Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-311
Missing Encryption of Sensitive Data
The product does not encrypt sensitive or critical information before storage or transmission.
| Тип уязвимости: | Не зависит от других уязвимостей |
| Вероятность эксплойта: |
High
|
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-01154 | Уязвимость реализации протокола TLS подсистемы Intel Active Management Technology (AMT) микропрограммного обеспечения Intel Converged Security and Manageability Engine и Intel Management Engine, позволяющая нарушителю получить ключ сеанса TLS |
| BDU:2018-01540 | Уязвимость системы идентификации и управления доступом облачного хранилища IBM Cloud Private, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-01124 | Уязвимость микропрограммного обеспечения коммутаторов Moxa EDS и IKS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04082 | Уязвимость функций CMS_decrypt и PKCS7_decrypt ( cms_env.c, cms_smime.c и pk7_doit.c) библиотеки OpenSSL,связанная с недостатками механизма шифрования секретных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информаци... |
| BDU:2019-04084 | Уязвимость функций ec_err.c и ec_lib.c библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04174 | Уязвимость библиотеки libpq системы управления базами данных PostgreSQL, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-01371 | Уязвимость веб-интерфейса сервера Siemens SINEMA Remote Connect, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-02358 | Уязвимость пакета офисных программ LibreOffice, связанная с ошибками при шифровании информации, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-02674 | Уязвимость реализации протоколов TLS и SSL программного обеспечения Mbed TLS, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю раскрыть закрытый ключ RSA |
| BDU:2020-05512 | Уязвимость операционной системы Synology Router Manager (SRM), связанная с отсутствием флага "secure" в файлах cookie сеанса, позволяющая нарушителю получить несанкционированный доступ к целевому устройству |
| BDU:2020-05668 | Уязвимость компонента установки гиперконвергентной инфраструктуры Cisco HyperFlex, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2021-00981 | Уязвимость службы веб-API операционной системы Junos маршрутизаторов NFX Series и SRX Series, позволяющая нарушителю получить закрытый ключ службы веб-API |
| BDU:2021-03297 | Уязвимость распределенной системы управления базами данных Apache Impala, связанная с ошибками при шифровании информации, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-04127 | Уязвимость службы FortiMail IBE (Identity Based Encryption) системы защиты электронной почты FortiMail, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04141 | Уязвимость почтового клиента Thunderbird, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04283 | Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M221, M100, M200, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю получить ключ шифрования |
| BDU:2021-04323 | Уязвимость микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 RTU, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю получить несанкцион... |
| BDU:2021-04477 | Уязвимость платформы для работы с каталогами Apache Directory Studio, связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-04878 | Уязвимость графического распределённого кроссплатформенного IRC-клиента Quassel, связанная с ошибками при шифровании информации, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-05114 | Уязвимость средства планирования ресурсов предприятия LedgerSMB, связанная с отсутствием установки атрибута "Secure" в файлах cookie сеанса авторизации, позволяющая нарушителю получить данные аутентификации |
| BDU:2021-05409 | Уязвимость модуля KrServerBDdemoRT.exe программного обеспечения SCADA-системы "КРУГ-2000", связанная с непринятием мер по шифрованию критической информации, позволяющая нарушителю перехватить технологические данные |
| BDU:2021-05857 | Уязвимость системы управления базами данных PostgreSQL, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2022-01476 | Уязвимость IMAP-сервера голосовой почты прямого доступа с визуальным интерфейсом Visual Voice Mail (VVM) for Android, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-03277 | Уязвимость системы автоматизации Wiser Smart программируемых логических контролеров Schneider Electric Wiser Controller EER21000 и Wiser Controller EER21001, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю восстановить учетны... |
| BDU:2022-04004 | Уязвимость веб-приложения управления учетными записями LDAP Account Manager, связанная с непринятием мер по защите конфиденциальной информации, позволяющая нарушителю получить аутентификационные данные LDAP |
| BDU:2022-07419 | Уязвимость реализации протокола CPE WAN Management Protocol (TR-069) программного обеспечения для централизованного управления устройствами в сети Zyxel CloudCNM SecuManager, позволяющая нарушителю получить несанкционированный доступ к защищаемой инф... |
| BDU:2023-03045 | Уязвимость HMI/SCADA CONPROSYS HMI, связанная с хранением учетных данных в виде открытого текста, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-03074 | Уязвимость программного средства для управления производственными процессами ABB eSOMS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-03540 | Уязвимость программного средства программирования ПЛК EcoStruxure Control Expert, системы автоматизации Process Expert, программного средства конфигурирования SCADAPack RemoteConnect, связанная с недостаточной защитой регистрационных данных, позволяю... |
| BDU:2023-03583 | Уязвимость функции CloudSec Encryption режима ACI операционной системы Cisco NX-OS коммутаторов Cisco Nexus серии 9332C, 9364C и 9500, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных |
| BDU:2023-03764 | Уязвимость службы Telnet кабельного шлюза Hitron CODA-5310, позволяющая нарушителю получить доступ к учетным данным пользователей и администратора |
