Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-307
Improper Restriction of Excessive Authentication Attempts
The product does not implement sufficient measures to prevent multiple failed authentication attempts within a short time frame.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-01078 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров Schneider Electric Modicon M221, вызванная недостатками процедуры аутентификации, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2018-01629 | Уязвимость утилиты управления функционалом периферийных устройств Logitech Options, позволяющая нарушителю выполнить произвольные команды |
| BDU:2019-01123 | Уязвимость микропрограммного обеспечения коммутаторов Moxa EDS и IKS, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2019-02712 | Уязвимость платформы для хранения и обработки корпоративных данных eDocLib, связанная с возможностью подбора учетных данных, позволяющая нарушителю получить доступ к защищаемой системе |
| BDU:2020-00880 | Уязвимость веб-интерфейса сервера SINEMA Remote Connect, позволяющая нарушителю получить полный доступ к системе |
| BDU:2020-00971 | Уязвимость веб-интерфейса сетевых коммутаторов Belden Hirschmann серий RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS и OCTOPUS, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2020-02725 | Уязвимость микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 (HU250), связанная с некорректным ограничением количества неудачных попыток аутентификации, позволяющая нару... |
| BDU:2020-03276 | Уязвимость веб-приложения устройства сбора и передачи данных ЭКОМ-3000, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute fo... |
| BDU:2020-03999 | Уязвимость микропрограммного обеспечения логических контроллеров Schneider Electric spaceLYnk и Schneider Electric homeLYnk, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2020-04053 | Уязвимость реализации протоколов SSH/Telnet программного обеспечения веб-сервера NPort IAW5000A-I/O Series, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2020-04493 | Уязвимость микропрограммного обеспечения средства обнаружения и предотвращения угроз Juniper Advanced Threat Prevention (JATP ) и vJATP, связана с отсутствием ограничений попыток аутентификации, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2020-04691 | Уязвимость программного обеспечения TrueConf Server, связанная с отсутствием механизма закрытия сессия доступа пользователя, позволяющая нарушителю перехватить сессию пользователя |
| BDU:2020-05821 | Уязвимость приложения для управления программируемыми панелями CmtViewer, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю получить полный доступ к устройству |
| BDU:2021-00173 | Уязвимость программного обеспечения TrueConf, связанная с недостатками механизма ограничения количества попыток авторизации, позволяющая нарушителю заблокировать учетную запись пользователя |
| BDU:2021-00465 | Уязвимость функции восстановления роли хоста программного обеспечения веб-конференцсвязи Cisco Webex Meetings Server и Cisco Webex Meetings, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2021-00844 | Уязвимость микропрограммного обеспечения сетевого маршрутизатора Advantech BB-ERT351, связанная с ошибками аутентификации, позволяющая нарушителю подобрать пароль администратора |
| BDU:2021-02102 | Уязвимость подсистемы BPF функции map_create или check_btf_info ядра операционной системы Linux, позволяющая нарушителю вызвать аварийное завершение работы приложения |
| BDU:2021-02288 | Уязвимость SCADA системы ОИК Диспетчер НТ, связанная с недостатками механизма ограничения количества попыток авторизации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2021-04173 | Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2021-06195 | Уязвимость пакета для управления рассылками электронных писем GNU Mailman, связанная с недостаточным ограничением попыток аутентификации, позволяющая пользователю обойти процедуру аутентификации |
| BDU:2021-06322 | Уязвимость микропрограммного обеспечения Ethernet WISE-4060, Adam-6050 D, Adam.NET Utility, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю получить полный доступ к устройству |
| BDU:2022-02172 | Уязвимость панели разрешений веб-браузера Firefox, почтового клиента Thunderbird, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-03182 | Уязвимость реализации класса core_auth виртуальной обучающей среды Moodle, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2022-03223 | Уязвимость микропрограммного обеспечения модулей станций автоматизации помещений Desigo DXR2, PXC3, PXC4 и PXC5, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю получить несанкционированный доступ к защищаемой инфор... |
| BDU:2022-03252 | Уязвимость SCADA-системы "СКАДА-НЕВА", связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить доступ к учетной записи пользователя |
| BDU:2022-03322 | Уязвимость системы домашней автоматизации Wiser Smart программируемых логических контролеров Schneider Electric Wiser Controller EER21000 и Wiser Controller EER21001, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушите... |
| BDU:2022-04069 | Уязвимость микропрограммного обеспечения Wi-Fi роутеров WS7200-10, связанная с неправильной реализацией алгоритма аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2022-04265 | Уязвимость микропрограммного обеспечения устройства связи и мониторинга Schneider Electric Conext ComBox, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью ата... |
| BDU:2022-04274 | Уязвимость сетевого программного средства для социальных игр и приложений heroiclabs/nakama, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-05080 | Уязвимость контроллера 3D-принтера OctoPrint, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2022-06242 | Уязвимость компонента Telnet программно-аппаратного средства диагностики и аудита компьютерных сетей FortiTester, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2022-06364 | Уязвимость платформы хранения данных Dell EMC XtremIO, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2022-06738 | Уязвимость микропрограммного обеспечения промышленных LTE-модемов серии Moxa OnCell G3150A-LTE, OnCell G3470A-LTE и WDR-3124A и микропрограммного обеспечения беспроводных точек доступа для промышленных систем Moxa AWK-3131A, AWK-4131A, AWK-1131A и AW... |
