Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-307
CWE-307: Improper Restriction of Excessive Authentication Attempts
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-01078 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров Schneider Electric Modicon M221, вызванная недостатками процедуры аутентификации, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2018-01629 | Уязвимость утилиты управления функционалом периферийных устройств Logitech Options, позволяющая нарушителю выполнить произвольные команды |
| BDU:2019-01123 | Уязвимость микропрограммного обеспечения коммутаторов Moxa EDS и IKS, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2019-02712 | Уязвимость платформы для хранения и обработки корпоративных данных eDocLib, связанная с возможностью подбора учетных данных, позволяющая нарушителю получить доступ к защищаемой системе |
| BDU:2020-00880 | Уязвимость веб-интерфейса сервера SINEMA Remote Connect, позволяющая нарушителю получить полный доступ к системе |
| BDU:2020-00971 | Уязвимость веб-интерфейса сетевых коммутаторов Belden Hirschmann серий RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS и OCTOPUS, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2020-02725 | Уязвимость микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 (HU250), связанная с некорректным ограничением количества неудачных попыток аутентификации, позволяющая нару... |
| BDU:2020-03276 | Уязвимость веб-приложения устройства сбора и передачи данных ЭКОМ-3000, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute fo... |
| BDU:2020-03999 | Уязвимость микропрограммного обеспечения логических контроллеров Schneider Electric spaceLYnk и Schneider Electric homeLYnk, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2020-04053 | Уязвимость реализации протоколов SSH/Telnet программного обеспечения веб-сервера NPort IAW5000A-I/O Series, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2020-04493 | Уязвимость микропрограммного обеспечения средства обнаружения и предотвращения угроз Juniper Advanced Threat Prevention (JATP ) и vJATP, связана с отсутствием ограничений попыток аутентификации, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2020-04691 | Уязвимость программного обеспечения TrueConf Server, связанная с отсутствием механизма закрытия сессия доступа пользователя, позволяющая нарушителю перехватить сессию пользователя |
| BDU:2020-05821 | Уязвимость приложения для управления программируемыми панелями CmtViewer, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю получить полный доступ к устройству |
| BDU:2021-00173 | Уязвимость программного обеспечения TrueConf, связанная с недостатками механизма ограничения количества попыток авторизации, позволяющая нарушителю заблокировать учетную запись пользователя |
| BDU:2021-00465 | Уязвимость функции восстановления роли хоста программного обеспечения веб-конференцсвязи Cisco Webex Meetings Server и Cisco Webex Meetings, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2021-00844 | Уязвимость микропрограммного обеспечения сетевого маршрутизатора Advantech BB-ERT351, связанная с ошибками аутентификации, позволяющая нарушителю подобрать пароль администратора |
| BDU:2021-02102 | Уязвимость подсистемы BPF функции map_create или check_btf_info ядра операционной системы Linux, позволяющая нарушителю вызвать аварийное завершение работы приложения |
| BDU:2021-02288 | Уязвимость SCADA системы ОИК Диспетчер НТ, связанная с недостатками механизма ограничения количества попыток авторизации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2021-04173 | Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2021-06195 | Уязвимость пакета для управления рассылками электронных писем GNU Mailman, связанная с недостаточным ограничением попыток аутентификации, позволяющая пользователю обойти процедуру аутентификации |
| BDU:2021-06322 | Уязвимость микропрограммного обеспечения Ethernet WISE-4060, Adam-6050 D, Adam.NET Utility, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю получить полный доступ к устройству |
| BDU:2022-02172 | Уязвимость панели разрешений веб-браузера Firefox, почтового клиента Thunderbird, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-03182 | Уязвимость реализации класса core_auth виртуальной обучающей среды Moodle, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2022-03223 | Уязвимость микропрограммного обеспечения модулей станций автоматизации помещений Desigo DXR2, PXC3, PXC4 и PXC5, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю получить несанкционированный доступ к защищаемой инфор... |
| BDU:2022-03252 | Уязвимость SCADA-системы "СКАДА-НЕВА", связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить доступ к учетной записи пользователя |
| BDU:2022-03322 | Уязвимость системы домашней автоматизации Wiser Smart программируемых логических контролеров Schneider Electric Wiser Controller EER21000 и Wiser Controller EER21001, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушите... |
| BDU:2022-04069 | Уязвимость микропрограммного обеспечения Wi-Fi роутеров WS7200-10, связанная с неправильной реализацией алгоритма аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2022-04265 | Уязвимость микропрограммного обеспечения устройства связи и мониторинга Schneider Electric Conext ComBox, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью ата... |
| BDU:2022-04274 | Уязвимость сетевого программного средства для социальных игр и приложений heroiclabs/nakama, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-05080 | Уязвимость контроллера 3D-принтера OctoPrint, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2022-06242 | Уязвимость компонента Telnet программно-аппаратного средства диагностики и аудита компьютерных сетей FortiTester, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2022-06364 | Уязвимость платформы хранения данных Dell EMC XtremIO, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2022-06738 | Уязвимость микропрограммного обеспечения промышленных LTE-модемов серии Moxa OnCell G3150A-LTE, OnCell G3470A-LTE и WDR-3124A и микропрограммного обеспечения беспроводных точек доступа для промышленных систем Moxa AWK-3131A, AWK-4131A, AWK-1131A и AW... |