| BDU:2023-04630 | Уязвимость адресной строки Omnibox браузера Google Chrome, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2023-04739 | Уязвимость компонента var/lib/maxscale/maxscale.cnf.d прокси сервера базы данных MariaDB MaxScale, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-04918 | Уязвимость микропрограммного обеспечения веб-панелей для управления и мониторинга процессов в промышленных системах PHOENIX CONTACT WP 6xxx, связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю получить несанкционир... |
| BDU:2023-05008 | Уязвимость контейнерной платформы Moby, связанная с отсутствием шифрования конфиденциальных данных и неправильным обращением с исключительными условиями, позволяющая нарушителю получить конфиденциальную информацию. |
| BDU:2023-05063 | Уязвимость веб-службы программной платформы для управления безопасностью в промышленных сетях MXSecurity, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-05831 | Уязвимость программного средства обмена информацией и событиями между компонентами системы аутентификации и авторизации IBM Security Verify Information Queue, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю получить доступ к... |
| BDU:2023-07930 | Уязвимость программного средства хранения и управления данными IBM Security Directory Server, связанная с отсутствием шифрования конфиденциальных данных, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-08032 | Уязвимость программного обеспечения автоматизированного, облачного и локального администрирования учетных записей IBM Security Verify Privilege On-Premises, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю проводить атаки типа... |
| BDU:2023-08205 | Уязвимость программного обеспечения автоматизированного, облачного и локального администрирования учетных записей IBM Security Verify Privilege On-Premises, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю проводить атаки типа... |
| BDU:2023-08836 | Уязвимость инструмента для мониторинга Nagios XI, связанная с незашифрованным хранением учетных данных, позволяющая нарушителю учетные данные для сторонних хостов из зашифрованных файлов Ansible |
| BDU:2024-00555 | Уязвимости программного средства защиты доступа к приложениям в среде Docker IBM Security Verify Access Docker, системы управления доступом IBM Security Verify Access, вызванная непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю... |
| BDU:2024-00570 | Уязвимость программного обеспечения для управления и контроля доступа к корпоративным ресурсам и приложениям IBM Security Verify Governance , вызванная непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю раскрыть защищаемую информ... |
| BDU:2024-02070 | Уязвимость облачного программного обеспечения для хранения данных IBM Watson CP4D Data Stores, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-02106 | Уязвимость компонента Query Parameter Handler программного обеспечения управления транзакционными приложениями IBM TXSeries for Multiplatforms, сервера приложений IBM CICS TX Standard, IBM CICS TX Advanced, позволяющая нарушителю получить несанкциони... |
| BDU:2024-03999 | Уязвимость медицинского программного обеспечения GE HealthCare EchoPAC, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-04525 | Уязвимость видеобара и коммутатора для видеоконфиренций Apollo VX20, связанная с отсутствием шифрования конфиденциальных данных и неправильным обращением с исключительными условиями, позволяющая нарушителю получить пароли в открытом виде |
| BDU:2024-05755 | Уязвимость SQL-движка Dell Data Analytics Engine (DDAE) платформы хранения данных Dell Data Lakehouse, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-05851 | Уязвимость микропрограммного обеспечения шлюзов Ruijie EG-2000SE, связана с хранением паролей в открытом виде, позволяющая нарушителю сбросить пароли |
| BDU:2024-06377 | Уязвимость промышленного сервера последовательных устройств Korenix JetPort, связанная с отсутствием зашифрованных конфиденциальных данных, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-06469 | Уязвимость компоненте шифрования NSS браузеров Mozilla Firefox, Firefox ESR, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2024-06563 | Уязвимость средства захвата сетевого трафика IBM QRadar Network Packet Capture, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-06775 | Уязвимость микропрограммного обеспечения IP-камеры Hikvision DS-2CD2432F-IW, связанная с недостатками шифрования, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07672 | Уязвимость программного средства реализации двухфакторной аутентификации Cisco Duo Epic for Hyperdrive, связанная с недостаточной защитой служебных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-08803 | Уязвимость веб-интерфейса администрирования платформы управления политиками соединений Cisco Identity Services Engine, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00116 | Уязвимость реализации стандарта шифрования электронной почты OpenPGP почтового клиента Mozilla Thunderbird, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-00893 | Уязвимость протокола сетевой авторизации компонента Firebird программного обеспечения "Популяционный раковый регистр" и "Госпитальный раковый регистр", позволяющая нарушителю осуществить перехват трафика |
| BDU:2025-00941 | Уязвимость компонента Defender Sensor службы IBM Storage Defender Data Resiliency Service (DRS) средства защиты данных IBM Storage Defender, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2025-02250 | Уязвимость инструмента автоматизации на основе искусственного интеллекта IBM Concert Software, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-04450 | Уязвимость функции ceph_handle_caps() модуля fs/ceph/caps.c поддержки файловой системы ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-06751 | Уязвимость реализации протокола PROFINET микропрограммного обеспечения модульной системы безопасности SIRIUS 3RK3 и микропрограммного обеспечения реле безопасности SIRIUS 3SK2, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06754 | Уязвимость установщика программного обеспечения для управления видеонаблюдением Milestone XProtect, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-07763 | Уязвимость микропрограммного обеспечения системы радиоуправления ANKA JPD 00028, связанная с отсутствия шифрования при обмене данными между передатчиком и приёмником, позволяющая нарушителю реализовать атаку "Повторное воспроизведение" (Replay attack... |