| BDU:2022-07046 | Уязвимость расширения OATHAuth программного средства для реализации гипертекстовой среды MediaWiki, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2023-00681 | Уязвимость микропрограммного обеспечения программно-аппаратного средства мониторинга и обеспечения безопасности IT-инфраструктуры от реализации физических угроз NetBotz 4, связанная с недостаточным ограничением попыток аутентификации, позволяющая нар... |
| BDU:2023-01326 | Уязвимость средства выявления и принятия мер реагирования на внешние и внутренние угрозы безопасности Fortinet FortiDeceptor, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01327 | Уязвимость системы идентификации FortiAuthenticator, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01478 | Уязвимость средства выявления и принятия мер реагирования на внешние и внутренние угрозы безопасности Fortinet FortiDeceptor, системы идентификации FortiAuthenticator и системы защиты электронной почты FortiMail, связанная с недостаточным ограничение... |
| BDU:2023-03507 | Уязвимость системы управления безопасностью FortiSIEM, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-03598 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud, связанная с неправильным ограничением чрезмерных попыток аутентификации, позволяющая нарушителю скомпрометировать целевую систему |
| BDU:2023-03683 | Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DSL-224, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информац... |
| BDU:2023-04258 | Уязвимость программной платформы ColdFusion, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-04400 | Уязвимость платформы бизнес-аналитики SAP BusinessObjects Business Intelligence, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы"... |
| BDU:2023-05877 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud, связанная с неправильным ограничением чрезмерных попыток аутентификации, позволяющая нарушителю перебрать секретные данные настроенных клиентов OAu... |
| BDU:2023-06335 | Уязвимость комплекса прикладного программирования ПЛК CODESYS Development System, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществлять неограниченное количество попыток ввода пароля |
| BDU:2023-06375 | Уязвимость облачной платформаы управления промышленными устройствами Weincloud, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2023-06928 | Уязвимость реализации прикладного программного интерфейса WebDAV облачного программного обеспечения для создания и использования хранилища данных Nextcloud, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2023-07159 | Уязвимость компонента Memcached облачного программного обеспечения для создания и использования хранилища данных Nextcloud, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-07350 | Уязвимость микропрограммного обеспечения цифрового fm-трансмиттера Sielco PolyEco1000, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить полный контроль над системой |
| BDU:2023-08249 | Уязвимость компонента Koko системы аудита безопасности эксплуатации и обслуживания JumpServer, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2023-08462 | Уязвимость веб-интерфейса операционной системы FortiOS, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2024-00030 | Уязвимость микропрограммного обеспечения телетрансляторов EuroTel ETL3100 и EuroTel ETL3100RT, связанная с некорректным ограничением количества неудачных попыток аутентификации, позволяющая нарушителю получить полный доступ |
| BDU:2024-00708 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2024-00711 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю сбросить произвольные пароли |
| BDU:2024-00713 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-01915 | Уязвимость микропрограммного обеспечения устройства дистанционного управления подстанциями Schneider Electric Easergy T200, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2024-02193 | Уязвимость механизма кэширования декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-02194 | Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю обойти ограничения безопасности или вызвать отказ в обслуживании |
| BDU:2024-02870 | Уязвимость программного обеспечения устройства для управления воротами Chamberlain myQ, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой... |
| BDU:2024-03565 | Уязвимость устройства кодирования видео AVerCaster, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-05240 | Уязвимость обработчика SOAP-запросов программного обеспечения "Сервис обновлений", позволяющая нарушителю получить доступ на чтение локальных файлов |
| BDU:2024-05242 | Уязвимость обработчика Web-запросов программного обеспечения "Сервис обновлений", позволяющая нарушителю получить доступ на чтение локальных файлов |
| BDU:2024-05244 | Уязвимость программного обеспечения "Проект-СмартПРО", связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю выполнить атаку методом "грубой силы" (brute force) |
| BDU:2024-05282 | Уязвимость SCADA-системы "ЭНТЕК", связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2024-05312 | Уязвимость операционной системы Juniper Networks Junos OS Evolved, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-05606 | Уязвимость программного обеспечения "Популяционный раковый регистр" и "Госпитальный раковый регистр", связанная со слабыми требованиями к паролям, позволяющая нарушителю повысить свои привилегии и получить доступ к защищенной информации |
| BDU:2024-05645 | Уязвимость SCADA-системы MasterSCADA 4D, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом грубой силы (brute force) |
| BDU:2024-06129 | Уязвимость мобильного приложения для группового обмена сообщениями GroupMe, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-06819 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти ограничения безопасности и выполнить атак... |
| BDU:2024-09090 | Уязвимость программных средств оптимизации производственных процессов Location Intelligence, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю выполнить атаку методом "грубой силы" (brute force) |
| BDU:2024-10352 | Уязвимость сервера Siemens SINEMA Remote Connect, связанная с использованием неверных токенов аутентификации в результате неограниченного распределения ресурсов, вызвать отказ в обслуживании |
| BDU:2024-10353 | Уязвимость компонента Client Communication сервера Siemens SINEMA Remote Connect, позволяющая нарушителю получить зашифрованные учетные данные пользователя |
