Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-311
CWE-311: Missing Encryption of Sensitive Data
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-01154 | Уязвимость реализации протокола TLS подсистемы Intel Active Management Technology (AMT) микропрограммного обеспечения Intel Converged Security and Manageability Engine и Intel Management Engine, позволяющая нарушителю получить ключ сеанса TLS |
| BDU:2018-01540 | Уязвимость системы идентификации и управления доступом облачного хранилища IBM Cloud Private, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-01124 | Уязвимость микропрограммного обеспечения коммутаторов Moxa EDS и IKS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04082 | Уязвимость функций CMS_decrypt и PKCS7_decrypt ( cms_env.c, cms_smime.c и pk7_doit.c) библиотеки OpenSSL,связанная с недостатками механизма шифрования секретных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информаци... |
| BDU:2019-04084 | Уязвимость функций ec_err.c и ec_lib.c библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04174 | Уязвимость библиотеки libpq системы управления базами данных PostgreSQL, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-01371 | Уязвимость веб-интерфейса сервера Siemens SINEMA Remote Connect, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-02358 | Уязвимость пакета офисных программ LibreOffice, связанная с ошибками при шифровании информации, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-02674 | Уязвимость реализации протоколов TLS и SSL программного обеспечения Mbed TLS, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю раскрыть закрытый ключ RSA |
| BDU:2020-05512 | Уязвимость операционной системы Synology Router Manager (SRM), связанная с отсутствием флага "secure" в файлах cookie сеанса, позволяющая нарушителю получить несанкционированный доступ к целевому устройству |
| BDU:2020-05668 | Уязвимость компонента установки гиперконвергентной инфраструктуры Cisco HyperFlex, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2021-00981 | Уязвимость службы веб-API операционной системы Junos маршрутизаторов NFX Series и SRX Series, позволяющая нарушителю получить закрытый ключ службы веб-API |
| BDU:2021-03297 | Уязвимость распределенной системы управления базами данных Apache Impala, связанная с ошибками при шифровании информации, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-04127 | Уязвимость службы FortiMail IBE (Identity Based Encryption) системы защиты электронной почты FortiMail, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04141 | Уязвимость почтового клиента Thunderbird, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04283 | Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M221, M100, M200, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю получить ключ шифрования |
| BDU:2021-04323 | Уязвимость микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 RTU, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю получить несанкцион... |
| BDU:2021-04477 | Уязвимость платформы для работы с каталогами Apache Directory Studio, связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-04878 | Уязвимость графического распределённого кроссплатформенного IRC-клиента Quassel, связанная с ошибками при шифровании информации, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-05114 | Уязвимость средства планирования ресурсов предприятия LedgerSMB, связанная с отсутствием установки атрибута "Secure" в файлах cookie сеанса авторизации, позволяющая нарушителю получить данные аутентификации |
| BDU:2021-05409 | Уязвимость модуля KrServerBDdemoRT.exe программного обеспечения SCADA-системы "КРУГ-2000", связанная с непринятием мер по шифрованию критической информации, позволяющая нарушителю перехватить технологические данные |
| BDU:2021-05857 | Уязвимость системы управления базами данных PostgreSQL, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2022-01476 | Уязвимость IMAP-сервера голосовой почты прямого доступа с визуальным интерфейсом Visual Voice Mail (VVM) for Android, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-03277 | Уязвимость системы автоматизации Wiser Smart программируемых логических контролеров Schneider Electric Wiser Controller EER21000 и Wiser Controller EER21001, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю восстановить учетны... |
| BDU:2022-04004 | Уязвимость веб-приложения управления учетными записями LDAP Account Manager, связанная с непринятием мер по защите конфиденциальной информации, позволяющая нарушителю получить аутентификационные данные LDAP |
| BDU:2022-07419 | Уязвимость реализации протокола CPE WAN Management Protocol (TR-069) программного обеспечения для централизованного управления устройствами в сети Zyxel CloudCNM SecuManager, позволяющая нарушителю получить несанкционированный доступ к защищаемой инф... |
| BDU:2023-03045 | Уязвимость HMI/SCADA CONPROSYS HMI, связанная с хранением учетных данных в виде открытого текста, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-03074 | Уязвимость программного средства для управления производственными процессами ABB eSOMS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-03540 | Уязвимость программного средства программирования ПЛК EcoStruxure Control Expert, системы автоматизации Process Expert, программного средства конфигурирования SCADAPack RemoteConnect, связанная с недостаточной защитой регистрационных данных, позволяю... |
| BDU:2023-03583 | Уязвимость функции CloudSec Encryption режима ACI операционной системы Cisco NX-OS коммутаторов Cisco Nexus серии 9332C, 9364C и 9500, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных |
| BDU:2023-03764 | Уязвимость службы Telnet кабельного шлюза Hitron CODA-5310, позволяющая нарушителю получить доступ к учетным данным пользователей и администратора |