| BDU:2022-07046 | Уязвимость расширения OATHAuth программного средства для реализации гипертекстовой среды MediaWiki, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2023-00681 | Уязвимость микропрограммного обеспечения программно-аппаратного средства мониторинга и обеспечения безопасности IT-инфраструктуры от реализации физических угроз NetBotz 4, связанная с недостаточным ограничением попыток аутентификации, позволяющая нар... |
| BDU:2023-01326 | Уязвимость средства выявления и принятия мер реагирования на внешние и внутренние угрозы безопасности Fortinet FortiDeceptor, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01327 | Уязвимость системы идентификации FortiAuthenticator, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01478 | Уязвимость средства выявления и принятия мер реагирования на внешние и внутренние угрозы безопасности Fortinet FortiDeceptor, системы идентификации FortiAuthenticator и системы защиты электронной почты FortiMail, связанная с недостаточным ограничение... |
| BDU:2023-03507 | Уязвимость системы управления безопасностью FortiSIEM, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-03598 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud, связанная с неправильным ограничением чрезмерных попыток аутентификации, позволяющая нарушителю скомпрометировать целевую систему |
| BDU:2023-03683 | Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DSL-224, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информац... |
| BDU:2023-04258 | Уязвимость программной платформы ColdFusion, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-04400 | Уязвимость платформы бизнес-аналитики SAP BusinessObjects Business Intelligence, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы"... |
| BDU:2023-05877 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud, связанная с неправильным ограничением чрезмерных попыток аутентификации, позволяющая нарушителю перебрать секретные данные настроенных клиентов OAu... |
| BDU:2023-06335 | Уязвимость комплекса прикладного программирования ПЛК CODESYS Development System, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществлять неограниченное количество попыток ввода пароля |
| BDU:2023-06375 | Уязвимость облачной платформаы управления промышленными устройствами Weincloud, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2023-06928 | Уязвимость реализации прикладного программного интерфейса WebDAV облачного программного обеспечения для создания и использования хранилища данных Nextcloud, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2023-07159 | Уязвимость компонента Memcached облачного программного обеспечения для создания и использования хранилища данных Nextcloud, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07350 | Уязвимость микропрограммного обеспечения цифрового fm-трансмиттера Sielco PolyEco1000, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить полный контроль над системой |
| BDU:2023-08249 | Уязвимость компонента Koko системы аудита безопасности эксплуатации и обслуживания JumpServer, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2023-08462 | Уязвимость веб-интерфейса операционной системы FortiOS, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2024-00030 | Уязвимость микропрограммного обеспечения телетрансляторов EuroTel ETL3100 и EuroTel ETL3100RT, связанная с некорректным ограничением количества неудачных попыток аутентификации, позволяющая нарушителю получить полный доступ |
| BDU:2024-00708 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2024-00711 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю сбросить произвольные пароли |
| BDU:2024-00713 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-01915 | Уязвимость микропрограммного обеспечения устройства дистанционного управления подстанциями Schneider Electric Easergy T200, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2024-02193 | Уязвимость механизма кэширования декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-02194 | Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю обойти ограничения безопасности или вызвать отказ в обслуживании |
| BDU:2024-02870 | Уязвимость программного обеспечения устройства для управления воротами Chamberlain myQ, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой... |
| BDU:2024-03565 | Уязвимость устройства кодирования видео AVerCaster, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-05240 | Уязвимость обработчика SOAP-запросов программного обеспечения "Сервис обновлений", позволяющая нарушителю получить доступ на чтение локальных файлов |
| BDU:2024-05242 | Уязвимость обработчика Web-запросов программного обеспечения "Сервис обновлений", позволяющая нарушителю получить доступ на чтение локальных файлов |
| BDU:2024-05244 | Уязвимость программного обеспечения "Проект-СмартПРО", связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю выполнить атаку методом "грубой силы" (brute force) |
| BDU:2024-05282 | Уязвимость SCADA-системы "ЭНТЕК", связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2024-05312 | Уязвимость операционной системы Juniper Networks Junos OS Evolved, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-05606 | Уязвимость программного обеспечения "Популяционный раковый регистр" и "Госпитальный раковый регистр", связанная со слабыми требованиями к паролям, позволяющая нарушителю повысить свои привилегии и получить доступ к защищенной информации |
| BDU:2024-05645 | Уязвимость SCADA-системы MasterSCADA 4D, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом грубой силы (brute force) |
| BDU:2024-06129 | Уязвимость мобильного приложения для группового обмена сообщениями GroupMe, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-06819 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти ограничения безопасности и выполнить атак... |