| BDU:2025-08308 | Уязвимость плагина Aqua Security Scanner сервера автоматизации Jenkins, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08312 | Уязвимость плагина QMetry Test Management сервера автоматизации Jenkins, связанная с хранением ключей API Qmetry Automation в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08318 | Уязвимость плагина IBM Cloud DevOps сервера автоматизации Jenkins, связанная с хранением ключей в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08353 | Уязвимость плагина VAddy сервера автоматизации Jenkins, связанная с хранением ключей в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08551 | Уязвимость плагина Dead Man’s Snitch сервера автоматизации Jenkins, связанная с хранением токенов в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08554 | Уязвимость плагина Sensedia Api Platform tools сервера автоматизации Jenkins, связанная с хранением токенов в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08571 | Уязвимость плагина Xooa сервера автоматизации Jenkins, связанная с хранением токенов в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08585 | Уязвимость плагина User1st uTester сервера автоматизации Jenkins, связанная с хранением токенов в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09643 | Уязвимость демона strongSwan микропрограммного обеспечения шлюзов Ruijie RG-EG306MG-P, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-16433 | Уязвимость ПЛК NLcon-CE-485-C, связанная с непринятием мер по шифрованию секретных данных, позволяющая нарушителю получить доступ к конфиденциальной информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2012-1977 | WellinTech KingSCADA Missing Encryption of Sensitive Data |
| CVE-2014-2379 | Sensys Networks Traffic Sensor Missing Encryption of Sensitive Data |
| CVE-2016-10552 | igniteui 0.0.5 and earlier downloads JavaScript and CSS resources over insecure protocol. |
| CVE-2016-10557 | appium-chromedriver is a Node.js wrapper around Chromedriver. Versions below 2.9.4 download binary resources over HTTP, which... |
| CVE-2016-10558 | aerospike is an Aerospike add-on module for Node.js. aerospike versions below 2.4.2 download binary resources over HTTP, whic... |
| CVE-2016-10559 | selenium-download downloads the latest versions of the selenium standalone server and the chromedriver. selenium-download bef... |
| CVE-2016-10560 | galenframework-cli is the node wrapper for the Galen Framework. galenframework-cli below 2.3.1 download binary resources over... |
| CVE-2016-10562 | iedriver is an NPM wrapper for Selenium IEDriver. iedriver versions below 3.0.0 download binary resources over HTTP, which le... |
| CVE-2016-10563 | During the installation process, the go-ipfs-deps module before 0.4.4 insecurely downloads resources over HTTP. This allows f... |
| CVE-2016-10564 | apk-parser is a tool to extract Android Manifest info from an APK file. apk-parser versions below 0.1.6 download binary resou... |
| CVE-2016-10565 | operadriver is a Opera Driver for Selenium. operadriver versions below 0.2.3 download binary resources over HTTP, which leave... |
| CVE-2016-10566 | install-nw is a module which quickly and robustly installs and caches NW.js. install-nw versions below 1.1.5 download binary... |
| CVE-2016-10567 | product-monitor is a HTML/JavaScript template for monitoring a product by encouraging product developers to gather all the in... |
| CVE-2016-10568 | geoip-lite-country is a stripped down version of geoip-lite, supporting only country lookup. geoip-lite-country before 1.1.4... |
| CVE-2016-10569 | embedza is a module to create HTML snippets/embeds from URLs using info from oEmbed, Open Graph, meta tags. embedza versions... |
| CVE-2016-10570 | pngcrush-installer is an installer for Pngcrush. pngcrush-installer versions below 1.8.10 download binary resources over HTTP... |
| CVE-2016-10571 | bkjs-wand is imagemagick wand support for node.js and backendjs bkjs-wand versions lower than 0.3.2 download binary resources... |
| CVE-2016-10572 | mongodb-instance before 0.0.3 installs mongodb locally. mongodb-instance downloads binary resources over HTTP, which leaves i... |
| CVE-2016-10573 | baryton-saxophone is a module to install and launch Selenium Server for Mac, Linux and Windows. baryton-saxophone versions be... |
| CVE-2016-10574 | apk-parser3 is a module to extract Android Manifest info from an APK file. apk-parser3 versions before 0.1.3 download binary... |
| CVE-2016-10575 | Kindlegen is a simple Node.js wrapper of the official kindlegen program. Kindlegen versions before 1.1.0 download binary reso... |
| CVE-2016-10576 | Fuseki server wrapper and management API in fuseki before 1.0.1 downloads binary resources over HTTP, which leaves it vulnera... |
| CVE-2016-10577 | ibm_db is an asynchronous/synchronous interface for node.js to IBM DB2 and IBM Informix. ibm_db before 1.0.2 downloads binary... |
| CVE-2016-10578 | unicode loads unicode data downloaded from unicode.org into nodejs. Unicode before 9.0.0 downloads binary resources over HTTP... |
| CVE-2016-10579 | Chromedriver is an NPM wrapper for selenium ChromeDriver. Chromedriver before 2.26.1 downloads binary resources over HTTP, wh... |
| CVE-2016-10580 | nodewebkit is an installer for node-webkit. nodewebkit downloads zipped resources over HTTP, which leaves it vulnerable to MI... |
| CVE-2016-10581 | Steroids is PhoneGap on Steroids, providing native UI elements, multiple WebViews and enhancements for better developer produ... |
| CVE-2016-10582 | closurecompiler is a Closure Compiler for node.js. closurecompiler downloads binary resources over HTTP, which leaves it vuln... |
| CVE-2016-10584 | dalek-browser-chrome-canary provides Google Chrome bindings for DalekJS. dalek-browser-chrome-canary downloads binary resourc... |