| BDU:2023-04630 | Уязвимость адресной строки Omnibox браузера Google Chrome, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2023-04739 | Уязвимость компонента var/lib/maxscale/maxscale.cnf.d прокси сервера базы данных MariaDB MaxScale, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-04918 | Уязвимость микропрограммного обеспечения веб-панелей для управления и мониторинга процессов в промышленных системах PHOENIX CONTACT WP 6xxx, связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю получить несанкционир... |
| BDU:2023-05008 | Уязвимость контейнерной платформы Moby, связанная с отсутствием шифрования конфиденциальных данных и неправильным обращением с исключительными условиями, позволяющая нарушителю получить конфиденциальную информацию. |
| BDU:2023-05063 | Уязвимость веб-службы программной платформы для управления безопасностью в промышленных сетях MXSecurity, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-05831 | Уязвимость программного средства обмена информацией и событиями между компонентами системы аутентификации и авторизации IBM Security Verify Information Queue, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю получить доступ к... |
| BDU:2023-07930 | Уязвимость программного средства хранения и управления данными IBM Security Directory Server, связанная с отсутствием шифрования конфиденциальных данных, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-08032 | Уязвимость программного обеспечения автоматизированного, облачного и локального администрирования учетных записей IBM Security Verify Privilege On-Premises, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю проводить атаки типа... |
| BDU:2023-08205 | Уязвимость программного обеспечения автоматизированного, облачного и локального администрирования учетных записей IBM Security Verify Privilege On-Premises, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю проводить атаки типа... |
| BDU:2023-08836 | Уязвимость инструмента для мониторинга Nagios XI, связанная с незашифрованным хранением учетных данных, позволяющая нарушителю учетные данные для сторонних хостов из зашифрованных файлов Ansible |
| BDU:2024-00555 | Уязвимости программного средства защиты доступа к приложениям в среде Docker IBM Security Verify Access Docker, системы управления доступом IBM Security Verify Access, вызванная непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю... |
| BDU:2024-00570 | Уязвимость программного обеспечения для управления и контроля доступа к корпоративным ресурсам и приложениям IBM Security Verify Governance , вызванная непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю раскрыть защищаемую информ... |
| BDU:2024-02070 | Уязвимость облачного программного обеспечения для хранения данных IBM Watson CP4D Data Stores, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-02106 | Уязвимость компонента Query Parameter Handler программного обеспечения управления транзакционными приложениями IBM TXSeries for Multiplatforms, сервера приложений IBM CICS TX Standard, IBM CICS TX Advanced, позволяющая нарушителю получить несанкциони... |
| BDU:2024-03999 | Уязвимость медицинского программного обеспечения GE HealthCare EchoPAC, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-04525 | Уязвимость видеобара и коммутатора для видеоконфиренций Apollo VX20, связанная с отсутствием шифрования конфиденциальных данных и неправильным обращением с исключительными условиями, позволяющая нарушителю получить пароли в открытом виде |
| BDU:2024-05755 | Уязвимость SQL-движка Dell Data Analytics Engine (DDAE) платформы хранения данных Dell Data Lakehouse, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-05851 | Уязвимость микропрограммного обеспечения шлюзов Ruijie EG-2000SE, связана с хранением паролей в открытом виде, позволяющая нарушителю сбросить пароли |
| BDU:2024-06377 | Уязвимость промышленного сервера последовательных устройств Korenix JetPort, связанная с отсутствием зашифрованных конфиденциальных данных, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-06469 | Уязвимость компоненте шифрования NSS браузеров Mozilla Firefox, Firefox ESR, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2024-06563 | Уязвимость средства захвата сетевого трафика IBM QRadar Network Packet Capture, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-06775 | Уязвимость микропрограммного обеспечения IP-камеры Hikvision DS-2CD2432F-IW, связанная с недостатками шифрования, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07672 | Уязвимость программного средства реализации двухфакторной аутентификации Cisco Duo Epic for Hyperdrive, связанная с недостаточной защитой служебных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-08803 | Уязвимость веб-интерфейса администрирования платформы управления политиками соединений Cisco Identity Services Engine, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00116 | Уязвимость реализации стандарта шифрования электронной почты OpenPGP почтового клиента Mozilla Thunderbird, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-00893 | Уязвимость протокола сетевой авторизации компонента Firebird программного обеспечения "Популяционный раковый регистр" и "Госпитальный раковый регистр", позволяющая нарушителю осуществить перехват трафика |
| BDU:2025-00941 | Уязвимость компонента Defender Sensor службы IBM Storage Defender Data Resiliency Service (DRS) средства защиты данных IBM Storage Defender, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2025-02250 | Уязвимость инструмента автоматизации на основе искусственного интеллекта IBM Concert Software, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-04450 | Уязвимость функции ceph_handle_caps() модуля fs/ceph/caps.c поддержки файловой системы ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-06751 | Уязвимость реализации протокола PROFINET микропрограммного обеспечения модульной системы безопасности SIRIUS 3RK3 и микропрограммного обеспечения реле безопасности SIRIUS 3SK2, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06754 | Уязвимость установщика программного обеспечения для управления видеонаблюдением Milestone XProtect, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-07763 | Уязвимость микропрограммного обеспечения системы радиоуправления ANKA JPD 00028, связанная с отсутствия шифрования при обмене данными между передатчиком и приёмником, позволяющая нарушителю реализовать атаку "Повторное воспроизведение" (Replay attack... |