| BDU:2024-10354 | Уязвимость сервера Siemens SINEMA Remote Connect, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить зашифрованные учетные данные пользователя |
| BDU:2024-10421 | Уязвимость гибридного облачного решения для управления тонкими клиентами Dell Wyse Management Suite, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти механизм защиты |
| BDU:2024-10524 | Уязвимость сервера веб-приложений SAP NetWeaver Java Application Server, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-10780 | Уязвимость механизма аутентификации средства удалённого доступа XRDP, позволяющая нарушителю получить несанкционированный доступ |
| BDU:2024-11306 | Уязвимость программного обеспечения для защиты данных Dell RecoverPoint для виртуальных машин, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-00302 | Уязвимость программного обеспечения для мониторинга производительности и создания отчетов Dell PowerScale InsightIQ, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00826 | Уязвимость консоли сервера для управления программами Fortinet FortiClient Enterprise Management Server (EMS), позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-00892 | Уязвимость программного обеспечения "Популяционный раковый регистр" и "Госпитальный раковый регистр", позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-01130 | Уязвимость SCADA-системы Пульт.онлайн, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-01174 | Уязвимость сервера безопасной аутентификации клиента Secure Client Authentication (SCA) программного обеспечения безопасности голосовых вызовов и обмена сообщениями BlackBerry SecuSUITE, позволяющая нарушителю обойти ограничения безопасности и реализ... |
| BDU:2025-02051 | Уязвимость программных продуктов ООО "НПО "МИР", связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-02537 | Уязвимость платформы защищённого обмена данными MFlash, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить несанкционированный доступ к платформе |
| BDU:2025-05284 | Уязвимость системы тестирования INDIGO, связанная с отсутствием ограничений попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force - автоматизированного подбора паролей) |
| BDU:2025-05748 | Уязвимость операционной системы FortiOS межсетевого экрана FortiGate 200F, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-05749 | Уязвимость поисковой системы ElasticSearch, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) и повысить свои привилегии |
| BDU:2025-06128 | Уязвимость программного обеспечения видеоконференцсвязи VideoGrace, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-07761 | Уязвимость программного обеспечения Blitz Identity Provider, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю привязать произвольную электронную почту к учетной записи пользователя |
| BDU:2025-07933 | Уязвимость программного обеспечения Blitz Identity Provider, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю зарегистрировать учетную запись с почтой, к которой не имеет доступа и подтвердить ее |
| BDU:2025-08006 | Уязвимость веб-менеджера для управления файлами и каталогами File Browser, связанная с использованием учетных данных по умолчанию, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-08190 | Уязвимость компонента Session Cookie Handler микропрограммного обеспечения Ethernet модулей WISE-4010LAN, WISE-4050LAN, WISE-4060LAN, позволяющая нарушителю подобрать пароли пользователей методом "грубой силы" |
| BDU:2025-09564 | Уязвимость механизма блокировки пользователя платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-09779 | Уязвимость программной платформы управления сетевой инфраструктурой Versa Director, связанная с обходом аутентификации посредством спуфинга, позволяющая нарушителю перенаправить отправку OTP-паролей и получить несанкционированный доступ к системе |
| BDU:2025-09784 | Уязвимость компонента SN Verification Attempt Limits облачной платформы для управления устройствами Yealink YMCS RPS, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-10211 | Уязвимость компонента Password Reset Confirmation Code Handler мобильного приложения для управления смарт-камерами Tenda TDSEE, позволяющая нарушителю получить несанкционированный доступ к защищенной информации |
| BDU:2025-10429 | Уязвимость микропрограммного обеспечения промышленного цифрового газоанализатора MEAC300-FNADE4, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-10430 | Уязвимость менеджера хранения maxView Storage Manager микропрограммного обеспечения промышленного цифрового газоанализатора MEAC300-FNADE4, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-10433 | Уязвимость механизма ввода SMB-сервера микропрограммного обеспечения промышленного цифрового газоанализатора MEAC300-FNADE4, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-11278 | Уязвимость системы управления секретами и шифрованием OpenBao, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-11281 | Уязвимость системы управления секретами и шифрованием OpenBao, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-11545 | Уязвимость программного обеспечения для передачи файлов в мультиплатформенных сетях Sterling Connect:Express, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-11670 | Уязвимость SCADA-системы "ЭНТЕК", связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-13627 | Уязвимость системы телемеханики "АльянсТМ", связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-13737 | Уязвимость программного обеспечения TrueConf Server, связанная недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-14355 | Уязвимость программного обеспечения для управления источниками бесперебойного питания (ИПБ) PowerChute Serial Shutdown, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить несанкционированный доступ к защища... |
| BDU:2025-14572 | Уязвимость программного обеспечения для управления устройствами EPSON WebConfig и EPSON Web Control связана с недостаточным ограничением попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несан... |
| BDU:2025-15971 | Уязвимость программного средства визуализации рабочего состояния ИТ-инфраструктуры предприятия Nagios Fusion, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-16490 | Уязвимость реализации механизма OTP программного обеспечения для проверки личности клиентов KYC Solutions, позволяющая нарушителю получить несанкционированный доступ к учетным записям пользователям |