| CVE-2016-10585 | libxl provides Node bindings for the libxl library for reading and writing excel (XLS and XLSX) spreadsheets. libxl downloads... |
| CVE-2016-10586 | macaca-chromedriver is a Node.js wrapper for the selenium chromedriver. macaca-chromedriver before 1.0.29 downloads binary re... |
| CVE-2016-10587 | wasdk is a toolkit for creating WebAssembly modules. wasdk downloads binary resources over HTTP, which leaves it vulnerable t... |
| CVE-2016-10588 | nw is an installer for nw.js. nw downloads zipped resources over HTTP, It may be possible to cause remote code execution (RCE... |
| CVE-2016-10589 | selenium-binaries downloads Selenium related binaries for your OS. selenium-binaries downloads binary resources over HTTP, wh... |
| CVE-2016-10590 | cue-sdk-node is a Corsair Cue SDK wrapper for node.js. cue-sdk-node downloads zipped resources over HTTP, which leaves it vul... |
| CVE-2016-10591 | Prince is a Node API for executing XML/HTML to PDF renderer PrinceXML via prince(1) CLI. prince downloads zipped resources ov... |
| CVE-2016-10592 | jser-stat is a JSer.info stat library. jser-stat downloads data resources over HTTP, which leaves it vulnerable to MITM attac... |
| CVE-2016-10593 | ibapi is an Interactive Brokers API addon for NodeJS. ibapi downloads binary resources over HTTP, which leaves it vulnerable... |
| CVE-2016-10594 | ipip is a Node.js module to query geolocation information for an IP or domain, based on database by ipip.net. ipip downloads... |
| CVE-2016-10595 | jdf-sass is a fork from node-sass, jdf use only. jdf-sass downloads executable resources over HTTP, which leaves it vulnerabl... |
| CVE-2016-10596 | imageoptim is a Node.js wrapper for some images compression algorithms. imageoptim downloads zipped resources over HTTP, whic... |
| CVE-2016-10597 | cobalt-cli downloads resources over HTTP, which leaves it vulnerable to MITM attacks. |
| CVE-2016-10598 | arrayfire-js is a module for ArrayFire for the Node.js platform. arrayfire-js downloads binary resources over HTTP, which lea... |
| CVE-2016-10599 | sauce-connect is a Node.js wrapper over the SauceLabs SauceConnect.jar program for establishing a secure tunnel for intranet... |
| CVE-2016-10600 | webrtc-native uses WebRTC from chromium project. webrtc-native downloads binary resources over HTTP, which leaves it vulnerab... |
| CVE-2016-10601 | webdrvr is a npm wrapper for Selenium Webdriver including Chromedriver / IEDriver / IOSDriver / Ghostdriver. webdrvr download... |
| CVE-2016-10602 | haxe is a cross-platform toolkit haxe downloads zipped resources over HTTP, which leaves it vulnerable to MITM attacks. It ma... |
| CVE-2016-10603 | air-sdk is a NPM wrapper for the Adobe AIR SDK. air-sdk downloads binary resources over HTTP, which leaves it vulnerable to M... |
| CVE-2016-10604 | dalek-browser-chrome is Google Chrome bindings for DalekJS. dalek-browser-chrome downloads binary resources over HTTP, which... |
| CVE-2016-10605 | dalek-browser-ie is Internet Explorer bindings for DalekJS. dalek-browser-ie downloads binary resources over HTTP, which leav... |
| CVE-2016-10606 | grunt-webdriver-qunit is a grunt plugin to run qunit with webdriver in grunt grunt-webdriver-qunit downloads binary resources... |
| CVE-2016-10607 | openframe-glsviewer is a Openframe extension which adds support for shaders via glslViewer. openframe-glsviewer downloads bin... |
| CVE-2016-10608 | robot-js is a module for native system automation for node.js. robot-js downloads binary resources over HTTP, which leaves it... |
| CVE-2016-10609 | chromedriver126 is chromedriver version 1.26 for linux OS. chromedriver126 downloads binary resources over HTTP, which leaves... |
| CVE-2016-10610 | unicode-json is a unicode lookup table. unicode-json before 2.0.0 downloads data resources over HTTP, which leaves it vulnera... |
| CVE-2016-10611 | strider-sauce is Sauce Labs / Selenium support for Strider. strider-sauce downloads zipped resources over HTTP, which leaves... |
| CVE-2016-10612 | dalek-browser-ie-canary is Internet Explorer bindings for DalekJS. dalek-browser-ie-canary downloads binary resources over HT... |
| CVE-2016-10613 | bionode-sra is a Node.js wrapper for SRA Toolkit. bionode-sra downloads data resources over HTTP, which leaves it vulnerable... |
| CVE-2016-10614 | httpsync is a port of libcurl to node.js. httpsync downloads binary resources over HTTP, which leaves it vulnerable to MITM a... |
| CVE-2016-10615 | curses is bindings for the native curses library, a full featured console IO library. curses downloads binary resources over... |
| CVE-2016-10616 | openframe-image is an Openframe extension which adds support for images via fbi. openframe-image downloads data resources ove... |
| CVE-2016-10617 | box2d-native downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause re... |
| CVE-2016-10618 | node-browser is a wrapper webdriver by nodejs. node-browser downloads resources over HTTP, which leaves it vulnerable to MITM... |
| CVE-2016-10619 | pennyworth is a natural language templating engine. pennyworth downloads data resources over HTTP, which leaves it vulnerable... |
| CVE-2016-10620 | atom-node-module-installer installs node modules for atom-shell applications. atom-node-module-installer binary resources ove... |
| CVE-2016-10621 | fibjs is a runtime for javascript applictions built on google v8 JS. fibjs downloads binary resources over HTTP, which leaves... |
| CVE-2016-10622 | nodeschnaps is a NodeJS compatibility layer for Java (Rhino). nodeschnaps downloads binary resources over HTTP, which leaves... |
| CVE-2016-10623 | macaca-chromedriver-zxa is a Node.js wrapper for the selenium chromedriver. macaca-chromedriver-zxa downloads binary resource... |
| CVE-2016-10624 | selenium-chromedriver is a simple utility for downloading the Selenium Webdriver for Google Chrome selenium-chromedriver down... |
