OpenVPN 2.5.1 and earlier versions allows a remote attackers to bypass authentication and access control channel data on serv... |
| CVE-2020-15787 | A vulnerability has been identified in SIMATIC HMI Unified Comfort Panels (All versions <= V16). Affected devices insufficien... |
| CVE-2020-24683 | Authentication Bypass in Symphony Plus |
| CVE-2021-21403 | Authentication Bypass by Primary Weakness in github.com/kongchuanhujiao/server |
| CVE-2021-26102 | A relative path traversal vulnerability (CWE-23) in FortiWAN version 4.5.7 and below, 4.4 all versions may allow a remote non... |
| CVE-2021-26726 | Remote code execution in Valmet DNA before Collection 2021 |
| CVE-2021-28503 | In Arista's EOS software affected releases, eAPI might skip re-evaluating user credentials when certificate based authenticat... |
| CVE-2021-3547 | OpenVPN 3 Core Library version 3.6 and 3.6.1 allows a man-in-the-middle attacker to bypass the certificate authentication by... |
| CVE-2021-3850 | Authentication Bypass by Primary Weakness in adodb/adodb |
| CVE-2021-43175 | The GOautodial API prior to commit 3c3a979 made on October 13th, 2021 exposes an API router that accepts a username, password... |
| CVE-2021-45031 | Weak Authentication in Login Function of USC+ |
| CVE-2022-0451 | Auth bypass in Dark SDK |
| CVE-2022-0547 | OpenVPN 2.1 until v2.4.12 and v2.5.6 may enable authentication bypass in external authentication plug-ins when more than one... |
| CVE-2022-23729 | When the device is in factory state, it can be access the shell without adb authentication process. The LG ID is LVE-SMP-2100... |
| CVE-2022-2651 | Authentication Bypass by Primary Weakness in bookwyrm-social/bookwyrm |
| CVE-2022-3100 | A flaw was found in the openstack-barbican component. This issue allows an access policy bypass via a query string when acces... |
| CVE-2022-38064 | windowmanager in window subsystem has a permission bypass vulnerability. Local attackers can bypass permission control and ge... |
| CVE-2022-38081 | Tokensync in security subsystem has a permission bypass vulnerability. LAN attackers can bypass the distributed permission co... |
| CVE-2022-38700 | multimedia subsystem has a permission bypass vulnerability. LAN attackers can bypass permission control and get control of ca... |
| CVE-2022-39245 | Mist vulnerable to user providing a Sudo binary for authentication checks |
| CVE-2022-40723 | Configuration-based MFA Bypass in PingID RADIUS PCV. |
| CVE-2022-4722 | Authentication Bypass by Primary Weakness in ikus060/rdiffweb |
| CVE-2022-48470 | Huawei HiLink AI Life product has an identity authentication bypass vulnerability. Successful exploitation of this vulnerabil... |
| CVE-2023-0777 | Authentication Bypass by Primary Weakness in modoboa/modoboa |
| CVE-2023-1307 | Authentication Bypass by Primary Weakness in froxlor/froxlor |
| CVE-2023-1833 | Authentication Bypass in Redline Router |
| CVE-2023-20154 | Cisco Modeling Labs External Authentication Bypass Vulnerability |
| CVE-2023-27535 | An authentication bypass vulnerability exists in libcurl <8.0.0 in the FTP connection reuse feature that can result in wrong... |
| CVE-2023-27536 | An authentication bypass vulnerability exists libcurl <8.0.0 in the connection reuse feature which can reuse previously estab... |
| CVE-2023-27538 | An authentication bypass vulnerability exists in libcurl prior to v8.0.0 where it reuses a previously established SSH connect... |
| CVE-2023-27582 | Full authentication bypass if SASL authorization username is specified |
| CVE-2023-28126 | An authentication bypass vulnerability exists in Avalanche versions 6.3.x and below that could allow an attacker to gain acce... |
| CVE-2023-2959 | Authentication Bypass by Primary Weakness in Oliva Expertise |
| CVE-2023-34124 | The authentication mechanism in SonicWall GMS and Analytics Web Services had insufficient checks, allowing authentication byp... |
| CVE-2023-34137 | SonicWall GMS and Analytics CAS Web Services application use static values for authentication without proper checks leading t... |
| CVE-2023-36497 | Dover Fueling Solutions MAGLINK LX Web Console Authentication Bypass by Primary Weakness |
| CVE-2023-41920 | Authentication Bypass by Primary Weakness in Kiloview P1/P2 devices |
| CVE-2023-4501 | Authentication bypass in OpenText (Micro Focus) Enterprise Server |
| CVE-2023-46611 | WordPress YOP Poll plugin <= 6.5.28 - Vote Manipulation Due to Broken Captcha Control Vulnerability |
| CVE-2023-4727 | Ca: token authentication bypass vulnerability |
| CVE-2023-4898 | Authentication Bypass by Primary Weakness in mintplex-labs/anything-llm |
| CVE-2023-6153 | Authentication Bypass in TeoSOFT Software TeoBASE |
| CVE-2023-6998 | Lockscreen bypass in eWeLink App |
| CVE-2023-7103 | Authentication Bypass in ZKSoftware's UFace 5 |
| CVE-2024-10082 | CodeChecker is an analyzer tooling, defect database and viewer extension for the Clang Static Analyzer and Clang Tidy. Authe... |
| CVE-2024-1202 | Authentication Bypass in XPodas' Octopod |
| CVE-2024-12054 | ZF Roll Stability Support Plus (RSSPlus) Authentication Bypass By Primary Weakness |