| BDU:2026-00647 | Уязвимость операционной системы Dell PowerScale OneFS, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00937 | Уязвимость микропрограммного обеспечения беспроводных Wi-Fi маршрутизаторов Tenda W30E, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2026-01122 | Уязвимость функции sub_40AC74() микропрограммного обеспечения маршрутизаторов D-link DIR-823X, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-5414 | Beckhoff Embedded PC Images and TwinCAT Components Improper Restriction of Excessive Authentication Attempts |
| CVE-2016-9124 | Revive Adserver before 3.2.3 suffers from Improper Restriction of Excessive Authentication Attempts. The login page of Revive... |
| CVE-2017-15887 | An improper restriction of excessive authentication attempts vulnerability in /principals in Synology CardDAV Server before 6... |
| CVE-2017-7898 | An Improper Restriction of Excessive Authentication Attempts issue was discovered in Rockwell Automation Allen-Bradley MicroL... |
| CVE-2017-7915 | An Improper Restriction of Excessive Authentication Attempts issue was discovered in Moxa OnCell G3110-HSPA Version 1.3 build... |
| CVE-2018-14657 | A flaw was found in Keycloak 4.2.1.Final, 4.3.0.Final. When TOPT enabled, an improper implementation of the Brute Force detec... |
| CVE-2018-19021 | A specially crafted script could bypass the authentication of a maintenance port of Emerson DeltaV DCS Versions 11.3.1, 11.3.... |
| CVE-2018-5469 | An Improper Restriction of Excessive Authentication Attempts issue was discovered in Belden Hirschmann RS, RSR, RSB, MACH100,... |
| CVE-2019-0039 | Junos OS: Login credentials are vulnerable to brute force attacks through the REST API |
| CVE-2019-13918 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V2.0 SP1). The web interface has no means... |
| CVE-2019-18235 | Advantech Spectre RT ERT351 Versions 5.1.3 and prior has insufficient login authentication parameters required for the web ap... |
| CVE-2019-18261 | In Omron PLC CS series, all versions, Omron PLC CJ series, all versions, and Omron PLC NJ series, all versions, the software... |
| CVE-2019-3746 | Dell EMC Integrated Data Protection Appliance versions prior to 2.3 do not limit the number of authentication attempts to the... |
| CVE-2019-3766 | Dell EMC ECS versions prior to 3.4.0.0 contain an improper restriction of excessive authentication attempts vulnerability. An... |
| CVE-2019-5035 | An exploitable information disclosure vulnerability exists in the Weave PASE pairing functionality of the Nest Cam IQ Indoor,... |
| CVE-2019-6524 | Moxa IKS and EDS do not implement sufficient measures to prevent multiple failed authentication attempts, which may allow an... |
| CVE-2020-10285 | RVD#3322: Weak authentication implementation make the system vulnerable to a brute-force attack over adjacent networks |
| CVE-2020-11052 | Improper Restriction of Excessive Authentication Attempts in Sorcery |
| CVE-2020-14484 | OpenClinic GA versions 5.09.02 and 5.89.05b may allow an attacker to bypass the system’s account lockout protection, which ma... |
| CVE-2020-15786 | A vulnerability has been identified in SIMATIC HMI Basic Panels 2nd Generation (incl. SIPLUS variants) (All versions < V16),... |
| CVE-2020-1616 | JATP Series: JATP Is susceptible to slow brute force attacks on the SSH service. |
| CVE-2020-25196 | MOXA NPort IAW5000A-I/O Series |
| CVE-2020-28212 | A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists in PLC Simulator on EcoStruxureª Co... |
| CVE-2020-7508 | A CWE-307 Improper Restriction of Excessive Authentication Attempts vulnerability exists in Easergy T300 (Firmware version 1.... |
| CVE-2020-7525 | Improper Restriction of Excessive Authentication Attempts vulnerability exists in all hardware versions of spaceLYnk and Wise... |
| CVE-2020-8202 | Improper check of inputs in Nextcloud Preferred Providers app v1.6.0 allowed to perform a denial of service attack when using... |
| CVE-2021-1311 | Cisco Webex Meetings and Cisco Webex Meetings Server Host Key Brute Forcing Vulnerability |
| CVE-2021-22737 | Insufficiently Protected Credentials vulnerability exists in homeLYnk (Wiser For KNX) and spaceLYnk V2.60 and prior that coul... |
| CVE-2021-22915 | Nextcloud server before 19.0.11, 20.0.10, 21.0.2 is vulnerable to brute force attacks due to lack of inclusion of IPv6 subnet... |
| CVE-2021-25676 | A vulnerability has been identified in RUGGEDCOM RM1224 (V6.3), SCALANCE M-800 (V6.3), SCALANCE S615 (V6.3), SCALANCE SC-600... |
| CVE-2021-32522 | QSAN Storage Manager, XEVO, SANOS - Improper Restriction of Excessive Authentication Attempts |
| CVE-2021-33190 | Bypass network access control |
| CVE-2021-3412 | It was found that all versions of 3Scale developer portal lacked brute force protections. An attacker could use this gap to b... |
| CVE-2021-36284 | Dell BIOS contains an Improper Restriction of Excessive Authentication Attempts vulnerability. A local authenticated maliciou... |
| CVE-2021-36285 | Dell BIOS contains an Improper Restriction of Excessive Authentication Attempts vulnerability. A local authenticated maliciou... |
| CVE-2021-3663 | Improper Restriction of Excessive Authentication Attempts in firefly-iii/firefly-iii |
| CVE-2021-38474 | InHand Networks IR615 Router |
| CVE-2021-41171 | Bypass bruteforce protection on login form in elabftw |
| CVE-2021-41807 | Lack of rate limiting in M-Files Server and M-Files Web products with versions before 21.12.10873.0, allows brute-forcing of... |
| CVE-2021-42544 | Lack of Rate limiting in Authentication in TopEase |
| CVE-2022-2166 | Improper Restriction of Excessive Authentication Attempts in mastodon/mastodon |
| CVE-2022-22553 | Dell EMC AppSync versions 3.9 to 4.3 contain an Improper Restriction of Excessive Authentication Attempts Vulnerability that... |
| CVE-2022-22561 | Dell PowerScale OneFS, versions 8.2.x-9.3.0.x, contain an improper restriction of excessive authentication attempts. An unaut... |
| CVE-2022-22810 | A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could allow an attacker to man... |
| CVE-2022-2321 | Improper Restriction of Excessive Authentication Attempts in heroiclabs/nakama |
| CVE-2022-23746 | The IPsec VPN blade has a dedicated portal for downloading and connecting through SSL Network Extender (SNX). If the portal i... |