| CVE-2016-10625 | headless-browser-lite is a minimal npm installer for phantomjs and slimerjs with no external dependencies. headless-browser-l... |
| CVE-2016-10626 | mystem3 is a NodeJS wrapper for the Yandex MyStem 3. mystem3 downloads binary resources over HTTP, which leaves it vulnerable... |
| CVE-2016-10627 | scala-bin is a binary wrapper for Scala. scala-bin downloads binary resources over HTTP, which leaves it vulnerable to MITM a... |
| CVE-2016-10628 | selenium-wrapper is a selenium server wrapper, including installation and chrome webdriver. selenium-wrapper downloads binary... |
| CVE-2016-10629 | nw-with-arm is a NW Installer including ARM-Build. nw-with-arm downloads binary resources over HTTP, which leaves it vulnerab... |
| CVE-2016-10630 | install-g-test downloads resources over HTTP, which leaves it vulnerable to MITM attacks. |
| CVE-2016-10631 | jvminstall is a module for downloading and unpacking jvm to local system. jvminstall downloads binary resources over HTTP, wh... |
| CVE-2016-10632 | apk-parser2 is a module which extracts Android Manifest info from an APK file. apk-parser2 downloads binary resources over HT... |
| CVE-2016-10633 | dwebp-bin is a dwebp node.js wrapper that convert WebP into PNG. dwebp-bin downloads binary resources over HTTP, which leaves... |
| CVE-2016-10634 | scala-standalone-bin is a Binary wrapper for ScalaJS. scala-standalone-bin downloads binary resources over HTTP, which leaves... |
| CVE-2016-10635 | broccoli-closure is a Closure compiler plugin for Broccoli. broccoli-closure before 1.3.1 downloads binary resources over HTT... |
| CVE-2016-10636 | grunt-ccompiler is a Closure Compiler Grunt Plugin. grunt-ccompiler downloads binary resources over HTTP, which leaves it vul... |
| CVE-2016-10637 | haxe-dev is a cross-platform toolkit. haxe-dev downloads binary resources over HTTP, which leaves it vulnerable to MITM attac... |
| CVE-2016-10638 | js-given is a JavaScript frontend to jgiven. js-given downloads binary resources over HTTP, which leaves it vulnerable to MIT... |
| CVE-2016-10639 | redis-srvr is a npm wrapper for redis-server. redis-srvr downloads binary resources over HTTP, which leaves it vulnerable to... |
| CVE-2016-10640 | node-thulac is a node binding for thulac. node-thulac downloads binary resources over HTTP, which leaves it vulnerable to MIT... |
| CVE-2016-10641 | node-bsdiff-android downloads resources over HTTP, which leaves it vulnerable to MITM attacks. |
| CVE-2016-10642 | cmake installs the cmake x86 linux binaries. cmake downloads binary resources over HTTP, which leaves it vulnerable to MITM a... |
| CVE-2016-10643 | jstestdriver is a wrapper for Google's jstestdriver. jstestdriver downloads binary resources over HTTP, which leaves it vulne... |
| CVE-2016-10644 | slimerjs-edge is a npm wrapper for installing the bleeding edge version of slimerjs. slimerjs-edge downloads binary resources... |
| CVE-2016-10645 | grunt-images is a grunt plugin for processing images. grunt-images downloads binary resources over HTTP, which leaves it vuln... |
| CVE-2016-10646 | resourcehacker is a Node wrapper of Resource Hacker (windows executable resource editor). resourcehacker downloads binary res... |
| CVE-2016-10647 | node-air-sdk is an AIR SDK for nodejs. node-air-sdk downloads binary resources over HTTP, which leaves it vulnerable to MITM... |
| CVE-2016-10648 | marionette-socket-host is a marionette-js-runner host for sending actions over a socket. marionette-socket-host downloads bin... |
| CVE-2016-10649 | frames-compiler downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause... |
| CVE-2016-10650 | ntfserver is a Network Testing Framework Server. ntfserver downloads binary resources over HTTP, which leaves it vulnerable t... |
| CVE-2016-10651 | webdriver-launcher is a Node.js Selenium Webdriver Launcher. webdriver-launcher downloads binary resources over HTTP, which l... |
| CVE-2016-10652 | prebuild-lwip is a module for comprehensive, fast, and simple image processing and manipulation. prebuild-lwip downloads reso... |
| CVE-2016-10653 | xd-testing is a testing library for cross-device (XD) web applications. xd-testing downloads binary resources over HTTP, whic... |
| CVE-2016-10654 | sfml downloads resources over HTTP, which leaves it vulnerable to MITM attacks. |
| CVE-2016-10655 | The clang-extra module installs LLVM's clang-extra tools. clang-extra downloads binary resources over HTTP, which leaves it v... |
| CVE-2016-10656 | qbs is a build tool that helps simplify the build process for developing projects across multiple platforms. qbs downloads bi... |
| CVE-2016-10657 | co-cli-installer downloads the co-cli module as part of the install process, but does so over HTTP, which leaves it vulnerabl... |
| CVE-2016-10658 | native-opencv is the OpenCV library installed via npm native-opencv downloads binary resources over HTTP, which leaves it vul... |
| CVE-2016-10659 | poco - The POCO libraries, downloads source file resources used for compilation over HTTP, which leaves it vulnerable to MITM... |
| CVE-2016-10660 | fis-parser-sass-bin a plugin for fis to compile sass using node-sass-binaries. fis-parser-sass-bin downloads binary resources... |
| CVE-2016-10661 | phantomjs-cheniu is a Headless WebKit with JS API phantomjs-cheniu downloads binary resources over HTTP, which leaves it vuln... |
| CVE-2016-10662 | tomita is a node wrapper for Yandex Tomita Parser tomita downloads binary resources over HTTP, which leaves it vulnerable to... |
| CVE-2016-10663 | wixtoolset is a Node module wrapper around the wixtoolset binaries wixtoolset downloads binary resources over HTTP, which lea... |
| CVE-2016-10664 | mystem is a Node.js wrapper for MyStem morphology text analyzer by Yandex.ru mystem downloads binary resources over HTTP, whi... |
| CVE-2016-10665 | herbivore is a packet sniffing and crafting library. Built on libtins herbivore 0.0.3 and below download binary resources ove... |
| CVE-2016-10666 | tomita-parser is a Node wrapper for Yandex Tomita Parser tomita-parser downloads binary resources over HTTP, which leaves it... |