| BDU:2024-09090 | Уязвимость программных средств оптимизации производственных процессов Location Intelligence, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю выполнить атаку методом "грубой силы" (brute force) |
| BDU:2024-10352 | Уязвимость сервера Siemens SINEMA Remote Connect, связанная с использованием неверных токенов аутентификации в результате неограниченного распределения ресурсов, вызвать отказ в обслуживании |
| BDU:2024-10353 | Уязвимость компонента Client Communication сервера Siemens SINEMA Remote Connect, позволяющая нарушителю получить зашифрованные учетные данные пользователя |
| BDU:2024-10354 | Уязвимость сервера Siemens SINEMA Remote Connect, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить зашифрованные учетные данные пользователя |
| BDU:2024-10421 | Уязвимость гибридного облачного решения для управления тонкими клиентами Dell Wyse Management Suite, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти механизм защиты |
| BDU:2024-10524 | Уязвимость сервера веб-приложений SAP NetWeaver Java Application Server, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-10780 | Уязвимость механизма аутентификации средства удалённого доступа XRDP, позволяющая нарушителю получить несанкционированный доступ |
| BDU:2024-11306 | Уязвимость программного обеспечения для защиты данных Dell RecoverPoint для виртуальных машин, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-00302 | Уязвимость программного обеспечения для мониторинга производительности и создания отчетов Dell PowerScale InsightIQ, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00826 | Уязвимость консоли сервера для управления программами Fortinet FortiClient Enterprise Management Server (EMS), позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-00892 | Уязвимость программного обеспечения "Популяционный раковый регистр" и "Госпитальный раковый регистр", позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-01130 | Уязвимость SCADA-системы Пульт.онлайн, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-01174 | Уязвимость сервера безопасной аутентификации клиента Secure Client Authentication (SCA) программного обеспечения безопасности голосовых вызовов и обмена сообщениями BlackBerry SecuSUITE, позволяющая нарушителю обойти ограничения безопасности и реализ... |
| BDU:2025-02051 | Уязвимость программных продуктов ООО "НПО "МИР", связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-02537 | Уязвимость платформы защищённого обмена данными MFlash, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить несанкционированный доступ к платформе |
| BDU:2025-05284 | Уязвимость системы тестирования INDIGO, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force - автоматизированного подбора паролей) |
| BDU:2025-05748 | Уязвимость операционной системы FortiOS межсетевого экрана FortiGate 200F, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-05749 | Уязвимость поисковой системы ElasticSearch, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) и повысить свои привилегии |
| BDU:2025-06128 | Уязвимость программного обеспечения видеоконференцсвязи VideoGrace, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-07761 | Уязвимость программного обеспечения Blitz Identity Provider, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю привязать произвольную электронную почту к учетной записи пользователя |
| BDU:2025-07933 | Уязвимость программного обеспечения Blitz Identity Provider, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю зарегистрировать учетную запись с почтой, к которой не имеет доступа и подтвердить ее |
| BDU:2025-08006 | Уязвимость веб-менеджера для управления файлами и каталогами File Browser, связанная с использованием учетных данных по умолчанию, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-08190 | Уязвимость компонента Session Cookie Handler микропрограммного обеспечения Ethernet модулей WISE-4010LAN, WISE-4050LAN, WISE-4060LAN, позволяющая нарушителю подобрать пароли пользователей методом "грубой силы" |
| BDU:2025-09564 | Уязвимость механизма блокировки пользователя платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-09779 | Уязвимость программной платформы управления сетевой инфраструктурой Versa Director, связанная с обходом аутентификации посредством спуфинга, позволяющая нарушителю перенаправить отправку OTP-паролей и получить несанкционированный доступ к системе |
| BDU:2025-09784 | Уязвимость компонента SN Verification Attempt Limits облачной платформы для управления устройствами Yealink YMCS RPS, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-10211 | Уязвимость компонента Password Reset Confirmation Code Handler мобильного приложения для управления смарт-камерами Tenda TDSEE, позволяющая нарушителю получить несанкционированный доступ к защищенной информации |
| BDU:2025-10429 | Уязвимость микропрограммного обеспечения промышленного цифрового газоанализатора MEAC300-FNADE4, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-10430 | Уязвимость менеджера хранения maxView Storage Manager микропрограммного обеспечения промышленного цифрового газоанализатора MEAC300-FNADE4, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-10433 | Уязвимость механизма ввода SMB-сервера микропрограммного обеспечения промышленного цифрового газоанализатора MEAC300-FNADE4, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-11278 | Уязвимость системы управления секретами и шифрованием OpenBao, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-11281 | Уязвимость системы управления секретами и шифрованием OpenBao, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-11545 | Уязвимость программного обеспечения для передачи файлов в мультиплатформенных сетях Sterling Connect:Express, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-11670 | Уязвимость SCADA-системы "ЭНТЕК", связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-13627 | Уязвимость системы телемеханики "АльянсТМ", связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-13737 | Уязвимость программного обеспечения TrueConf Server, связанная недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-14355 | Уязвимость программного обеспечения для управления источниками бесперебойного питания (ИПБ) PowerChute Serial Shutdown, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить несанкционированный доступ к защища... |