| CVE-2024-12582 | Skupper: skupper-cli: flawed authentication method may lead to arbitrary file read or denial of service |
| CVE-2024-12776 | Authentication Bypass in langgenius/dify |
| CVE-2024-12802 | SSL-VPN MFA Bypass in SonicWALL SSL-VPN can arise in specific cases due to the separate handling of UPN (User Principal Name)... |
| CVE-2024-1403 | Authentication Bypass in OpenEdge Authentication Gateway and AdminServer |
| CVE-2024-20378 | A vulnerability in the web-based management interface of Cisco IP Phone firmware could allow an unauthenticated, remote attac... |
| CVE-2024-20463 | Cisco ATA 190 Series Analog Telephone Adapter Firmware Command Injection and Denial of Service Vulnerability |
| CVE-2024-20674 | Windows Kerberos Security Feature Bypass Vulnerability |
| CVE-2024-34077 | MantisBT user account takeover in the signup/reset password process |
| CVE-2024-36388 | MileSight DeviceHub - CWE-305 Missing Authentication for Critical Function |
| CVE-2024-38433 | Nuvoton - CWE-305: Authentication Bypass by Primary Weakness |
| CVE-2024-39899 | PrivateBin allows shortening of URLs for other domains |
| CVE-2024-4784 | Authentication Bypass by Primary Weakness in GitLab |
| CVE-2024-50478 | WordPress 1-Click Login: Passwordless Authentication plugin 1.4.5 - Broken Authentication vulnerability |
| CVE-2024-51738 | Sunshine improperly enforces pairing protocol request order |
| CVE-2024-5956 | This vulnerability allows unauthenticated remote attackers to bypass authentication and gain partial data access to the vulne... |
| CVE-2024-5957 | This vulnerability allows unauthenticated remote attackers to bypass authentication and gain APIs access of the Manager. |
| CVE-2024-6637 | WooCommerce - Social Login <= 2.7.3 - Unauthenticated Privilege Escalation via One-Time Password |
| CVE-2024-8642 | Eclipse EDC: Consumer pull transfer token validation checks not applied |
| CVE-2024-9683 | Quay: quay allows successful authentication with trucated version of the password |
| CVE-2025-1880 | i-Drive i11/i12 Device Pairing authentication bypass |
| CVE-2025-23017 | WorkOS Hosted AuthKit before 2025-01-07 allows a password authentication MFA bypass (by enrolling a new authentication factor... |
| CVE-2025-24522 | KUNBUS Revolution Pi Authentication Bypass by Primary Weakness |
| CVE-2025-27370 | OpenID Connect Core through 1.0 errata set 2 allows audience injection in certain situations. When the private_key_jwt authen... |
| CVE-2025-27371 | In certain IETF OAuth 2.0-related specifications, when the JSON Web Token Profile for OAuth 2.0 Client Authentication mechani... |
| CVE-2025-31161 | CrushFTP 10 before 10.8.4 and 11 before 11.3.1 allows authentication bypass and takeover of the crushadmin account (unless a... |
| CVE-2025-31965 | HCL BigFix Remote Control is affected by an authorization bypass vulnerability |
| CVE-2025-32011 | KUNBUS Revolution Pi Authentication Bypass by Primary Weakness |
| CVE-2025-36386 | There is a vulnerability in the IBM Maximo Manage application in IBM Maximo Application Suite for Cognos Analytics |
| CVE-2025-3757 | Authentication Bypass in OpenPubKey |
| CVE-2025-41450 | Authentication bypass with privileged access in Danfoss AK-SM 8xxA Series prior to version 4.2 |
| CVE-2025-4658 | Authentication Bypass in OPKSSH |
| CVE-2025-46750 | Authentication Bypass |
| CVE-2025-46801 | Pgpool-II provided by PgPool Global Development Group contains an authentication bypass by primary weakness vulnerability. if... |
| CVE-2025-47776 | MantisBT: Authentication bypass for some passwords due to PHP type juggling |
| CVE-2025-52996 | File Browser's Password Protection of Links Vulnerable to Bypass |
| CVE-2025-53167 | Authentication vulnerability in the distributed collaboration framework module Impact: Successful exploitation of this vulner... |
| CVE-2025-53534 | RatPanel can perform remote command execution without authorization |
| CVE-2025-53826 | FileBrowser Has Insecure JWT Handling Which Allows Session Replay Attacks after Logout |
| CVE-2025-54622 | Binding authentication bypass vulnerability in the devicemanager module. Impact: Successful exploitation of this vulnerabilit... |
| CVE-2025-59941 | go-f3 is Vulnerable to Cached Justification Verification Bypass |
| CVE-2025-59980 | Junos OS: When a user with the name ftp or anonymous is configured unauthenticated filesystem access is allowed |
| CVE-2025-62772 | On Mercku M6a devices through 2.1.0, session tokens remain valid for at least months in some cases. |
| CVE-2025-68435 | Zerobyte has Authentication Bypass by Primary Weakness |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230724-33 | 24.07.2023 | Выполнение произвольного кода в SonicWall GMS и Analytics |
| VULN:20240503-2 | 03.05.2024 | Получение конфиденциальной информации в IP Phone 6800 Series with Multiplatform Firmware |
| VULN:20250127-28 | 27.01.2025 | Обход безопасности в SonicWall SonicOS |
| VULN:20250618-90 | 18.06.2025 | Обход безопасности в Pgpool-II |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.