| CVE-2016-10667 | selenium-portal is a Selenium Testing Framework selenium-portal downloads binary resources over HTTP, which leaves it vulnera... |
| CVE-2016-10668 | libsbml is a module that installs Linux binaries for libSBML libsbml downloads resources over HTTP, which leaves it vulnerabl... |
| CVE-2016-10669 | soci downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote cod... |
| CVE-2016-10670 | windows-seleniumjar-mirror downloads the Selenium Jar file windows-seleniumjar-mirror downloads binary resources over HTTP, w... |
| CVE-2016-10671 | mystem-wrapper is a Yandex mystem app wrapper module. mystem-wrapper downloads binary resources over HTTP, which leaves it vu... |
| CVE-2016-10672 | cloudpub-redis is a module for CloudPub: Redis Backend cloudpub-redis downloads binary resources over HTTP, which leaves it v... |
| CVE-2016-10673 | ipip-coffee queries geolocation information from IP ipip-coffee downloads geolocation resources over HTTP, which leaves it vu... |
| CVE-2016-10674 | limbus-buildgen is a "build anywhere" build system. limbus-buildgen versions below 0.1.1 download binary resources over HTTP,... |
| CVE-2016-10675 | libsbmlsim is a module that installs linux binaries for libsbmlsim libsbmlsim downloads binary resources over HTTP, which lea... |
| CVE-2016-10676 | rs-brightcove is a wrapper around brightcove's web api rs-brightcove downloads source file resources over HTTP, which leaves... |
| CVE-2016-10677 | google-closure-tools-latest is a Node.js module wrapper for downloading the latest version of the Google Closure tools google... |
| CVE-2016-10678 | serc.js is a Selenium RC process wrapper serc.js downloads binary resources over HTTP, which leaves it vulnerable to MITM att... |
| CVE-2016-10679 | selenium-standalone-painful installs a start-selenium command line to start a standalone selenium server with chrome-driver.... |
| CVE-2016-10680 | adamvr-geoip-lite is a light weight native JavaScript implementation of GeoIP API from MaxMind adamvr-geoip-lite downloads ge... |
| CVE-2016-10681 | roslib-socketio - The standard ROS Javascript Library fork for add support to socket.io roslib-socketio downloads binary reso... |
| CVE-2016-10682 | massif is a Phantomjs fork massif downloads resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possib... |
| CVE-2016-10683 | arcanist downloads resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code e... |
| CVE-2016-10684 | healthcenter - IBM Monitoring and Diagnostic Tools health Center agent healthcenter downloads binary resources over HTTP, whi... |
| CVE-2016-10685 | pk-app-wonderbox is an integration with wonderbox pk-app-wonderbox downloads binary resources over HTTP, which leaves it vuln... |
| CVE-2016-10686 | fis-sass-all is another libsass wrapper for node. fis-sass-all downloads binary resources over HTTP, which leaves it vulnerab... |
| CVE-2016-10687 | windows-selenium-chromedriver is a module that downloads the Selenium Jar file. windows-selenium-chromedriver downloads binar... |
| CVE-2016-10688 | Haxe 3 : The Cross-Platform Toolkit (a fork from David Mouton's damoebius/haxe-npm) haxe3 downloads resources over HTTP, whic... |
| CVE-2016-10689 | The windows-iedriver module downloads fixed version of iedriverserver.exe windows-iedriver downloads binary resources over HT... |
| CVE-2016-10690 | openframe-ascii-image module is an openframe plugin which adds support for ascii images via fim. openframe-ascii-image downlo... |
| CVE-2016-10691 | windows-seleniumjar is a module that downloads the Selenium Jar file windows-seleniumjar downloads binary resources over HTTP... |
| CVE-2016-10693 | pm2-kafka is a PM2 module that installs and runs a kafka server pm2-kafka downloads binary resources over HTTP, which leaves... |
| CVE-2016-10694 | alto-saxophone is a module to install and launch Chromedriver for Mac, Linux or Windows. alto-saxophone versions below 2.25.1... |
| CVE-2016-10695 | The npm-test-sqlite3-trunk module provides asynchronous, non-blocking SQLite3 bindings. npm-test-sqlite3-trunk downloads bina... |
| CVE-2016-10696 | windows-latestchromedriver downloads the latest version of chromedriver.exe. windows-latestchromedriver downloads binary reso... |
| CVE-2016-10697 | react-native-baidu-voice-synthesizer is a baidu voice speech synthesizer for react native. react-native-baidu-voice-synthesiz... |
| CVE-2016-10698 | mystem-fix is a node.js wrapper for MyStem morphology text analyzer by Yandex.ru mystem-fix downloads binary resources over H... |
| CVE-2017-12716 | Abbott Laboratories Accent and Anthem pacemakers manufactured prior to Aug 28, 2017 transmit unencrypted patient information... |
| CVE-2017-14012 | Boston Scientific ZOOM LATITUDE PRM Model 3120 does not encrypt PHI at rest. CVSS v3 base score: 4.6; CVSS vector string: AV:... |
| CVE-2017-16003 | windows-build-tools is a module for installing C++ Build Tools for Windows using npm. windows-build-tools versions below 1.0.... |
| CVE-2017-16035 | The hubl-server module is a wrapper for the HubL Development Server. During installation hubl-server downloads a set of depen... |
| CVE-2017-16040 | gfe-sass is a library for promises (CommonJS/Promises/A,B,D) gfe-sass downloads resources over HTTP, which leaves it vulnerab... |
| CVE-2017-16041 | ikst versions before 1.1.2 download resources over HTTP, which leaves it vulnerable to MITM attacks. |
| CVE-2017-3218 | Samsung Magician 5.0 fails to validate TLS certificates for HTTPS software update traffic. Prior to version 5.0, Samsung Magi... |
| CVE-2017-3219 | Acronis True Image up to and including version 2017 Build 8053 performs software updates using HTTP. Downloaded updates are o... |
| CVE-2017-9632 | A Missing Encryption of Sensitive Data issue was discovered in PDQ Manufacturing LaserWash G5 and G5 S Series all versions, L... |
| CVE-2018-16879 | Ansible Tower before version 3.3.3 does not set a secure channel as it is using the default insecure configuration channel se... |