| BDU:2025-08308 | Уязвимость плагина Aqua Security Scanner сервера автоматизации Jenkins, связанная с отсутствием мер по шифрованию данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08312 | Уязвимость плагина QMetry Test Management сервера автоматизации Jenkins, связанная с хранением ключей API Qmetry Automation в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08318 | Уязвимость плагина IBM Cloud DevOps сервера автоматизации Jenkins, связанная с хранением ключей в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08353 | Уязвимость плагина VAddy сервера автоматизации Jenkins, связанная с хранением ключей в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08551 | Уязвимость плагина Dead Man’s Snitch сервера автоматизации Jenkins, связанная с хранением токенов в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08554 | Уязвимость плагина Sensedia Api Platform tools сервера автоматизации Jenkins, связанная с хранением токенов в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08571 | Уязвимость плагина Xooa сервера автоматизации Jenkins, связанная с хранением токенов в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08585 | Уязвимость плагина User1st uTester сервера автоматизации Jenkins, связанная с хранением токенов в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09643 | Уязвимость демона strongSwan микропрограммного обеспечения шлюзов Ruijie RG-EG306MG-P, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-16433 | Уязвимость ПЛК NLcon-CE-485-C, связанная с непринятием мер по шифрованию секретных данных, позволяющая нарушителю получить доступ к конфиденциальной информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2012-1977 | WellinTech KingSCADA Missing Encryption of Sensitive Data |
| CVE-2014-2379 | Sensys Networks Traffic Sensor Missing Encryption of Sensitive Data |
| CVE-2016-10552 | igniteui 0.0.5 and earlier downloads JavaScript and CSS resources over insecure protocol. |
| CVE-2016-10557 | appium-chromedriver is a Node.js wrapper around Chromedriver. Versions below 2.9.4 download binary resources over HTTP, which... |
| CVE-2016-10558 | aerospike is an Aerospike add-on module for Node.js. aerospike versions below 2.4.2 download binary resources over HTTP, whic... |
| CVE-2016-10559 | selenium-download downloads the latest versions of the selenium standalone server and the chromedriver. selenium-download bef... |
| CVE-2016-10560 | galenframework-cli is the node wrapper for the Galen Framework. galenframework-cli below 2.3.1 download binary resources over... |
| CVE-2016-10562 | iedriver is an NPM wrapper for Selenium IEDriver. iedriver versions below 3.0.0 download binary resources over HTTP, which le... |
| CVE-2016-10563 | During the installation process, the go-ipfs-deps module before 0.4.4 insecurely downloads resources over HTTP. This allows f... |
| CVE-2016-10564 | apk-parser is a tool to extract Android Manifest info from an APK file. apk-parser versions below 0.1.6 download binary resou... |
| CVE-2016-10565 | operadriver is a Opera Driver for Selenium. operadriver versions below 0.2.3 download binary resources over HTTP, which leave... |
| CVE-2016-10566 | install-nw is a module which quickly and robustly installs and caches NW.js. install-nw versions below 1.1.5 download binary... |
| CVE-2016-10567 | product-monitor is a HTML/JavaScript template for monitoring a product by encouraging product developers to gather all the in... |
| CVE-2016-10568 | geoip-lite-country is a stripped down version of geoip-lite, supporting only country lookup. geoip-lite-country before 1.1.4... |
| CVE-2016-10569 | embedza is a module to create HTML snippets/embeds from URLs using info from oEmbed, Open Graph, meta tags. embedza versions... |
| CVE-2016-10570 | pngcrush-installer is an installer for Pngcrush. pngcrush-installer versions below 1.8.10 download binary resources over HTTP... |
| CVE-2016-10571 | bkjs-wand is imagemagick wand support for node.js and backendjs bkjs-wand versions lower than 0.3.2 download binary resources... |
| CVE-2016-10572 | mongodb-instance before 0.0.3 installs mongodb locally. mongodb-instance downloads binary resources over HTTP, which leaves i... |
| CVE-2016-10573 | baryton-saxophone is a module to install and launch Selenium Server for Mac, Linux and Windows. baryton-saxophone versions be... |
| CVE-2016-10574 | apk-parser3 is a module to extract Android Manifest info from an APK file. apk-parser3 versions before 0.1.3 download binary... |
| CVE-2016-10575 | Kindlegen is a simple Node.js wrapper of the official kindlegen program. Kindlegen versions before 1.1.0 download binary reso... |
| CVE-2016-10576 | Fuseki server wrapper and management API in fuseki before 1.0.1 downloads binary resources over HTTP, which leaves it vulnera... |
| CVE-2016-10577 | ibm_db is an asynchronous/synchronous interface for node.js to IBM DB2 and IBM Informix. ibm_db before 1.0.2 downloads binary... |
| CVE-2016-10578 | unicode loads unicode data downloaded from unicode.org into nodejs. Unicode before 9.0.0 downloads binary resources over HTTP... |
| CVE-2016-10579 | Chromedriver is an NPM wrapper for selenium ChromeDriver. Chromedriver before 2.26.1 downloads binary resources over HTTP, wh... |
| CVE-2016-10580 | nodewebkit is an installer for node-webkit. nodewebkit downloads zipped resources over HTTP, which leaves it vulnerable to MI... |
| CVE-2016-10581 | Steroids is PhoneGap on Steroids, providing native UI elements, multiple WebViews and enhancements for better developer produ... |
| CVE-2016-10582 | closurecompiler is a Closure Compiler for node.js. closurecompiler downloads binary resources over HTTP, which leaves it vuln... |