| CVE-2022-24044 | A vulnerability has been identified in Desigo DXR2 (All versions < V01.21.142.5-22), Desigo PXC3 (All versions < V01.21.142.4... |
| CVE-2022-2457 | A flaw was found in Red Hat Process Automation Manager 7 where an attacker can benefit from a brute force attack against Admi... |
| CVE-2022-2525 | Improper Restriction of Excessive Authentication Attempts in janeczku/calibre-web |
| CVE-2022-25820 | A vulnerable design in fingerprint matching algorithm prior to SMR Mar-2022 Release 1 allows physical attackers to perform br... |
| CVE-2022-26314 | A vulnerability has been identified in Mendix Forgot Password Appstore module (All versions >= V3.3.0 < V3.5.1), Mendix Forgo... |
| CVE-2022-2650 | Improper Restriction of Excessive Authentication Attempts in wger-project/wger |
| CVE-2022-26519 | Interlogix Hills ComNav Improper Restriction of Excessive Authentication Attempts |
| CVE-2022-2822 | Authentication Bypass by Primary Weakness in octoprint/octoprint |
| CVE-2022-29056 | A improper restriction of excessive authentication attempts vulnerability [CWE-307] in Fortinet FortiMail version 6.4.0, vers... |
| CVE-2022-29084 | Dell Unity, Dell UnityVSA, and Dell Unity XT versions before 5.2.0.0.5.173 do not restrict excessive authentication attempts... |
| CVE-2022-30235 | A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could allow unauthorized acces... |
| CVE-2022-31228 | Dell EMC XtremIO versions prior to X2 6.4.0-22 contain a bruteforce vulnerability. A remote unauthenticated attacker can pote... |
| CVE-2022-31234 | Dell EMC PowerStore, contain(s) an Improper Restriction of Excessive Authentication Attempts Vulnerability in PowerStore Mana... |
| CVE-2022-32515 | A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could cause brute force attack... |
| CVE-2022-32757 | IBM Security Directory Suite VA information disclosure |
| CVE-2022-34389 | Dell SupportAssist contains a rate limit bypass issues in screenmeet API third party component. An unauthenticated attacker... |
| CVE-2022-3741 | Improper Restriction of Excessive Authentication Attempts in chatwoot/chatwoot |
| CVE-2022-39314 | User enumeration in the code-based login and password reset forms |
| CVE-2022-3945 | Improper Restriction of Excessive Authentication Attempts in kareadita/kavita |
| CVE-2022-3993 | Improper Restriction of Excessive Authentication Attempts in kareadita/kavita |
| CVE-2022-42478 | An Improper Restriction of Excessive Authentication Attempts [CWE-307] in FortiSIEM below 7.0.0 may allow a non-privileged us... |
| CVE-2022-43377 | A CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could cause account takeo... |
| CVE-2022-43904 | IBM Security Guardium information disclosure |
| CVE-2022-43947 | An improper restriction of excessive authentication attempts vulnerability [CWE-307] in Fortinet FortiOS version 7.2.0 throug... |
| CVE-2022-45790 | Omron FINS memory protection susceptible to bruteforce |
| CVE-2022-4797 | Improper Restriction of Excessive Authentication Attempts in usememos/memos |
| CVE-2023-0574 | Server-Side Request Forgery |
| CVE-2023-0860 | Improper Restriction of Excessive Authentication Attempts in modoboa/modoboa-installer |
| CVE-2023-1101 | SonicOS SSLVPN improper restriction of excessive MFA attempts vulnerability allows an authenticated attacker to use excessive... |
| CVE-2023-1539 | Improper Restriction of Excessive Authentication Attempts in answerdev/answer |
| CVE-2023-1665 | Improper Restriction of Excessive Authentication Attempts in linagora/twake |
| CVE-2023-21709 | Microsoft Exchange Server Elevation of Privilege Vulnerability |
| CVE-2023-23730 | WordPress Spectra – WordPress Gutenberg Blocks plugin <= 2.3.0 - Captcha Bypass Vulnerability |
| CVE-2023-24020 | Snap One Wattbox WB-300-IP-3 versions WB10.9a17 and prior could bypass the brute force protection, allowing multiple attempt... |
| CVE-2023-2531 | Improper Restriction of Excessive Authentication Attempts in azuracast/azuracast |
| CVE-2023-25818 | Missing brute force protection on password reset token in Nextcloud Server |
| CVE-2023-25820 | Nextcloud Server and Enterprise Server missing brute force protection on password confirmation modal |
| CVE-2023-26208 | A improper restriction of excessive authentication attempts vulnerability [CWE-307] in Fortinet FortiAuthenticator 6.4.x and... |
| CVE-2023-26209 | A improper restriction of excessive authentication attempts vulnerability [CWE-307] in Fortinet FortiDeceptor 3.1.x and befor... |
| CVE-2023-26271 | IBM Security Guardium Data Encryption information disclosure |
| CVE-2023-2675 | Improper Restriction of Excessive Authentication Attempts in linagora/twake |
| CVE-2023-28847 | Nextcloud Server missing brute force protection for passwords of password protected share links |
| CVE-2023-29005 | No Rate Limiting on Login AUTH DB |
| CVE-2023-29301 | Adobe ColdFusion Improper Restriction of Excessive Authentication Attempts Security feature bypass |
| CVE-2023-3173 | Improper Restriction of Excessive Authentication Attempts in froxlor/froxlor |
| CVE-2023-32074 | Nextcloud user_oidc app is missing brute force protection |
| CVE-2023-32224 | D-Link DSL-224 firmware version 3.0.10 CWE-307: Improper Restriction of Excessive Authentication Attempts |
| CVE-2023-32251 | Kernel: ksmbd brute force delay bypass via asynchronous requests |
| CVE-2023-32319 | Basic auth header on WebDAV requests is not brute-force protected in Nextcloud |
| CVE-2023-32320 | Nextcloud Server's brute force protection allows someone to send more requests than intended |
| CVE-2023-32657 | Weintek Weincloud Improper Restriction of Excessive Authentication Attempts |
| CVE-2023-33868 | PiiGAB M-Bus Improper Restriction of Excessive Authentication Attempts |
| CVE-2023-34001 | WordPress Hide My WP Ghost – Security Plugin plugin <= 5.0.25 - Captcha Bypass vulnerability |
| CVE-2023-35039 | WordPress Password Reset with Code for WordPress REST API Plugin <= 0.0.15 is vulnerable to Broken Authentication |
| CVE-2023-35172 | Nextcloud Server password reset endpoint is not brute force protected |
| CVE-2023-3548 | IQ Wifi 6 |
| CVE-2023-35697 | Improper Restriction of Excessive Authentication Attempts in the SICK ICR890-4 could allow a remote attacker to brute-force... |
| CVE-2023-3605 | PHPGurukul Online Shopping Portal Registration Page excessive authentication |