| BDU:2025-14572 | Уязвимость программного обеспечения для управления устройствами EPSON WebConfig и EPSON Web Control связана с недостаточным ограничением попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несан... |
| BDU:2025-15971 | Уязвимость программного средства визуализации рабочего состояния ИТ-инфраструктуры предприятия Nagios Fusion, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-16490 | Уязвимость реализации механизма OTP программного обеспечения для проверки личности клиентов KYC Solutions, позволяющая нарушителю получить несанкционированный доступ к учетным записям пользователям |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-5414 | Beckhoff Embedded PC Images and TwinCAT Components Improper Restriction of Excessive Authentication Attempts |
| CVE-2016-9124 | Revive Adserver before 3.2.3 suffers from Improper Restriction of Excessive Authentication Attempts. The login page of Revive... |
| CVE-2017-15887 | An improper restriction of excessive authentication attempts vulnerability in /principals in Synology CardDAV Server before 6... |
| CVE-2017-7898 | An Improper Restriction of Excessive Authentication Attempts issue was discovered in Rockwell Automation Allen-Bradley MicroL... |
| CVE-2017-7915 | An Improper Restriction of Excessive Authentication Attempts issue was discovered in Moxa OnCell G3110-HSPA Version 1.3 build... |
| CVE-2018-14657 | A flaw was found in Keycloak 4.2.1.Final, 4.3.0.Final. When TOPT enabled, an improper implementation of the Brute Force detec... |
| CVE-2018-19021 | A specially crafted script could bypass the authentication of a maintenance port of Emerson DeltaV DCS Versions 11.3.1, 11.3.... |
| CVE-2018-5469 | An Improper Restriction of Excessive Authentication Attempts issue was discovered in Belden Hirschmann RS, RSR, RSB, MACH100,... |
| CVE-2019-0039 | Junos OS: Login credentials are vulnerable to brute force attacks through the REST API |
| CVE-2019-13918 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V2.0 SP1). The web interface has no means... |
| CVE-2019-18235 | Advantech Spectre RT ERT351 Versions 5.1.3 and prior has insufficient login authentication parameters required for the web ap... |
| CVE-2019-18261 | In Omron PLC CS series, all versions, Omron PLC CJ series, all versions, and Omron PLC NJ series, all versions, the software... |
| CVE-2019-3746 | Dell EMC Integrated Data Protection Appliance versions prior to 2.3 do not limit the number of authentication attempts to the... |
| CVE-2019-3766 | Dell EMC ECS versions prior to 3.4.0.0 contain an improper restriction of excessive authentication attempts vulnerability. An... |
| CVE-2019-5035 | An exploitable information disclosure vulnerability exists in the Weave PASE pairing functionality of the Nest Cam IQ Indoor,... |
| CVE-2019-6524 | Moxa IKS and EDS do not implement sufficient measures to prevent multiple failed authentication attempts, which may allow an... |
| CVE-2020-10285 | RVD#3322: Weak authentication implementation make the system vulnerable to a brute-force attack over adjacent networks |
| CVE-2020-11052 | Improper Restriction of Excessive Authentication Attempts in Sorcery |
| CVE-2020-14484 | OpenClinic GA versions 5.09.02 and 5.89.05b may allow an attacker to bypass the system’s account lockout protection, which ma... |
| CVE-2020-15786 | A vulnerability has been identified in SIMATIC HMI Basic Panels 2nd Generation (incl. SIPLUS variants) (All versions < V16),... |
| CVE-2020-1616 | JATP Series: JATP Is susceptible to slow brute force attacks on the SSH service. |
| CVE-2020-25196 | MOXA NPort IAW5000A-I/O Series |
| CVE-2020-28212 | A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists in PLC Simulator on EcoStruxureª Co... |
| CVE-2020-7508 | A CWE-307 Improper Restriction of Excessive Authentication Attempts vulnerability exists in Easergy T300 (Firmware version 1.... |
| CVE-2020-7525 | Improper Restriction of Excessive Authentication Attempts vulnerability exists in all hardware versions of spaceLYnk and Wise... |
| CVE-2020-8202 | Improper check of inputs in Nextcloud Preferred Providers app v1.6.0 allowed to perform a denial of service attack when using... |
| CVE-2021-1311 | Cisco Webex Meetings and Cisco Webex Meetings Server Host Key Brute Forcing Vulnerability |
| CVE-2021-22737 | Insufficiently Protected Credentials vulnerability exists in homeLYnk (Wiser For KNX) and spaceLYnk V2.60 and prior that coul... |
| CVE-2021-22915 | Nextcloud server before 19.0.11, 20.0.10, 21.0.2 is vulnerable to brute force attacks due to lack of inclusion of IPv6 subnet... |
| CVE-2021-25676 | A vulnerability has been identified in RUGGEDCOM RM1224 (V6.3), SCALANCE M-800 (V6.3), SCALANCE S615 (V6.3), SCALANCE SC-600... |
| CVE-2021-32522 | QSAN Storage Manager, XEVO, SANOS - Improper Restriction of Excessive Authentication Attempts |
| CVE-2021-33190 | Bypass network access control |
| CVE-2021-3412 | It was found that all versions of 3Scale developer portal lacked brute force protections. An attacker could use this gap to b... |
| CVE-2021-36284 | Dell BIOS contains an Improper Restriction of Excessive Authentication Attempts vulnerability. A local authenticated maliciou... |
| CVE-2021-36285 | Dell BIOS contains an Improper Restriction of Excessive Authentication Attempts vulnerability. A local authenticated maliciou... |
| CVE-2021-3663 | Improper Restriction of Excessive Authentication Attempts in firefly-iii/firefly-iii |