| CVE-2016-10584 | dalek-browser-chrome-canary provides Google Chrome bindings for DalekJS. dalek-browser-chrome-canary downloads binary resourc... |
| CVE-2016-10585 | libxl provides Node bindings for the libxl library for reading and writing excel (XLS and XLSX) spreadsheets. libxl downloads... |
| CVE-2016-10586 | macaca-chromedriver is a Node.js wrapper for the selenium chromedriver. macaca-chromedriver before 1.0.29 downloads binary re... |
| CVE-2016-10587 | wasdk is a toolkit for creating WebAssembly modules. wasdk downloads binary resources over HTTP, which leaves it vulnerable t... |
| CVE-2016-10588 | nw is an installer for nw.js. nw downloads zipped resources over HTTP, It may be possible to cause remote code execution (RCE... |
| CVE-2016-10589 | selenium-binaries downloads Selenium related binaries for your OS. selenium-binaries downloads binary resources over HTTP, wh... |
| CVE-2016-10590 | cue-sdk-node is a Corsair Cue SDK wrapper for node.js. cue-sdk-node downloads zipped resources over HTTP, which leaves it vul... |
| CVE-2016-10591 | Prince is a Node API for executing XML/HTML to PDF renderer PrinceXML via prince(1) CLI. prince downloads zipped resources ov... |
| CVE-2016-10592 | jser-stat is a JSer.info stat library. jser-stat downloads data resources over HTTP, which leaves it vulnerable to MITM attac... |
| CVE-2016-10593 | ibapi is an Interactive Brokers API addon for NodeJS. ibapi downloads binary resources over HTTP, which leaves it vulnerable... |
| CVE-2016-10594 | ipip is a Node.js module to query geolocation information for an IP or domain, based on database by ipip.net. ipip downloads... |
| CVE-2016-10595 | jdf-sass is a fork from node-sass, jdf use only. jdf-sass downloads executable resources over HTTP, which leaves it vulnerabl... |
| CVE-2016-10596 | imageoptim is a Node.js wrapper for some images compression algorithms. imageoptim downloads zipped resources over HTTP, whic... |
| CVE-2016-10597 | cobalt-cli downloads resources over HTTP, which leaves it vulnerable to MITM attacks. |
| CVE-2016-10598 | arrayfire-js is a module for ArrayFire for the Node.js platform. arrayfire-js downloads binary resources over HTTP, which lea... |
| CVE-2016-10599 | sauce-connect is a Node.js wrapper over the SauceLabs SauceConnect.jar program for establishing a secure tunnel for intranet... |
| CVE-2016-10600 | webrtc-native uses WebRTC from chromium project. webrtc-native downloads binary resources over HTTP, which leaves it vulnerab... |
| CVE-2016-10601 | webdrvr is a npm wrapper for Selenium Webdriver including Chromedriver / IEDriver / IOSDriver / Ghostdriver. webdrvr download... |
| CVE-2016-10602 | haxe is a cross-platform toolkit haxe downloads zipped resources over HTTP, which leaves it vulnerable to MITM attacks. It ma... |
| CVE-2016-10603 | air-sdk is a NPM wrapper for the Adobe AIR SDK. air-sdk downloads binary resources over HTTP, which leaves it vulnerable to M... |
| CVE-2016-10604 | dalek-browser-chrome is Google Chrome bindings for DalekJS. dalek-browser-chrome downloads binary resources over HTTP, which... |
| CVE-2016-10605 | dalek-browser-ie is Internet Explorer bindings for DalekJS. dalek-browser-ie downloads binary resources over HTTP, which leav... |
| CVE-2016-10606 | grunt-webdriver-qunit is a grunt plugin to run qunit with webdriver in grunt grunt-webdriver-qunit downloads binary resources... |
| CVE-2016-10607 | openframe-glsviewer is a Openframe extension which adds support for shaders via glslViewer. openframe-glsviewer downloads bin... |
| CVE-2016-10608 | robot-js is a module for native system automation for node.js. robot-js downloads binary resources over HTTP, which leaves it... |
| CVE-2016-10609 | chromedriver126 is chromedriver version 1.26 for linux OS. chromedriver126 downloads binary resources over HTTP, which leaves... |
| CVE-2016-10610 | unicode-json is a unicode lookup table. unicode-json before 2.0.0 downloads data resources over HTTP, which leaves it vulnera... |
| CVE-2016-10611 | strider-sauce is Sauce Labs / Selenium support for Strider. strider-sauce downloads zipped resources over HTTP, which leaves... |
| CVE-2016-10612 | dalek-browser-ie-canary is Internet Explorer bindings for DalekJS. dalek-browser-ie-canary downloads binary resources over HT... |
| CVE-2016-10613 | bionode-sra is a Node.js wrapper for SRA Toolkit. bionode-sra downloads data resources over HTTP, which leaves it vulnerable... |
| CVE-2016-10614 | httpsync is a port of libcurl to node.js. httpsync downloads binary resources over HTTP, which leaves it vulnerable to MITM a... |
| CVE-2016-10615 | curses is bindings for the native curses library, a full featured console IO library. curses downloads binary resources over... |
| CVE-2016-10616 | openframe-image is an Openframe extension which adds support for images via fbi. openframe-image downloads data resources ove... |
| CVE-2016-10617 | box2d-native downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause re... |
| CVE-2016-10618 | node-browser is a wrapper webdriver by nodejs. node-browser downloads resources over HTTP, which leaves it vulnerable to MITM... |
| CVE-2016-10619 | pennyworth is a natural language templating engine. pennyworth downloads data resources over HTTP, which leaves it vulnerable... |
| CVE-2016-10620 | atom-node-module-installer installs node modules for atom-shell applications. atom-node-module-installer binary resources ove... |
| CVE-2016-10621 | fibjs is a runtime for javascript applictions built on google v8 JS. fibjs downloads binary resources over HTTP, which leaves... |
| CVE-2016-10622 | nodeschnaps is a NodeJS compatibility layer for Java (Rhino). nodeschnaps downloads binary resources over HTTP, which leaves... |
| CVE-2016-10623 | macaca-chromedriver-zxa is a Node.js wrapper for the selenium chromedriver. macaca-chromedriver-zxa downloads binary resource... |