| CVE-2023-36434 | Windows IIS Server Elevation of Privilege Vulnerability |
| CVE-2023-3669 | CODESYS: Missing Brute-Force protection in CODESYS Development System |
| CVE-2023-36917 | Password Change rate limit bypass in SAP BusinessObjects Business Intelligence Platform |
| CVE-2023-38273 | IBM Cloud Pak System information disclosure |
| CVE-2023-39958 | Missing brute force protection on password reset token OAuth2 API controller |
| CVE-2023-39960 | Nextcloud Server has improper restriction of excessive authentication attempts on WebDAV endpoint |
| CVE-2023-40706 | Improper Restriction of Excessive Authentication Attempts in OPTO 22 SNAP PAC S1 Built-in Web Server |
| CVE-2023-41270 | Samsung Smart TV UE40D7000 WPS DoS attack |
| CVE-2023-41350 | Chunghwa Telecom NOKIA G-040W-Q - Excessive Authentication Attempts |
| CVE-2023-42480 | Information Disclosure in NetWeaver AS Java Logon |
| CVE-2023-43699 | Improper Restriction of Excessive Authentication Attempts in RDT400 in SICK APU allows an unprivileged remote attacker to gu... |
| CVE-2023-44235 | WordPress WP Captcha plugin <= 2.0.0 - Captcha Bypass vulnerability |
| CVE-2023-45009 | WordPress Captcha for Contact Form 7 plugin <= 1.11.3 - Capcha Bypass vulnerability |
| CVE-2023-45148 | Rate limiter not working reliable when Memcached is installed in Nextcloud |
| CVE-2023-45149 | Password of talk conversations can be bruteforced in Nextcloud |
| CVE-2023-45191 | IBM Engineering Lifecycle Optimization information disclosure |
| CVE-2023-45582 | An improper restriction of excessive authentication attempts vulnerability [CWE-307] in FortiMail webmail version 7.2.0 throu... |
| CVE-2023-46123 | jumpserver is vulnerable to password brute-force protection bypass via arbitrary IP values |
| CVE-2023-4625 | Denial-of-Service(DoS) Vulnerability in Web server function on MELSEC Series CPU module |
| CVE-2023-46745 | Rate limiting Bypass on login page in libreNMS |
| CVE-2023-48276 | WordPress WP Forms Puzzle Captcha plugin <= 4.1 - Captcha Bypass vulnerability |
| CVE-2023-48290 | WordPress Form Maker by 10Web plugin <= 1.15.20 - Captcha Bypass Vulnerability vulnerability |
| CVE-2023-48318 | WordPress Contact Form Email plugin <= 1.3.41 - Captcha Bypass vulnerability |
| CVE-2023-48745 | WordPress Captcha Code plugin <= 2.9 - Captcha Bypass vulnerability |
| CVE-2023-49278 | Umbraco CMS brute force exploit can be used to collect valid usernames |
| CVE-2023-49792 | Bruteforce protection can be bypassed with misconfigured proxy |
| CVE-2023-49810 | A login attempt restriction bypass vulnerability exists in the checkLoginAttempts functionality of WWBN AVideo dev master com... |
| CVE-2023-50326 | IBM PowerSC information Disclosure |
| CVE-2023-5754 | Improper Restriction of Excessive Authentication Attempts in Sielco PolyEco1000 |
| CVE-2023-6272 | Theme My Login 2FA < 1.2 - Lack of Rate Limiting |
| CVE-2023-6756 | Thecosy IceCMS Captcha login excessive authentication |
| CVE-2023-6912 | Brute force vulnerability in M-Files user authentication |
| CVE-2023-6928 | Improper Restriction of Excessive Authentication Attempts |
| CVE-2024-0787 | Improper Restriction of Excessive Authentication Attempts in phpipam/phpipam |
| CVE-2024-1104 | Temporary denial of service during a brute force attack |
| CVE-2024-11126 | Digistar AG-30 Plus Login Page excessive authentication |
| CVE-2024-12039 | Improper Restriction of Excessive Authentication Attempts in langgenius/dify |
| CVE-2024-2051 | CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that could cause account takeover an... |
| CVE-2024-21652 | Argo CD vulnerable to Bypassing of Brute Force Protection via Application Crash and In-Memory Data Loss |
| CVE-2024-21662 | Argo CD vulnerable to Bypassing of Rate Limit and Brute Force Protection Using Cache Overflow |
| CVE-2024-22317 | IBM App Connect Enterprise denial of service |
| CVE-2024-22425 | Dell RecoverPoint for Virtual Machines 5.3.x, 6.0.SP1 contains a brute force/dictionary attack vulnerability. An unauthentica... |
| CVE-2024-23106 | An improper restriction of excessive authentication attempts [CWE-307] in FortiClientEMS version 7.2.0 through 7.2.4 and befo... |
| CVE-2024-24767 | CasaOS Improper Restriction of Excessive Authentication Attempts vulnerability |
| CVE-2024-25031 | IBM Storage Defender information disclosure |
| CVE-2024-28022 | A vulnerability exists in the UNEM server / APIGateway that if exploited allows a malicious user to perform an arbitrary numb... |
| CVE-2024-28825 | Brute-force protection ineffective for some login methods |
| CVE-2024-28833 | Missing brute-force protection for two factor authentication |
| CVE-2024-30390 | Junos OS Evolved: Connection limits is not being enforced while the resp. rate limit is being enforced |
| CVE-2024-3102 | JSON Injection in mintplex-labs/anything-llm |
| CVE-2024-3202 | codelyfe Stupid Simple CMS Login Page excessive authentication |
| CVE-2024-32676 | WordPress LoginPress Pro plugin < 3.0.0 - Captcha Bypass vulnerability |
| CVE-2024-32720 | WordPress Appointment Hour Booking plugin <= 1.4.56 - Captcha Bypass vulnerability |
| CVE-2024-32771 | QTS, QuTS hero |
| CVE-2024-32774 | WordPress ProfileGrid plugin <= 5.8.2 - Group Members Limit Bypass vulnerability |
| CVE-2024-32868 | ZITADEL's Improper Lockout Mechanism Leads to MFA Bypass |
| CVE-2024-3461 | KioWare for Windows (versions all through 8.35) allows to brute force the PIN number, which protects the application from bei... |
| CVE-2024-35747 | WordPress Contact Form Builder, Contact Widget plugin <= 2.1.7 - Bypass Vulnerability vulnerability |
| CVE-2024-38176 | GroupMe Elevation of Privilege Vulnerability |
| CVE-2024-38488 | Dell RecoverPoint for Virtual Machines 6.0.x contains a vulnerability. An improper Restriction of Excessive Authentication vu... |
| CVE-2024-39398 | OTP 2FA can be bruteforced |
| CVE-2024-39873 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.2 SP1). The affected application does... |
| CVE-2024-39874 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.2 SP1). The affected application does... |
| CVE-2024-39917 | xrdp allows an ininite number of login attempts |
| CVE-2024-41682 | A vulnerability has been identified in Location Intelligence family (All versions < V4.4). Affected products do not properly... |