| CVE-2021-38474 | InHand Networks IR615 Router |
| CVE-2021-41171 | Bypass bruteforce protection on login form in elabftw |
| CVE-2021-41807 | Lack of rate limiting in M-Files Server and M-Files Web products with versions before 21.12.10873.0, allows brute-forcing of... |
| CVE-2021-42544 | Lack of Rate limiting in Authentication in TopEase |
| CVE-2022-2166 | Improper Restriction of Excessive Authentication Attempts in mastodon/mastodon |
| CVE-2022-22553 | Dell EMC AppSync versions 3.9 to 4.3 contain an Improper Restriction of Excessive Authentication Attempts Vulnerability that... |
| CVE-2022-22561 | Dell PowerScale OneFS, versions 8.2.x-9.3.0.x, contain an improper restriction of excessive authentication attempts. An unaut... |
| CVE-2022-22810 | A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could allow an attacker to man... |
| CVE-2022-2321 | Improper Restriction of Excessive Authentication Attempts in heroiclabs/nakama |
| CVE-2022-23746 | The IPsec VPN blade has a dedicated portal for downloading and connecting through SSL Network Extender (SNX). If the portal i... |
| CVE-2022-24044 | A vulnerability has been identified in Desigo DXR2 (All versions < V01.21.142.5-22), Desigo PXC3 (All versions < V01.21.142.4... |
| CVE-2022-2457 | A flaw was found in Red Hat Process Automation Manager 7 where an attacker can benefit from a brute force attack against Admi... |
| CVE-2022-2525 | Improper Restriction of Excessive Authentication Attempts in janeczku/calibre-web |
| CVE-2022-25820 | A vulnerable design in fingerprint matching algorithm prior to SMR Mar-2022 Release 1 allows physical attackers to perform br... |
| CVE-2022-26314 | A vulnerability has been identified in Mendix Forgot Password Appstore module (All versions >= V3.3.0 < V3.5.1), Mendix Forgo... |
| CVE-2022-2650 | Improper Restriction of Excessive Authentication Attempts in wger-project/wger |
| CVE-2022-26519 | Interlogix Hills ComNav Improper Restriction of Excessive Authentication Attempts |
| CVE-2022-2822 | Authentication Bypass by Primary Weakness in octoprint/octoprint |
| CVE-2022-29056 | A improper restriction of excessive authentication attempts vulnerability [CWE-307] in Fortinet FortiMail version 6.4.0, vers... |
| CVE-2022-29084 | Dell Unity, Dell UnityVSA, and Dell Unity XT versions before 5.2.0.0.5.173 do not restrict excessive authentication attempts... |
| CVE-2022-30235 | A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could allow unauthorized acces... |
| CVE-2022-31228 | Dell EMC XtremIO versions prior to X2 6.4.0-22 contain a bruteforce vulnerability. A remote unauthenticated attacker can pote... |
| CVE-2022-31234 | Dell EMC PowerStore, contain(s) an Improper Restriction of Excessive Authentication Attempts Vulnerability in PowerStore Mana... |
| CVE-2022-32515 | A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could cause brute force attack... |
| CVE-2022-32757 | IBM Security Directory Suite VA information disclosure |
| CVE-2022-34389 | Dell SupportAssist contains a rate limit bypass issues in screenmeet API third party component. An unauthenticated attacker... |
| CVE-2022-3741 | Improper Restriction of Excessive Authentication Attempts in chatwoot/chatwoot |
| CVE-2022-39314 | User enumeration in the code-based login and password reset forms |
| CVE-2022-3945 | Improper Restriction of Excessive Authentication Attempts in kareadita/kavita |
| CVE-2022-3993 | Improper Restriction of Excessive Authentication Attempts in kareadita/kavita |
| CVE-2022-42478 | An Improper Restriction of Excessive Authentication Attempts [CWE-307] in FortiSIEM below 7.0.0 may allow a non-privileged us... |
| CVE-2022-43377 | A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could cause account takeo... |
| CVE-2022-43904 | IBM Security Guardium information disclosure |
| CVE-2022-43947 | An improper restriction of excessive authentication attempts vulnerability [CWE-307] in Fortinet FortiOS version 7.2.0 throug... |
| CVE-2022-45790 | Omron FINS memory protection susceptible to bruteforce |
| CVE-2022-4797 | Improper Restriction of Excessive Authentication Attempts in usememos/memos |
| CVE-2023-0574 | Server-Side Request Forgery |
| CVE-2023-0860 | Improper Restriction of Excessive Authentication Attempts in modoboa/modoboa-installer |
| CVE-2023-1101 | SonicOS SSLVPN improper restriction of excessive MFA attempts vulnerability allows an authenticated attacker to use excessive... |
| CVE-2023-1539 | Improper Restriction of Excessive Authentication Attempts in answerdev/answer |
| CVE-2023-1665 | Improper Restriction of Excessive Authentication Attempts in linagora/twake |
| CVE-2023-21709 | Microsoft Exchange Server Elevation of Privilege Vulnerability |
| CVE-2023-23730 | WordPress Spectra – WordPress Gutenberg Blocks plugin <= 2.3.0 - Captcha Bypass Vulnerability |
| CVE-2023-24020 | Snap One Wattbox WB-300-IP-3 versions WB10.9a17 and prior could bypass the brute force protection, allowing multiple attempt... |
| CVE-2023-2531 | Improper Restriction of Excessive Authentication Attempts in azuracast/azuracast |
| CVE-2023-25818 | Missing brute force protection on password reset token in Nextcloud Server |
| CVE-2023-25820 | Nextcloud Server and Enterprise Server missing brute force protection on password confirmation modal |
| CVE-2023-26208 | A improper restriction of excessive authentication attempts vulnerability [CWE-307] in Fortinet FortiAuthenticator 6.4.x and... |
| CVE-2023-26209 | A improper restriction of excessive authentication attempts vulnerability [CWE-307] in Fortinet FortiDeceptor 3.1.x and befor... |
| CVE-2023-26271 | IBM Security Guardium Data Encryption information disclosure |
| CVE-2023-2675 | Improper Restriction of Excessive Authentication Attempts in linagora/twake |
| CVE-2023-28847 | Nextcloud Server missing brute force protection for passwords of password protected share links |
| CVE-2023-29005 | No Rate Limiting on Login AUTH DB |