| CVE-2018-17915 | All versions of Hangzhou Xiongmai Technology Co., Ltd XMeye P2P Cloud Server do not encrypt all device communication. This in... |
| CVE-2018-18984 | Medtronic 9790, 2090 CareLink, and 29901 Encore Programmers Missing Encryption of Sensitive Data |
| CVE-2018-19944 | Cleartext Transmission of Sensitive Information in SNMP |
| CVE-2018-4855 | A vulnerability has been identified in SICLOCK TC100 (All versions) and SICLOCK TC400 (All versions). Unencrypted storage of... |
| CVE-2018-7498 | In Philips Alice 6 System version R8.0.2 or prior, the lack of proper data encryption passes up the guarantees of confidentia... |
| CVE-2018-8849 | Medtronic N'Vision Clinician Programmer Missing Encryption of Sensitive Data |
| CVE-2018-8864 | In ATI Systems Emergency Mass Notification Systems (HPSS16, HPSS32, MHPSS, and ALERT4000) devices, a missing encryption of se... |
| CVE-2019-13418 | Search Guard versions before 24.0 had an issue that values of string arrays in documents are not properly anonymized. |
| CVE-2019-13419 | Search Guard versions before 23.1 had an issue that for aggregations clear text values of anonymised fields were leaked. |
| CVE-2019-13922 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V2.0 SP1). An attacker with administrativ... |
| CVE-2019-18254 | BIOTRONIK CardioMessenger II, The affected products do not encrypt sensitive information while at rest. An attacker with phys... |
| CVE-2019-5448 | Yarn before 1.17.3 is vulnerable to Missing Encryption of Sensitive Data due to HTTP URLs in lockfile causing unencrypted aut... |
| CVE-2019-6526 | Moxa IKS-G6824A series Versions 4.5 and prior, EDS-405A series Version 3.8 and prior, EDS-408A series Version 3.8 and prior,... |
| CVE-2020-10039 | A vulnerability has been identified in SICAM MMU (All versions < V2.05), SICAM SGU (All versions), SICAM T (All versions < V2... |
| CVE-2020-10124 | NCR SelfServ ATMs running APTRA XFS 05.01.00 do not encrypt, authenticate, or verify the integrity of messages between the BN... |
| CVE-2020-10267 | RVD#1489: Unprotected intelectual property in Universal Robots controller CB 3.1 across firmware versions |
| CVE-2020-10273 | RVD#2560: Unprotected intellectual property in Mobile Industrial Robots (MiR) controllers |
| CVE-2020-12032 | Baxter ExactaMix EM 2400 Versions 1.10, 1.11 and ExactaMix EM1200 Versions 1.1, 1.2 systems store device data with sensitive... |
| CVE-2020-12801 | Crash-recovered MSOffice encrypted documents defaulted to not to using encryption on next save |
| CVE-2020-28216 | A CWE-311: Missing Encryption of Sensitive Data vulnerability exists in Easergy T300 (firmware 2.7 and older), that would all... |
| CVE-2020-28217 | A CWE-311: Missing Encryption of Sensitive Data vulnerability exists in Easergy T300 (firmware 2.7 and older), that would all... |
| CVE-2020-35168 | Dell BSAFE Crypto-C Micro Edition, versions before 4.1.5, and Dell BSAFE Micro Edition Suite, versions before 4.6, contain an... |
| CVE-2020-7567 | A CWE-311: Missing Encryption of Sensitive Data vulnerability exists in Modicon M221 (all references, all versions) that coul... |
| CVE-2020-9057 | Z-Wave devices based on Silicon Labs 100, 200, and 300 series chipsets do not support encryption, allowing an attacker within... |
| CVE-2020-9058 | Z-Wave devices based on Silicon Labs 500 series chipsets using CRC-16 encapsulation, including but likely not limited to the... |
| CVE-2020-9062 | Diebold Nixdorf ProCash 2100xe USB ATMs running Wincor Probase version 1.1.30 do not encrypt, authenticate, or verify the int... |
| CVE-2021-21963 | An information disclosure vulnerability exists in the Web Server functionality of Sealevel Systems, Inc. SeaConnect 370W v1.3... |
| CVE-2021-22782 | Missing Encryption of Sensitive Data vulnerability exists in EcoStruxure Control Expert (all versions prior to V15.0 SP1, inc... |
| CVE-2021-22932 | An issue has been identified in the CTX269106 mitigation tool for Citrix ShareFile storage zones controller which causes the... |
| CVE-2021-27779 | A Security Misconfiguration vulnerability affects HCL VersionVault Express |
| CVE-2021-27783 | HCL BigFix Mobile / Modern Client Management is vulnerable to sensitive information exposure |
| CVE-2021-28496 | In Arista's EOS software affected releases, the shared secret profiles sensitive configuration might be leaked when displayin... |
| CVE-2021-31386 | Junos OS: When using J-Web with HTTP an attacker may retrieve encryption keys via Person-in-the-Middle attacks. |
| CVE-2021-32001 | K3s/RKE2 bootstrap data is encrypted with empty string if user does not supply a token |
| CVE-2021-33900 | StartTLS and SASL confidentiality protection bypass |
| CVE-2021-39090 | IBM Cloud Pak for Security information disclosure |
| CVE-2021-40366 | A vulnerability has been identified in Climatix POL909 (AWB module) (All versions < V11.42), Climatix POL909 (AWM module) (Al... |
| CVE-2021-41302 | ECOA BAS controller - Missing Encryption of Sensitive Data |
| CVE-2022-22377 | IBM Security Verify Privilege information disclosure |
| CVE-2022-22386 | IBM Security Verify Privilege information disclosure |
| CVE-2022-22405 | IBM Aspera Faspex information disclosure |
| CVE-2022-26390 | Unencrypted internal storage of security credentials |
| CVE-2022-30237 | A CWE-311: Missing Encryption of Sensitive Data vulnerability exists that could allow authentication credentials to be recove... |
| CVE-2022-31085 | Missing Encryption of Sensitive Data in ldap-account-manager |
| CVE-2022-33161 | IBM Security Directory Server information disclosure |
| CVE-2022-3781 | Dashlane password and Keepass Server password in My Account Settings are not encrypted in the database in Devolutions Remote... |
| CVE-2022-38194 | Portal for ArcGIS system properties are not properly encrypted (10.8.1 only) |
| CVE-2022-38458 | A cleartext transmission vulnerability exists in the Remote Management functionality of Netgear Orbi Router RBR750 4.6.8.5. A... |
| CVE-2022-39014 | Under certain conditions SAP BusinessObjects Business Intelligence Platform Central Management Console (CMC) - version 430, a... |