| CVE-2024-41904 | A vulnerability has been identified in SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (All versions < V2.0). The affected applic... |
| CVE-2024-42465 | Lack of resources and rate limiting - two factor authentication |
| CVE-2024-42466 | Lack of resources and rate limiting - login |
| CVE-2024-45327 | An improper authorization vulnerability [CWE-285] in FortiSOAR version 7.4.0 through 7.4.3, 7.3.0 through 7.3.2, 7.2.0 throug... |
| CVE-2024-45790 | User Enumeration vulnerability |
| CVE-2024-47088 | User Enumeration vulnerability |
| CVE-2024-47592 | Information Disclosure Vulnerability in SAP NetWeaver Application Server Java (Logon Application) |
| CVE-2024-47656 | User Enumeration vulnerability |
| CVE-2024-49342 | IBM Informix Dynamic Server information disclosure |
| CVE-2024-49597 | Dell Wyse Management Suite, versions WMS 4.4 and prior, contain an Improper Restriction of Excessive Authentication Attempts... |
| CVE-2024-51476 | IBM Concert Software information disclosure |
| CVE-2024-51558 | Brute Force Attack Vulnerability in Wave 2.0 |
| CVE-2024-51720 | Vulnerabilities in SecuSUITE Server Components Impact SecuSUITE |
| CVE-2024-53647 | Trend Micro ID Security, version 3.0 and below contains a vulnerability that could allow an attacker to send an unlimited num... |
| CVE-2024-5682 | User Enumeration in Yordam Information Technology's Yordam Library Automation System |
| CVE-2024-5716 | Logsign Unified SecOps Platform Authentication Bypass Vulnerability |
| CVE-2024-5862 | User Enumeration in Mia Technology's Mia-Med Health Aplication |
| CVE-2024-7292 | Account Controller allows high count of login attempts |
| CVE-2024-8429 | Improper Authentication in Digital Operation Services' WiFiBurada |
| CVE-2024-8462 | Windmill HTTP Request users.rs excessive authentication |
| CVE-2024-9342 | In Eclipse GlassFish version 7.0.16 or earlier it is possible to perform Login Brute Force attacks as there is no limitation... |
| CVE-2024-9832 | No limit on failed login attempts with Clinician Password or Serial Number Clinician Password on Life2000 Ventilator |
| CVE-2024-9928 | A vulnerability exists in NSD570 login panel that does not restrict excessive authentication attempts. If exploited, this cou... |
| CVE-2025-0417 | Valmet DNA Lack of protection against brute force attacks |
| CVE-2025-10161 | Authentication Bypass in Turkguven's Perfektive |
| CVE-2025-10658 | SupportCandy – Helpdesk & Customer Support Ticket System <= 3.3.7 - Authentication Bypass to Support Session Takeover |
| CVE-2025-10761 | Harness Login Endpoint login excessive authentication |
| CVE-2025-10928 | Access code - Moderately critical - Access bypass - SA-CONTRIB-2025-108 |
| CVE-2025-11441 | JhumanJ OpnForm HTTP Header excessive authentication |
| CVE-2025-11566 | CWE-307: Improper Restriction of Excessive Authentication Attempts vulnerability exists that would allow an attacker on the l... |
| CVE-2025-12310 | VirtFusion Email Change _settings excessive authentication |
| CVE-2025-12547 | LogicalDOC Community Edition Admin Login login.jsp excessive authentication |
| CVE-2025-12896 | Improper resource management in firmware of some Solidigm DC Products may allow an attacker with local or physical access to... |
| CVE-2025-1496 | Improper Authentication in BG-TEK's Coslat Hotspot |
| CVE-2025-1629 | Excitel Broadband Private my Excitel App One-Time Password excessive authentication |
| CVE-2025-1710 | CVE-2025-1710 |
| CVE-2025-1714 | Username Enumeration in Gliffy |
| CVE-2025-1740 | Authentication Bypass in Akinsoft's MyRezzta |
| CVE-2025-20196 | A vulnerability in the Cisco IOx application hosting environment of Cisco IOS Software and Cisco IOS XE Software could allow... |
| CVE-2025-2171 | Aviatrix Controller versions prior to 7.1.4208, 7.2.5090, and 8.0.0 do not enforce rate limiting on password reset attempts,... |
| CVE-2025-22645 | WordPress Real Estate Manager – Property Listing and Agent Management plugin <= 7.3 - Captcha Bypass Vulnerability vulnerabil... |
| CVE-2025-23368 | Org.wildfly.core:wildfly-elytron-integration: wildfly elytron brute force attack via cli |
| CVE-2025-2411 | OTP Bypass in Akinsoft's TaskPano |
| CVE-2025-2412 | OTP Bypass in Akinsoft's QR Menu |
| CVE-2025-2413 | OTP Bypass in Akinsoft's ProKuafor |
| CVE-2025-2414 | OTP Bypass in Akinsoft's OctoCloud |
| CVE-2025-2415 | OTP Bypass in Akinsoft's MyRezzta |
| CVE-2025-2416 | OTP Bypass in Akinsoft's LimonDesk |
| CVE-2025-2417 | OTP Bypass in Akinsoft's e-Mutabakat |
| CVE-2025-24806 | Regulation applies separately to Username-based logins to Email-based logins in authelia |
| CVE-2025-26862 | PingFederate unexpected browser flow initiation in redirectless mode |
| CVE-2025-27449 | CVE-2025-27449 |
| CVE-2025-27456 | CVE-2025-27456 |
| CVE-2025-2911 | Improper Restriction of Excessive Authentication Attempts vulnerability in MeetMe products |
| CVE-2025-3129 | Access code - Moderately critical - Access bypass - SA-CONTRIB-2025-028 |
| CVE-2025-35041 | Airship AI Acropolis MFA insufficient rate limiting |
| CVE-2025-3555 | ScriptAndTools eCommerce-website-in-PHP login.php excessive authentication |
| CVE-2025-3556 | ScriptAndTools eCommerce-website-in-PHP login.php excessive authentication |
| CVE-2025-36064 | IBM Sterling Connect:Express for Microsoft Windows information disclosure |
| CVE-2025-36758 | Bypass of bruteforce protection in SolaX Cloud |
| CVE-2025-3709 | Flowring Technology Agentflow - Account Lockout Bypass |
| CVE-2025-4094 | Digits < 8.4.6.1 - Auth Bypass via OTP Bruteforcing |
| CVE-2025-42600 | Brute Force Attack Vulnerability in Meon KYC solutions |
| CVE-2025-4383 | Authentication Bypass in Art-In Systems' Wi-Fi Cloud Hotspot |
| CVE-2025-43863 | vantage6 lacks brute-force protection on change password functionality |
| CVE-2025-46414 | EG4 Electronics EG4 Inverters Improper Restriction of Excessive Authentication Attempts |
| CVE-2025-46739 | Improper Restriction of Excessive Authentication Attempts |
| CVE-2025-47951 | Weblate lacks rate limiting when verifying second factor |
| CVE-2025-48014 | Improper Restriction of Excessive Authentication Attempts |
| CVE-2025-48187 | RAGFlow through 0.18.1 allows account takeover because it is possible to conduct successful brute-force attacks against email... |
| CVE-2025-49186 | No brute-force protection |
| CVE-2025-49195 | No protection against brute-force attacks |