| CVE-2023-29301 | Adobe ColdFusion Improper Restriction of Excessive Authentication Attempts Security feature bypass |
| CVE-2023-3173 | Improper Restriction of Excessive Authentication Attempts in froxlor/froxlor |
| CVE-2023-32074 | Nextcloud user_oidc app is missing brute force protection |
| CVE-2023-32224 | D-Link DSL-224 firmware version 3.0.10 CWE-307: Improper Restriction of Excessive Authentication Attempts |
| CVE-2023-32251 | Kernel: ksmbd brute force delay bypass via asynchronous requests |
| CVE-2023-32319 | Basic auth header on WebDAV requests is not brute-force protected in Nextcloud |
| CVE-2023-32320 | Nextcloud Server's brute force protection allows someone to send more requests than intended |
| CVE-2023-32657 | Weintek Weincloud Improper Restriction of Excessive Authentication Attempts |
| CVE-2023-33868 | PiiGAB M-Bus Improper Restriction of Excessive Authentication Attempts |
| CVE-2023-34001 | WordPress Hide My WP Ghost – Security Plugin plugin <= 5.0.25 - Captcha Bypass vulnerability |
| CVE-2023-35039 | WordPress Password Reset with Code for WordPress REST API Plugin <= 0.0.15 is vulnerable to Broken Authentication |
| CVE-2023-35172 | Nextcloud Server password reset endpoint is not brute force protected |
| CVE-2023-3548 | IQ Wifi 6 |
| CVE-2023-35697 | Improper Restriction of Excessive Authentication Attempts in the SICK ICR890-4 could allow a remote attacker to brute-force... |
| CVE-2023-3605 | PHPGurukul Online Shopping Portal Registration Page excessive authentication |
| CVE-2023-36434 | Windows IIS Server Elevation of Privilege Vulnerability |
| CVE-2023-3669 | CODESYS: Missing Brute-Force protection in CODESYS Development System |
| CVE-2023-36917 | Password Change rate limit bypass in SAP BusinessObjects Business Intelligence Platform |
| CVE-2023-38273 | IBM Cloud Pak System information disclosure |
| CVE-2023-39958 | Missing brute force protection on password reset token OAuth2 API controller |
| CVE-2023-39960 | Nextcloud Server has improper restriction of excessive authentication attempts on WebDAV endpoint |
| CVE-2023-40706 | Improper Restriction of Excessive Authentication Attempts in OPTO 22 SNAP PAC S1 Built-in Web Server |
| CVE-2023-41270 | Samsung Smart TV UE40D7000 WPS DoS attack |
| CVE-2023-41350 | Chunghwa Telecom NOKIA G-040W-Q - Excessive Authentication Attempts |
| CVE-2023-42480 | Information Disclosure in NetWeaver AS Java Logon |
| CVE-2023-43699 | Improper Restriction of Excessive Authentication Attempts in RDT400 in SICK APU allows an unprivileged remote attacker to gu... |
| CVE-2023-44235 | WordPress WP Captcha plugin <= 2.0.0 - Captcha Bypass vulnerability |
| CVE-2023-45009 | WordPress Captcha for Contact Form 7 plugin <= 1.11.3 - Capcha Bypass vulnerability |
| CVE-2023-45148 | Rate limiter not working reliable when Memcached is installed in Nextcloud |
| CVE-2023-45149 | Password of talk conversations can be bruteforced in Nextcloud |
| CVE-2023-45191 | IBM Engineering Lifecycle Optimization information disclosure |
| CVE-2023-45582 | An improper restriction of excessive authentication attempts vulnerability [CWE-307] in FortiMail webmail version 7.2.0 throu... |
| CVE-2023-46123 | jumpserver is vulnerable to password brute-force protection bypass via arbitrary IP values |
| CVE-2023-4625 | Denial-of-Service(DoS) Vulnerability in Web server function on MELSEC Series CPU module |
| CVE-2023-46745 | Rate limiting Bypass on login page in libreNMS |
| CVE-2023-48276 | WordPress WP Forms Puzzle Captcha plugin <= 4.1 - Captcha Bypass vulnerability |
| CVE-2023-48290 | WordPress Form Maker by 10Web plugin <= 1.15.20 - Captcha Bypass Vulnerability vulnerability |
| CVE-2023-48318 | WordPress Contact Form Email plugin <= 1.3.41 - Captcha Bypass vulnerability |
| CVE-2023-48745 | WordPress Captcha Code plugin <= 2.9 - Captcha Bypass vulnerability |
| CVE-2023-49278 | Umbraco CMS brute force exploit can be used to collect valid usernames |
| CVE-2023-49792 | Bruteforce protection can be bypassed with misconfigured proxy |
| CVE-2023-49810 | A login attempt restriction bypass vulnerability exists in the checkLoginAttempts functionality of WWBN AVideo dev master com... |
| CVE-2023-50326 | IBM PowerSC information Disclosure |
| CVE-2023-5754 | Improper Restriction of Excessive Authentication Attempts in Sielco PolyEco1000 |
| CVE-2023-6272 | Theme My Login 2FA < 1.2 - Lack of Rate Limiting |
| CVE-2023-6756 | Thecosy IceCMS Captcha login excessive authentication |
| CVE-2023-6912 | Brute force vulnerability in M-Files user authentication |
| CVE-2023-6928 | Improper Restriction of Excessive Authentication Attempts |
| CVE-2024-0787 | Improper Restriction of Excessive Authentication Attempts in phpipam/phpipam |
| CVE-2024-1104 | Temporary denial of service during a brute force attack |
| CVE-2024-11126 | Digistar AG-30 Plus Login Page excessive authentication |
| CVE-2024-12039 | Improper Restriction of Excessive Authentication Attempts in langgenius/dify |
| CVE-2024-2051 | CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could cause account takeover an... |
| CVE-2024-21652 | Argo CD vulnerable to Bypassing of Brute Force Protection via Application Crash and In-Memory Data Loss |
| CVE-2024-21662 | Argo CD vulnerable to Bypassing of Rate Limit and Brute Force Protection Using Cache Overflow |
| CVE-2024-22317 | IBM App Connect Enterprise denial of service |
| CVE-2024-22425 | Dell RecoverPoint for Virtual Machines 5.3.x, 6.0.SP1 contains a brute force/dictionary attack vulnerability. An unauthentica... |
| CVE-2024-23106 | An improper restriction of excessive authentication attempts [CWE-307] in FortiClientEMS version 7.2.0 through 7.2.4 and befo... |
| CVE-2024-24767 | CasaOS Improper Restriction of Excessive Authentication Attempts vulnerability |
| CVE-2024-25031 | IBM Storage Defender information disclosure |