| CVE-2016-10624 | selenium-chromedriver is a simple utility for downloading the Selenium Webdriver for Google Chrome selenium-chromedriver down... |
| CVE-2016-10625 | headless-browser-lite is a minimal npm installer for phantomjs and slimerjs with no external dependencies. headless-browser-l... |
| CVE-2016-10626 | mystem3 is a NodeJS wrapper for the Yandex MyStem 3. mystem3 downloads binary resources over HTTP, which leaves it vulnerable... |
| CVE-2016-10627 | scala-bin is a binary wrapper for Scala. scala-bin downloads binary resources over HTTP, which leaves it vulnerable to MITM a... |
| CVE-2016-10628 | selenium-wrapper is a selenium server wrapper, including installation and chrome webdriver. selenium-wrapper downloads binary... |
| CVE-2016-10629 | nw-with-arm is a NW Installer including ARM-Build. nw-with-arm downloads binary resources over HTTP, which leaves it vulnerab... |
| CVE-2016-10630 | install-g-test downloads resources over HTTP, which leaves it vulnerable to MITM attacks. |
| CVE-2016-10631 | jvminstall is a module for downloading and unpacking jvm to local system. jvminstall downloads binary resources over HTTP, wh... |
| CVE-2016-10632 | apk-parser2 is a module which extracts Android Manifest info from an APK file. apk-parser2 downloads binary resources over HT... |
| CVE-2016-10633 | dwebp-bin is a dwebp node.js wrapper that convert WebP into PNG. dwebp-bin downloads binary resources over HTTP, which leaves... |
| CVE-2016-10634 | scala-standalone-bin is a Binary wrapper for ScalaJS. scala-standalone-bin downloads binary resources over HTTP, which leaves... |
| CVE-2016-10635 | broccoli-closure is a Closure compiler plugin for Broccoli. broccoli-closure before 1.3.1 downloads binary resources over HTT... |
| CVE-2016-10636 | grunt-ccompiler is a Closure Compiler Grunt Plugin. grunt-ccompiler downloads binary resources over HTTP, which leaves it vul... |
| CVE-2016-10637 | haxe-dev is a cross-platform toolkit. haxe-dev downloads binary resources over HTTP, which leaves it vulnerable to MITM attac... |
| CVE-2016-10638 | js-given is a JavaScript frontend to jgiven. js-given downloads binary resources over HTTP, which leaves it vulnerable to MIT... |
| CVE-2016-10639 | redis-srvr is a npm wrapper for redis-server. redis-srvr downloads binary resources over HTTP, which leaves it vulnerable to... |
| CVE-2016-10640 | node-thulac is a node binding for thulac. node-thulac downloads binary resources over HTTP, which leaves it vulnerable to MIT... |
| CVE-2016-10641 | node-bsdiff-android downloads resources over HTTP, which leaves it vulnerable to MITM attacks. |
| CVE-2016-10642 | cmake installs the cmake x86 linux binaries. cmake downloads binary resources over HTTP, which leaves it vulnerable to MITM a... |
| CVE-2016-10643 | jstestdriver is a wrapper for Google's jstestdriver. jstestdriver downloads binary resources over HTTP, which leaves it vulne... |
| CVE-2016-10644 | slimerjs-edge is a npm wrapper for installing the bleeding edge version of slimerjs. slimerjs-edge downloads binary resources... |
| CVE-2016-10645 | grunt-images is a grunt plugin for processing images. grunt-images downloads binary resources over HTTP, which leaves it vuln... |
| CVE-2016-10646 | resourcehacker is a Node wrapper of Resource Hacker (windows executable resource editor). resourcehacker downloads binary res... |
| CVE-2016-10647 | node-air-sdk is an AIR SDK for nodejs. node-air-sdk downloads binary resources over HTTP, which leaves it vulnerable to MITM... |
| CVE-2016-10648 | marionette-socket-host is a marionette-js-runner host for sending actions over a socket. marionette-socket-host downloads bin... |
| CVE-2016-10649 | frames-compiler downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause... |
| CVE-2016-10650 | ntfserver is a Network Testing Framework Server. ntfserver downloads binary resources over HTTP, which leaves it vulnerable t... |
| CVE-2016-10651 | webdriver-launcher is a Node.js Selenium Webdriver Launcher. webdriver-launcher downloads binary resources over HTTP, which l... |
| CVE-2016-10652 | prebuild-lwip is a module for comprehensive, fast, and simple image processing and manipulation. prebuild-lwip downloads reso... |
| CVE-2016-10653 | xd-testing is a testing library for cross-device (XD) web applications. xd-testing downloads binary resources over HTTP, whic... |
| CVE-2016-10654 | sfml downloads resources over HTTP, which leaves it vulnerable to MITM attacks. |
| CVE-2016-10655 | The clang-extra module installs LLVM's clang-extra tools. clang-extra downloads binary resources over HTTP, which leaves it v... |
| CVE-2016-10656 | qbs is a build tool that helps simplify the build process for developing projects across multiple platforms. qbs downloads bi... |
| CVE-2016-10657 | co-cli-installer downloads the co-cli module as part of the install process, but does so over HTTP, which leaves it vulnerabl... |
| CVE-2016-10658 | native-opencv is the OpenCV library installed via npm native-opencv downloads binary resources over HTTP, which leaves it vul... |
| CVE-2016-10659 | poco - The POCO libraries, downloads source file resources used for compilation over HTTP, which leaves it vulnerable to MITM... |
| CVE-2016-10660 | fis-parser-sass-bin a plugin for fis to compile sass using node-sass-binaries. fis-parser-sass-bin downloads binary resources... |
| CVE-2016-10661 | phantomjs-cheniu is a Headless WebKit with JS API phantomjs-cheniu downloads binary resources over HTTP, which leaves it vuln... |
| CVE-2016-10662 | tomita is a node wrapper for Yandex Tomita Parser tomita downloads binary resources over HTTP, which leaves it vulnerable to... |
| CVE-2016-10663 | wixtoolset is a Node module wrapper around the wixtoolset binaries wixtoolset downloads binary resources over HTTP, which lea... |
| CVE-2016-10664 | mystem is a Node.js wrapper for MyStem morphology text analyzer by Yandex.ru mystem downloads binary resources over HTTP, whi... |