| CVE-2025-52916 | Yealink RPS before 2025-06-04 lacks SN verification attempt limits, enabling brute-force enumeration (last five digits). |
| CVE-2025-52997 | File Browser Insecurely Handles Passwords |
| CVE-2025-53544 | Trilium Notes is Vulnerable to Brute-force Protection Bypass via Initial Sync Seed Retrieval |
| CVE-2025-54833 | OPEXUS FOIAXpress Public Access Link (PAL) account-lockout and CAPTCHA protection bypass |
| CVE-2025-54860 | Cognex In-Sight Explorer and In-Sight Camera Firmware Improper Restriction of Excessive Authentication Attempts |
| CVE-2025-54998 | OpenBao Userpass and LDAP User Lockout Bypass |
| CVE-2025-55003 | OpenBao Login MFA Bypasses Rate Limiting and TOTP Token Reuse |
| CVE-2025-57815 | Fides Lacks Brute-Force Protections on Authentication Endpoints |
| CVE-2025-58587 | Improper Restriction of Excessive Authentication Attempts |
| CVE-2025-5864 | Tenda TDSEE App Password Reset Confirmation Code ConfirmSmsCode excessive authentication |
| CVE-2025-59113 | Bruteforce Protection Bypass in Windu CMS |
| CVE-2025-6004 | Vault Userpass and LDAP User Lockout Bypass |
| CVE-2025-6015 | Vault Login MFA Bypass of Rate Limiting and TOTP Code Reuse |
| CVE-2025-6029 | KIA-branded Aftermarket Generic Smart Keyless Entry System Replay Attack |
| CVE-2025-6030 | Autoeastern Smart Keyless Entry System Replay Attack |
| CVE-2025-62257 | Password enumeration vulnerability in Liferay Portal 7.4.0 through 7.4.3.119, and older unsupported versions, and Liferay DXP... |
| CVE-2025-62399 | Moodle: password brute force risk when mobile/web services enabled |
| CVE-2025-64102 | Zitadel allows brute-forcing authentication factors |
| CVE-2025-64310 | EPSON WebConfig and Epson Web Control for SEIKO EPSON Projector Products do not restrict excessive authentication attempts. A... |
| CVE-2025-66204 | WBCE CMS allows brute-force protection bypass using X-Forwarded-For header |
| CVE-2025-66482 | Misskey has a login rate limit bypass via spoofed X-Forwarded-For header |
| CVE-2025-67853 | Moodle: moodle: brute-force facilitation due to missing rate limiting in confirmation email service |
| CVE-2025-69246 | Lack of bruteforce protection in Raytha CMS |
| CVE-2025-7393 | Mail Login - Critical - Access bypass - SA-CONTRIB-2025-088 |
| CVE-2025-7630 | OTP Password Brute Forcing in DorukNet's Wispotter |
| CVE-2025-7882 | Mercusys MW301R Login excessive authentication |
| CVE-2025-8118 | Bruteforce Protection Bypass in PAD CMS |
| CVE-2025-8679 | ExtremeGuest Essentials Captive Portal Unauthenticated Brute Force |
| CVE-2025-8742 | macrozheng mall Admin Login excessive authentication |
| CVE-2025-8927 | mtons mblog Verification Code send_code excessive authentication |
| CVE-2025-9004 | mtons mblog password excessive authentication |
| CVE-2025-9551 | Protected Pages - Moderately critical - Access bypass - SA-CONTRIB-2025-101 |
| CVE-2026-1409 | Beetel 777VR1 UART excessive authentication |
| CVE-2026-1685 | D-Link DIR-823X Login sub_40AC74 excessive authentication |
| CVE-2026-20792 | Chargemap chargemap.com Improper Restriction of Excessive Authentication Attempts |
| CVE-2026-20882 | Mobiliti e-mobi.hu Improper Restriction of Excessive Authentication Attempts |
| CVE-2026-2110 | Tasin1025 SwiftBuy login.php excessive authentication |
| CVE-2026-22278 | Dell PowerScale OneFS versions prior to 9.13.0.0 contains an improper restriction of excessive authentication attempts vulner... |
| CVE-2026-22603 | OpenProject has no protection against brute-force attacks in the Change Password function |
| CVE-2026-22629 | An improper restriction of excessive authentication attempts vulnerability in Fortinet FortiAnalyzer 7.6.0 through 7.6.4, For... |
| CVE-2026-24436 | Tenda W30E V2 Lacks Rate Limiting on Authentication |
| CVE-2026-24445 | EV Energy ev.energy Improper Restriction of Excessive Authentication Attempts |
| CVE-2026-24696 | Everon api.everon.io Improper Restriction of Excessive Authentication Attempts |
| CVE-2026-25113 | SWITCH EV swtchenergy.com Improper Restriction of Excessive Authentication Attempts |
| CVE-2026-25114 | CloudCharge cloudcharge.se Improper Restriction of Excessive Authentication Attempts |
| CVE-2026-25577 | Emmett has an Unhandled CookieError Exception Causing Denial of Service |
| CVE-2026-25945 | EV2GO ev2go.io Improper Restriction of Excessive Authentication Attempts |
| CVE-2026-26227 | VLC for Android < 3.7.0 Remote Access OTP Authentication Bypass |
| CVE-2026-26305 | Mobility46 mobility46.se Improper Restriction of Excessive Authentication Attempts |
| CVE-2026-27521 | Binardat 10G08-0800GSM Network Switch Missing Login Rate Limiting |
| CVE-2026-27753 | SODOLA SL902-SWTGW124AS <= 200.1.20 Improper Login Rate Limiting |
| CVE-2026-27778 | ePower epower.ie Improper Restriction of Excessive Authentication Attempts |
| CVE-2026-27801 | Vaultwarden: 2FA Bypass on Protected Actions due to Faulty Rate Limit Enforcement |
| CVE-2026-27824 | calibre has IP Ban Bypass via X-Forwarded-For Header Spoofing |
| CVE-2026-27981 | HomeBox has an Auth Rate Limit Bypass via IP Spoofing |
| CVE-2026-30790 | RustDesk Server Controls All Handshake Entropy (Salt/Challenge), Enabling Offline Brute-Force |
| CVE-2026-30959 | OneUptime has WhatsApp Resend Verification Authorization Bypass |
| CVE-2026-31863 | Improper Restriction of Excessive Authentication Attempts in github.com/anyproto/anytype-heart |
| CVE-2026-32729 | Runtipi has a TOTP two-factor authentication bypass via unrestricted brute-force on `/api/auth/verify-totp` |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20231222-29 | 22.12.2023 | Получение конфиденциальной информации в ETL3100 |
| VULN:20240708-12 | 08.07.2024 | Получение конфиденциальной информации в ICONICS Suite |
| VULN:20240708-22 | 08.07.2024 | Получение конфиденциальной информации в wger |
| VULN:20240719-5 | 19.07.2024 | Выполнение произвольного кода в Кейсистемс "Проект-СмартПРО" |
| VULN:20240719-7 | 19.07.2024 | Чтение локальных файлов в Кейсистемс "Сервис обновлений" |
| VULN:20240719-9 | 19.07.2024 | Чтение локальных файлов в Кейсистемс "Сервис обновлений" |
| VULN:20240729-24 | 29.07.2024 | Получение конфиденциальной информации в Microsoft GroupMe |
| VULN:20241202-126 | 02.12.2024 | Получение конфиденциальной информации в Baxter Life2000 Ventilation System |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.