| CVE-2024-28022 | A vulnerability exists in the UNEM server / APIGateway that if exploited allows a malicious user to perform an arbitrary numb... |
| CVE-2024-28825 | Brute-force protection ineffective for some login methods |
| CVE-2024-28833 | Missing brute-force protection for two factor authentication |
| CVE-2024-30390 | Junos OS Evolved: Connection limits is not being enforced while the resp. rate limit is being enforced |
| CVE-2024-3102 | JSON Injection in mintplex-labs/anything-llm |
| CVE-2024-3202 | codelyfe Stupid Simple CMS Login Page excessive authentication |
| CVE-2024-32676 | WordPress LoginPress Pro plugin < 3.0.0 - Captcha Bypass vulnerability |
| CVE-2024-32720 | WordPress Appointment Hour Booking plugin <= 1.4.56 - Captcha Bypass vulnerability |
| CVE-2024-32771 | QTS, QuTS hero |
| CVE-2024-32774 | WordPress ProfileGrid plugin <= 5.8.2 - Group Members Limit Bypass vulnerability |
| CVE-2024-32868 | ZITADEL's Improper Lockout Mechanism Leads to MFA Bypass |
| CVE-2024-3461 | KioWare for Windows (versions all through 8.35) allows to brute force the PIN number, which protects the application from bei... |
| CVE-2024-35747 | WordPress Contact Form Builder, Contact Widget plugin <= 2.1.7 - Bypass Vulnerability vulnerability |
| CVE-2024-38176 | GroupMe Elevation of Privilege Vulnerability |
| CVE-2024-38488 | Dell RecoverPoint for Virtual Machines 6.0.x contains a vulnerability. An improper Restriction of Excessive Authentication vu... |
| CVE-2024-39398 | OTP 2FA can be bruteforced |
| CVE-2024-39873 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.2 SP1). The affected application does... |
| CVE-2024-39874 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.2 SP1). The affected application does... |
| CVE-2024-39917 | xrdp allows an ininite number of login attempts |
| CVE-2024-41682 | A vulnerability has been identified in Location Intelligence family (All versions < V4.4). Affected products do not properly... |
| CVE-2024-41904 | A vulnerability has been identified in SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (All versions < V2.0). The affected applic... |
| CVE-2024-42465 | Lack of resources and rate limiting - two factor authentication |
| CVE-2024-42466 | Lack of resources and rate limiting - login |
| CVE-2024-45327 | An improper authorization vulnerability [CWE-285] in FortiSOAR version 7.4.0 through 7.4.3, 7.3.0 through 7.3.2, 7.2.0 throug... |
| CVE-2024-45790 | User Enumeration vulnerability |
| CVE-2024-47088 | User Enumeration vulnerability |
| CVE-2024-47592 | Information Disclosure Vulnerability in SAP NetWeaver Application Server Java (Logon Application) |
| CVE-2024-47656 | User Enumeration vulnerability |
| CVE-2024-49342 | IBM Informix Dynamic Server information disclosure |
| CVE-2024-49597 | Dell Wyse Management Suite, versions WMS 4.4 and prior, contain an Improper Restriction of Excessive Authentication Attempts... |
| CVE-2024-51476 | IBM Concert Software information disclosure |
| CVE-2024-51558 | Brute Force Attack Vulnerability in Wave 2.0 |
| CVE-2024-51720 | Vulnerabilities in SecuSUITE Server Components Impact SecuSUITE |
| CVE-2024-53647 | Trend Micro ID Security, version 3.0 and below contains a vulnerability that could allow an attacker to send an unlimited num... |
| CVE-2024-5682 | User Enumeration in Yordam Information Technology's Yordam Library Automation System |
| CVE-2024-5716 | Logsign Unified SecOps Platform Authentication Bypass Vulnerability |
| CVE-2024-5862 | User Enumeration in Mia Technology's Mia-Med Health Aplication |
| CVE-2024-7292 | Account Controller allows high count of login attempts |
| CVE-2024-8429 | Improper Authentication in Digital Operation Services' WiFiBurada |
| CVE-2024-8462 | Windmill HTTP Request users.rs excessive authentication |
| CVE-2024-9342 | In Eclipse GlassFish version 7.0.16 or earlier it is possible to perform Login Brute Force attacks as there is no limitation... |
| CVE-2024-9832 | No limit on failed login attempts with Clinician Password or Serial Number Clinician Password on Life2000 Ventilator |
| CVE-2024-9928 | A vulnerability exists in NSD570 login panel that does not restrict excessive authentication attempts. If exploited, this cou... |
| CVE-2025-0417 | Valmet DNA Lack of protection against brute force attacks |
| CVE-2025-10161 | Authentication Bypass in Turkguven's Perfektive |
| CVE-2025-10658 | SupportCandy – Helpdesk & Customer Support Ticket System <= 3.3.7 - Authentication Bypass to Support Session Takeover |
| CVE-2025-10761 | Harness Login Endpoint login excessive authentication |
| CVE-2025-10928 | Access code - Moderately critical - Access bypass - SA-CONTRIB-2025-108 |
| CVE-2025-11441 | JhumanJ OpnForm HTTP Header excessive authentication |
| CVE-2025-11566 | CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that would allow an attacker on the l... |
| CVE-2025-12310 | VirtFusion Email Change _settings excessive authentication |
| CVE-2025-12547 | LogicalDOC Community Edition Admin Login login.jsp excessive authentication |
| CVE-2025-12896 | Improper resource management in firmware of some Solidigm DC Products may allow an attacker with local or physical access to... |
| CVE-2025-1496 | Improper Authentication in BG-TEK's Coslat Hotspot |
| CVE-2025-1629 | Excitel Broadband Private my Excitel App One-Time Password excessive authentication |
| CVE-2025-1710 | CVE-2025-1710 |
| CVE-2025-1714 | Username Enumeration in Gliffy |
| CVE-2025-1740 | Authentication Bypass in Akinsoft's MyRezzta |
| CVE-2025-20196 | A vulnerability in the Cisco IOx application hosting environment of Cisco IOS Software and Cisco IOS XE Software could allow... |
| CVE-2025-2171 | Aviatrix Controller versions prior to 7.1.4208, 7.2.5090, and 8.0.0 do not enforce rate limiting on password reset attempts,... |
| CVE-2025-22645 | WordPress Real Estate Manager – Property Listing and Agent Management plugin <= 7.3 - Captcha Bypass Vulnerability vulnerabil... |