| CVE-2016-10665 | herbivore is a packet sniffing and crafting library. Built on libtins herbivore 0.0.3 and below download binary resources ove... |
| CVE-2016-10666 | tomita-parser is a Node wrapper for Yandex Tomita Parser tomita-parser downloads binary resources over HTTP, which leaves it... |
| CVE-2016-10667 | selenium-portal is a Selenium Testing Framework selenium-portal downloads binary resources over HTTP, which leaves it vulnera... |
| CVE-2016-10668 | libsbml is a module that installs Linux binaries for libSBML libsbml downloads resources over HTTP, which leaves it vulnerabl... |
| CVE-2016-10669 | soci downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote cod... |
| CVE-2016-10670 | windows-seleniumjar-mirror downloads the Selenium Jar file windows-seleniumjar-mirror downloads binary resources over HTTP, w... |
| CVE-2016-10671 | mystem-wrapper is a Yandex mystem app wrapper module. mystem-wrapper downloads binary resources over HTTP, which leaves it vu... |
| CVE-2016-10672 | cloudpub-redis is a module for CloudPub: Redis Backend cloudpub-redis downloads binary resources over HTTP, which leaves it v... |
| CVE-2016-10673 | ipip-coffee queries geolocation information from IP ipip-coffee downloads geolocation resources over HTTP, which leaves it vu... |
| CVE-2016-10674 | limbus-buildgen is a "build anywhere" build system. limbus-buildgen versions below 0.1.1 download binary resources over HTTP,... |
| CVE-2016-10675 | libsbmlsim is a module that installs linux binaries for libsbmlsim libsbmlsim downloads binary resources over HTTP, which lea... |
| CVE-2016-10676 | rs-brightcove is a wrapper around brightcove's web api rs-brightcove downloads source file resources over HTTP, which leaves... |
| CVE-2016-10677 | google-closure-tools-latest is a Node.js module wrapper for downloading the latest version of the Google Closure tools google... |
| CVE-2016-10678 | serc.js is a Selenium RC process wrapper serc.js downloads binary resources over HTTP, which leaves it vulnerable to MITM att... |
| CVE-2016-10679 | selenium-standalone-painful installs a start-selenium command line to start a standalone selenium server with chrome-driver.... |
| CVE-2016-10680 | adamvr-geoip-lite is a light weight native JavaScript implementation of GeoIP API from MaxMind adamvr-geoip-lite downloads ge... |
| CVE-2016-10681 | roslib-socketio - The standard ROS Javascript Library fork for add support to socket.io roslib-socketio downloads binary reso... |
| CVE-2016-10682 | massif is a Phantomjs fork massif downloads resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possib... |
| CVE-2016-10683 | arcanist downloads resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code e... |
| CVE-2016-10684 | healthcenter - IBM Monitoring and Diagnostic Tools health Center agent healthcenter downloads binary resources over HTTP, whi... |
| CVE-2016-10685 | pk-app-wonderbox is an integration with wonderbox pk-app-wonderbox downloads binary resources over HTTP, which leaves it vuln... |
| CVE-2016-10686 | fis-sass-all is another libsass wrapper for node. fis-sass-all downloads binary resources over HTTP, which leaves it vulnerab... |
| CVE-2016-10687 | windows-selenium-chromedriver is a module that downloads the Selenium Jar file. windows-selenium-chromedriver downloads binar... |
| CVE-2016-10688 | Haxe 3 : The Cross-Platform Toolkit (a fork from David Mouton's damoebius/haxe-npm) haxe3 downloads resources over HTTP, whic... |
| CVE-2016-10689 | The windows-iedriver module downloads fixed version of iedriverserver.exe windows-iedriver downloads binary resources over HT... |
| CVE-2016-10690 | openframe-ascii-image module is an openframe plugin which adds support for ascii images via fim. openframe-ascii-image downlo... |
| CVE-2016-10691 | windows-seleniumjar is a module that downloads the Selenium Jar file windows-seleniumjar downloads binary resources over HTTP... |
| CVE-2016-10693 | pm2-kafka is a PM2 module that installs and runs a kafka server pm2-kafka downloads binary resources over HTTP, which leaves... |
| CVE-2016-10694 | alto-saxophone is a module to install and launch Chromedriver for Mac, Linux or Windows. alto-saxophone versions below 2.25.1... |
| CVE-2016-10695 | The npm-test-sqlite3-trunk module provides asynchronous, non-blocking SQLite3 bindings. npm-test-sqlite3-trunk downloads bina... |
| CVE-2016-10696 | windows-latestchromedriver downloads the latest version of chromedriver.exe. windows-latestchromedriver downloads binary reso... |
| CVE-2016-10697 | react-native-baidu-voice-synthesizer is a baidu voice speech synthesizer for react native. react-native-baidu-voice-synthesiz... |
| CVE-2016-10698 | mystem-fix is a node.js wrapper for MyStem morphology text analyzer by Yandex.ru mystem-fix downloads binary resources over H... |
| CVE-2017-12716 | Abbott Laboratories Accent and Anthem pacemakers manufactured prior to Aug 28, 2017 transmit unencrypted patient information... |
| CVE-2017-14012 | Boston Scientific ZOOM LATITUDE PRM Model 3120 does not encrypt PHI at rest. CVSS v3 base score: 4.6; CVSS vector string: AV:... |
| CVE-2017-16003 | windows-build-tools is a module for installing C++ Build Tools for Windows using npm. windows-build-tools versions below 1.0.... |
| CVE-2017-16035 | The hubl-server module is a wrapper for the HubL Development Server. During installation hubl-server downloads a set of depen... |
| CVE-2017-16040 | gfe-sass is a library for promises (CommonJS/Promises/A,B,D) gfe-sass downloads resources over HTTP, which leaves it vulnerab... |
| CVE-2017-16041 | ikst versions before 1.1.2 download resources over HTTP, which leaves it vulnerable to MITM attacks. |
| CVE-2017-3218 | Samsung Magician 5.0 fails to validate TLS certificates for HTTPS software update traffic. Prior to version 5.0, Samsung Magi... |
| CVE-2017-3219 | Acronis True Image up to and including version 2017 Build 8053 performs software updates using HTTP. Downloaded updates are o... |