| CVE-2022-41627 | The physical IoT device of the AliveCor's KardiaMobile, a smartphone-based personal electrocardiogram (EKG) has no encryptio... |
| CVE-2023-23371 | QVPN Device Client |
| CVE-2023-28045 | Dell CloudIQ Collector version 1.10.2 contains a missing encryption of sensitive data vulnerability. An attacker with low pr... |
| CVE-2023-28841 | moby/moby's dockerd daemon encrypted overlay network traffic may be unencrypted |
| CVE-2023-30561 | Lack of Cryptographic Security of IUI Bus |
| CVE-2023-33228 | SolarWinds Network Configuration Manager Sensitive Information Disclosure Vulnerability |
| CVE-2023-33833 | IBM Security Verify Information Queue information disclosure |
| CVE-2023-33849 | IBM CICS TX information disclosure |
| CVE-2023-35888 | IBM Security Verify Governance information disclosure |
| CVE-2023-37405 | IBM Cloud Pak System information disclosure |
| CVE-2023-37858 | PHOENIX CONTACT: Use of Hard-coded Credentials in WP 6xxx Web panels |
| CVE-2023-38267 | IBM Security Access Manager Appliance information disclosure |
| CVE-2023-38688 | twitch-tui's connection is not encrypted |
| CVE-2023-38699 | MindsDB 'Call to requests with verify=False disabling SSL certificate checks, security issue.' issue |
| CVE-2023-39954 | user_oidc app stores client secret unencrypted in database |
| CVE-2023-40251 | Missing Encryption of Sensitive Data vulnerability in Genians Genian NAC V4.0, Genians Genian NAC V5.0, Genians Genian NAC Su... |
| CVE-2023-42019 | IBM InfoSphere Information Server information disclosure |
| CVE-2023-4384 | MaximaTech Portal Executivo Cookie missing encryption |
| CVE-2023-52948 | Missing encryption of sensitive data vulnerability in settings functionality in Synology Active Backup for Business Agent bef... |
| CVE-2023-52950 | Missing encryption of sensitive data vulnerability in login component in Synology Active Backup for Business Agent before 2.7... |
| CVE-2023-6339 | Google Nest WiFi Pro root code-execution & user-data compromise |
| CVE-2024-20515 | Cisco Identity Services Engine Information Disclosure Vulnerability |
| CVE-2024-23444 | Elasticsearch elasticsearch-certutil csr fails to encrypt private key |
| CVE-2024-25027 | IBM Security Verify Access Container information disclosure |
| CVE-2024-25630 | Cilium has unencrypted ingress/health traffic when using Wireguard transparent encryption |
| CVE-2024-25631 | Unencrypted traffic between pods when using Wireguard and an external kvstore |
| CVE-2024-27106 | Vulnerable data in transit in GE HealthCare EchoPAC products |
| CVE-2024-28249 | Cilium has possible unencrypted traffic between nodes when using IPsec and L7 policies |
| CVE-2024-28250 | Cilium has possible unencrypted traffic between nodes when using WireGuard and L7 policies |
| CVE-2024-31905 | IBM QRadar Network Packet Capture information disclosure |
| CVE-2024-38283 | Missing Encryption of Sensitive Data in Motorola Solutions Vigilant Fixed LPR Coms Box (BCAV1F2-C600) |
| CVE-2024-38302 | Dell Data Lakehouse, version(s) 1.0.0.0, contain(s) a Missing Encryption of Sensitive Data vulnerability in the DDAE (Starbur... |
| CVE-2024-38325 | IBM Storage Defender information disclosure |
| CVE-2024-39746 | IBM Sterling Connect:Direct Web Services information disclosure |
| CVE-2024-40620 | Rockwell Automation Pavilion8® Unencrypted Data Vulnerability via HTTP protocol |
| CVE-2024-41124 | Puncia Cleartext Transmission of Sensitive Information via HTTP urls in `API_URLS` |
| CVE-2024-41757 | IBM Concert Software information disclosure |
| CVE-2024-41980 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-41982 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-42495 | Hughes Network Systems WL3000 Missing Encryption of Sensitive Data |
| CVE-2024-47871 | Insecure communication between the FRP client and server in Gradio |
| CVE-2024-4995 | Protocol Downgrade in Wapro ERP Desktop |
| CVE-2024-56439 | Access control vulnerability in the identity authentication module Impact: Successful exploitation of this vulnerability may... |
| CVE-2024-5731 | A vulnerability in the IPS Manager, Central Manager, and Local Manager communication workflow allows an attacker to control t... |
| CVE-2024-6400 | Cleartext Storage of Username and Password in Finrota's Netahsilat |
| CVE-2024-7142 | On Arista CloudVision Appliance (CVA) affected releases running on appliances that support hardware disk encryption (DCA-350E... |
| CVE-2024-7396 | Plaintext Communication |
| CVE-2025-10227 | Lack of Encryption in Object Archive in AxxonSoft Axxon One (C-Werk) before 2.0.8 |
| CVE-2025-1243 | Field in api-go proxy not transformed before version 1.44.1 |
| CVE-2025-24008 | A vulnerability has been identified in SIRIUS 3RK3 Modular Safety System (MSS) (All versions), SIRIUS Safety Relays 3SK2 (All... |
| CVE-2025-31977 | A cryptographic weakness has been identified in the HCL BigFix Service Management (SM) |
| CVE-2025-33020 | IBM Engineering Systems Design Rhapsody information disclosure |
| CVE-2025-36062 | IBM Cognos Analytics Mobile (iOS) information disclosure |
| CVE-2025-3758 | Exposure of Device Configuration without Authentication in WF2220 |
| CVE-2025-40680 | Encryption of sensitive data in CapillaryScope missing |
| CVE-2025-47274 | ToolHive stores secrets in the state store with no encryption |
| CVE-2025-59410 | Dragonfly tiny file download uses hard coded HTTP protocol |
| CVE-2025-65098 | Typebot Vulnerable to Credential Theft via Client-Side Script Execution and API Authorization Bypass |
| CVE-2025-8763 | Ruijie EG306MG strongSwan strongswan.conf missing encryption |
| CVE-2026-27944 | Nginx UI: Unauthenticated Backup Download with Encryption Key Disclosure |
| CVE-2026-28678 | dsa-hub-server: Clear-Text Storage of Sensitive Data |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20231222-36 | 22.12.2023 | Получение конфиденциальной информации в Consul Enterprise |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.