| CVE-2025-23368 | Org.wildfly.core:wildfly-elytron-integration: wildfly elytron brute force attack via cli |
| CVE-2025-2411 | OTP Bypass in Akinsoft's TaskPano |
| CVE-2025-2412 | OTP Bypass in Akinsoft's QR Menu |
| CVE-2025-2413 | OTP Bypass in Akinsoft's ProKuafor |
| CVE-2025-2414 | OTP Bypass in Akinsoft's OctoCloud |
| CVE-2025-2415 | OTP Bypass in Akinsoft's MyRezzta |
| CVE-2025-2416 | OTP Bypass in Akinsoft's LimonDesk |
| CVE-2025-2417 | OTP Bypass in Akinsoft's e-Mutabakat |
| CVE-2025-24806 | Regulation applies separately to Username-based logins to Email-based logins in authelia |
| CVE-2025-26862 | PingFederate unexpected browser flow initiation in redirectless mode |
| CVE-2025-27449 | CVE-2025-27449 |
| CVE-2025-27456 | CVE-2025-27456 |
| CVE-2025-2911 | Improper Restriction of Excessive Authentication Attempts vulnerability in MeetMe products |
| CVE-2025-3129 | Access code - Moderately critical - Access bypass - SA-CONTRIB-2025-028 |
| CVE-2025-35041 | Airship AI Acropolis MFA insufficient rate limiting |
| CVE-2025-3555 | ScriptAndTools eCommerce-website-in-PHP login.php excessive authentication |
| CVE-2025-3556 | ScriptAndTools eCommerce-website-in-PHP login.php excessive authentication |
| CVE-2025-36064 | IBM Sterling Connect:Express for Microsoft Windows information disclosure |
| CVE-2025-36758 | Bypass of bruteforce protection in SolaX Cloud |
| CVE-2025-3709 | Flowring Technology Agentflow - Account Lockout Bypass |
| CVE-2025-4094 | Digits < 8.4.6.1 - Auth Bypass via OTP Bruteforcing |
| CVE-2025-42600 | Brute Force Attack Vulnerability in Meon KYC solutions |
| CVE-2025-4383 | Authentication Bypass in Art-In Systems' Wi-Fi Cloud Hotspot |
| CVE-2025-43863 | vantage6 lacks brute-force protection on change password functionality |
| CVE-2025-46414 | EG4 Electronics EG4 Inverters Improper Restriction of Excessive Authentication Attempts |
| CVE-2025-46739 | Improper Restriction of Excessive Authentication Attempts |
| CVE-2025-47951 | Weblate lacks rate limiting when verifying second factor |
| CVE-2025-48014 | Improper Restriction of Excessive Authentication Attempts |
| CVE-2025-48187 | RAGFlow through 0.18.1 allows account takeover because it is possible to conduct successful brute-force attacks against email... |
| CVE-2025-49186 | No brute-force protection |
| CVE-2025-49195 | No protection against brute-force attacks |
| CVE-2025-52916 | Yealink RPS before 2025-06-04 lacks SN verification attempt limits, enabling brute-force enumeration (last five digits). |
| CVE-2025-52997 | File Browser Insecurely Handles Passwords |
| CVE-2025-53544 | Trilium Notes is Vulnerable to Brute-force Protection Bypass via Initial Sync Seed Retrieval |
| CVE-2025-54833 | OPEXUS FOIAXpress Public Access Link (PAL) account-lockout and CAPTCHA protection bypass |
| CVE-2025-54860 | Cognex In-Sight Explorer and In-Sight Camera Firmware Improper Restriction of Excessive Authentication Attempts |
| CVE-2025-54998 | OpenBao Userpass and LDAP User Lockout Bypass |
| CVE-2025-55003 | OpenBao Login MFA Bypasses Rate Limiting and TOTP Token Reuse |
| CVE-2025-57815 | Fides Lacks Brute-Force Protections on Authentication Endpoints |
| CVE-2025-58587 | Improper Restriction of Excessive Authentication Attempts |
| CVE-2025-5864 | Tenda TDSEE App Password Reset Confirmation Code ConfirmSmsCode excessive authentication |
| CVE-2025-59113 | Bruteforce Protection Bypass in Windu CMS |
| CVE-2025-6004 | Vault Userpass and LDAP User Lockout Bypass |
| CVE-2025-6015 | Vault Login MFA Bypass of Rate Limiting and TOTP Code Reuse |
| CVE-2025-6029 | KIA-branded Aftermarket Generic Smart Keyless Entry System Replay Attack |
| CVE-2025-6030 | Autoeastern Smart Keyless Entry System Replay Attack |
| CVE-2025-62257 | Password enumeration vulnerability in Liferay Portal 7.4.0 through 7.4.3.119, and older unsupported versions, and Liferay DXP... |
| CVE-2025-62399 | Moodle: password brute force risk when mobile/web services enabled |
| CVE-2025-64102 | Zitadel allows brute-forcing authentication factors |
| CVE-2025-64310 | EPSON WebConfig and Epson Web Control for SEIKO EPSON Projector Products do not restrict excessive authentication attempts. A... |
| CVE-2025-66204 | WBCE CMS allows brute-force protection bypass using X-Forwarded-For header |
| CVE-2025-66482 | Misskey has a login rate limit bypass via spoofed X-Forwarded-For header |
| CVE-2025-7393 | Mail Login - Critical - Access bypass - SA-CONTRIB-2025-088 |
| CVE-2025-7882 | Mercusys MW301R Login excessive authentication |
| CVE-2025-8118 | Bruteforce Protection Bypass in PAD CMS |
| CVE-2025-8679 | ExtremeGuest Essentials Captive Portal Unauthenticated Brute Force |
| CVE-2025-8742 | macrozheng mall Admin Login excessive authentication |
| CVE-2025-8927 | mtons mblog Verification Code send_code excessive authentication |
| CVE-2025-9004 | mtons mblog password excessive authentication |
| CVE-2025-9551 | Protected Pages - Moderately critical - Access bypass - SA-CONTRIB-2025-101 |
| CVE-2026-22603 | OpenProject has no protection against brute-force attacks in the Change Password function |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20231222-29 | 22.12.2023 | Получение конфиденциальной информации в ETL3100 |
| VULN:20240708-12 | 08.07.2024 | Получение конфиденциальной информации в ICONICS Suite |
| VULN:20240708-22 | 08.07.2024 | Получение конфиденциальной информации в wger |
| VULN:20240719-5 | 19.07.2024 | Выполнение произвольного кода в Кейсистемс "Проект-СмартПРО" |
| VULN:20240719-7 | 19.07.2024 | Чтение локальных файлов в Кейсистемс "Сервис обновлений" |
| VULN:20240719-9 | 19.07.2024 | Чтение локальных файлов в Кейсистемс "Сервис обновлений" |
| VULN:20240729-24 | 29.07.2024 | Получение конфиденциальной информации в Microsoft GroupMe |
| VULN:20241202-126 | 02.12.2024 | Получение конфиденциальной информации в Baxter Life2000 Ventilation System |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.