| CVE-2017-9632 | A Missing Encryption of Sensitive Data issue was discovered in PDQ Manufacturing LaserWash G5 and G5 S Series all versions, L... |
| CVE-2018-16879 | Ansible Tower before version 3.3.3 does not set a secure channel as it is using the default insecure configuration channel se... |
| CVE-2018-17915 | All versions of Hangzhou Xiongmai Technology Co., Ltd XMeye P2P Cloud Server do not encrypt all device communication. This in... |
| CVE-2018-18984 | Medtronic 9790, 2090 CareLink, and 29901 Encore Programmers Missing Encryption of Sensitive Data |
| CVE-2018-19944 | Cleartext Transmission of Sensitive Information in SNMP |
| CVE-2018-4855 | A vulnerability has been identified in SICLOCK TC100 (All versions) and SICLOCK TC400 (All versions). Unencrypted storage of... |
| CVE-2018-7498 | In Philips Alice 6 System version R8.0.2 or prior, the lack of proper data encryption passes up the guarantees of confidentia... |
| CVE-2018-8849 | Medtronic N'Vision Clinician Programmer Missing Encryption of Sensitive Data |
| CVE-2018-8864 | In ATI Systems Emergency Mass Notification Systems (HPSS16, HPSS32, MHPSS, and ALERT4000) devices, a missing encryption of se... |
| CVE-2019-13418 | Search Guard versions before 24.0 had an issue that values of string arrays in documents are not properly anonymized. |
| CVE-2019-13419 | Search Guard versions before 23.1 had an issue that for aggregations clear text values of anonymised fields were leaked. |
| CVE-2019-13922 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V2.0 SP1). An attacker with administrativ... |
| CVE-2019-18254 | BIOTRONIK CardioMessenger II, The affected products do not encrypt sensitive information while at rest. An attacker with phys... |
| CVE-2019-5448 | Yarn before 1.17.3 is vulnerable to Missing Encryption of Sensitive Data due to HTTP URLs in lockfile causing unencrypted aut... |
| CVE-2019-6526 | Moxa IKS-G6824A series Versions 4.5 and prior, EDS-405A series Version 3.8 and prior, EDS-408A series Version 3.8 and prior,... |
| CVE-2020-10039 | A vulnerability has been identified in SICAM MMU (All versions < V2.05), SICAM SGU (All versions), SICAM T (All versions < V2... |
| CVE-2020-10124 | NCR SelfServ ATMs running APTRA XFS 05.01.00 do not encrypt, authenticate, or verify the integrity of messages between the BN... |
| CVE-2020-10267 | RVD#1489: Unprotected intelectual property in Universal Robots controller CB 3.1 across firmware versions |
| CVE-2020-10273 | RVD#2560: Unprotected intellectual property in Mobile Industrial Robots (MiR) controllers |
| CVE-2020-12032 | Baxter ExactaMix EM 2400 Versions 1.10, 1.11 and ExactaMix EM1200 Versions 1.1, 1.2 systems store device data with sensitive... |
| CVE-2020-12801 | Crash-recovered MSOffice encrypted documents defaulted to not to using encryption on next save |
| CVE-2020-28216 | A CWE-311: Missing Encryption of Sensitive Data vulnerability exists in Easergy T300 (firmware 2.7 and older), that would all... |
| CVE-2020-28217 | A CWE-311: Missing Encryption of Sensitive Data vulnerability exists in Easergy T300 (firmware 2.7 and older), that would all... |
| CVE-2020-35168 | Dell BSAFE Crypto-C Micro Edition, versions before 4.1.5, and Dell BSAFE Micro Edition Suite, versions before 4.6, contain an... |
| CVE-2020-7567 | A CWE-311: Missing Encryption of Sensitive Data vulnerability exists in Modicon M221 (all references, all versions) that coul... |
| CVE-2020-9057 | Z-Wave devices based on Silicon Labs 100, 200, and 300 series chipsets do not support encryption, allowing an attacker within... |
| CVE-2020-9058 | Z-Wave devices based on Silicon Labs 500 series chipsets using CRC-16 encapsulation, including but likely not limited to the... |
| CVE-2020-9062 | Diebold Nixdorf ProCash 2100xe USB ATMs running Wincor Probase version 1.1.30 do not encrypt, authenticate, or verify the int... |
| CVE-2021-21963 | An information disclosure vulnerability exists in the Web Server functionality of Sealevel Systems, Inc. SeaConnect 370W v1.3... |
| CVE-2021-22782 | Missing Encryption of Sensitive Data vulnerability exists in EcoStruxure Control Expert (all versions prior to V15.0 SP1, inc... |
| CVE-2021-22932 | An issue has been identified in the CTX269106 mitigation tool for Citrix ShareFile storage zones controller which causes the... |
| CVE-2021-27779 | A Security Misconfiguration vulnerability affects HCL VersionVault Express |
| CVE-2021-27783 | HCL BigFix Mobile / Modern Client Management is vulnerable to sensitive information exposure |
| CVE-2021-28496 | In Arista's EOS software affected releases, the shared secret profiles sensitive configuration might be leaked when displayin... |
| CVE-2021-31386 | Junos OS: When using J-Web with HTTP an attacker may retrieve encryption keys via Person-in-the-Middle attacks. |
| CVE-2021-32001 | K3s/RKE2 bootstrap data is encrypted with empty string if user does not supply a token |
| CVE-2021-33900 | StartTLS and SASL confidentiality protection bypass |
| CVE-2021-39090 | IBM Cloud Pak for Security information disclosure |
| CVE-2021-40366 | A vulnerability has been identified in Climatix POL909 (AWB module) (All versions < V11.42), Climatix POL909 (AWM module) (Al... |
| CVE-2021-41302 | ECOA BAS controller - Missing Encryption of Sensitive Data |
| CVE-2022-22377 | IBM Security Verify Privilege information disclosure |
| CVE-2022-22386 | IBM Security Verify Privilege information disclosure |
| CVE-2022-22405 | IBM Aspera Faspex information disclosure |
| CVE-2022-26390 | Unencrypted internal storage of security credentials |
| CVE-2022-30237 | A CWE-311: Missing Encryption of Sensitive Data vulnerability exists that could allow authentication credentials to be recove... |
| CVE-2022-31085 | Missing Encryption of Sensitive Data in ldap-account-manager |
| CVE-2022-33161 | IBM Security Directory Server information disclosure |
| CVE-2022-3781 | Dashlane password and Keepass Server password in My Account Settings are not encrypted in the database in Devolutions Remote... |
| CVE-2022-38194 | Portal for ArcGIS system properties are not properly encrypted (10.8.1 only) |
| CVE-2022-38458 | A cleartext transmission vulnerability exists in the Remote Management functionality of Netgear Orbi Router RBR750 4.6.8.5. A... |
| CVE-2022-39014 | Under certain conditions SAP BusinessObjects Business Intelligence Platform Central Management Console (CMC) - version 430, a... |
| CVE-2022-41627 | The physical IoT device of the AliveCor's KardiaMobile, a smartphone-based personal electrocardiogram (EKG) has no encryptio... |
| CVE-2023-23371 | QVPN Device Client |
| CVE-2023-28045 | Dell CloudIQ Collector version 1.10.2 contains a missing encryption of sensitive data vulnerability. An attacker with low pr... |
| CVE-2023-28841 | moby/moby's dockerd daemon encrypted overlay network traffic may be unencrypted |
| CVE-2023-30561 | Lack of Cryptographic Security of IUI Bus |
| CVE-2023-33228 | SolarWinds Network Configuration Manager Sensitive Information Disclosure Vulnerability |
| CVE-2023-33833 | IBM Security Verify Information Queue information disclosure |
| CVE-2023-33849 | IBM CICS TX information disclosure |
| CVE-2023-35888 | IBM Security Verify Governance information disclosure |
| CVE-2023-37405 | IBM Cloud Pak System information disclosure |
| CVE-2023-37858 | PHOENIX CONTACT: Use of Hard-coded Credentials in WP 6xxx Web panels |
| CVE-2023-38267 | IBM Security Access Manager Appliance information disclosure |
| CVE-2023-38688 | twitch-tui's connection is not encrypted |
| CVE-2023-38699 | MindsDB 'Call to requests with verify=False disabling SSL certificate checks, security issue.' issue |
| CVE-2023-39954 | user_oidc app stores client secret unencrypted in database |
| CVE-2023-40251 | Missing Encryption of Sensitive Data vulnerability in Genians Genian NAC V4.0, Genians Genian NAC V5.0, Genians Genian NAC Su... |
| CVE-2023-42019 | IBM InfoSphere Information Server information disclosure |
| CVE-2023-4384 | MaximaTech Portal Executivo Cookie missing encryption |
| CVE-2023-52948 | Missing encryption of sensitive data vulnerability in settings functionality in Synology Active Backup for Business Agent bef... |
| CVE-2023-52950 | Missing encryption of sensitive data vulnerability in login component in Synology Active Backup for Business Agent before 2.7... |
| CVE-2023-6339 | Google Nest WiFi Pro root code-execution & user-data compromise |
| CVE-2024-20515 | Cisco Identity Services Engine Information Disclosure Vulnerability |
| CVE-2024-23444 | Elasticsearch elasticsearch-certutil csr fails to encrypt private key |
| CVE-2024-25027 | IBM Security Verify Access Container information disclosure |
| CVE-2024-25630 | Cilium has unencrypted ingress/health traffic when using Wireguard transparent encryption |
| CVE-2024-25631 | Unencrypted traffic between pods when using Wireguard and an external kvstore |
| CVE-2024-27106 | Vulnerable data in transit in GE HealthCare EchoPAC products |
| CVE-2024-28249 | Cilium has possible unencrypted traffic between nodes when using IPsec and L7 policies |
| CVE-2024-28250 | Cilium has possible unencrypted traffic between nodes when using WireGuard and L7 policies |
| CVE-2024-31905 | IBM QRadar Network Packet Capture information disclosure |
| CVE-2024-38283 | Missing Encryption of Sensitive Data in Motorola Solutions Vigilant Fixed LPR Coms Box (BCAV1F2-C600) |
| CVE-2024-38302 | Dell Data Lakehouse, version(s) 1.0.0.0, contain(s) a Missing Encryption of Sensitive Data vulnerability in the DDAE (Starbur... |
| CVE-2024-38325 | IBM Storage Defender information disclosure |
| CVE-2024-39746 | IBM Sterling Connect:Direct Web Services information disclosure |
| CVE-2024-40620 | Rockwell Automation Pavilion8® Unencrypted Data Vulnerability via HTTP protocol |
| CVE-2024-41124 | Puncia Cleartext Transmission of Sensitive Information via HTTP urls in `API_URLS` |
| CVE-2024-41757 | IBM Concert Software information disclosure |
| CVE-2024-41980 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-41982 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-42495 | Hughes Network Systems WL3000 Missing Encryption of Sensitive Data |
| CVE-2024-47871 | Insecure communication between the FRP client and server in Gradio |
| CVE-2024-4995 | Protocol Downgrade in Wapro ERP Desktop |
| CVE-2024-56439 | Access control vulnerability in the identity authentication module Impact: Successful exploitation of this vulnerability may... |
| CVE-2024-5731 | A vulnerability in the IPS Manager, Central Manager, and Local Manager communication workflow allows an attacker to control t... |
| CVE-2024-6400 | Cleartext Storage of Username and Password in Finrota's Netahsilat |
| CVE-2024-7142 | On Arista CloudVision Appliance (CVA) affected releases running on appliances that support hardware disk encryption (DCA-350E... |
| CVE-2024-7396 | Plaintext Communication |
| CVE-2025-10227 | Lack of Encryption in Object Archive in AxxonSoft Axxon One (C-Werk) before 2.0.8 |
| CVE-2025-1243 | Field in api-go proxy not transformed before version 1.44.1 |
| CVE-2025-24008 | A vulnerability has been identified in SIRIUS 3RK3 Modular Safety System (MSS) (All versions), SIRIUS Safety Relays 3SK2 (All... |
| CVE-2025-31977 | A cryptographic weakness has been identified in the HCL BigFix Service Management (SM) |
| CVE-2025-33020 | IBM Engineering Systems Design Rhapsody information disclosure |
| CVE-2025-36062 | IBM Cognos Analytics Mobile (iOS) information disclosure |
| CVE-2025-3758 | Exposure of Device Configuration without Authentication in WF2220 |
| CVE-2025-40680 | Encryption of sensitive data in CapillaryScope missing |
| CVE-2025-47274 | ToolHive stores secrets in the state store with no encryption |
| CVE-2025-59410 | Dragonfly tiny file download uses hard coded HTTP protocol |
| CVE-2025-8763 | Ruijie EG306MG strongSwan strongswan.conf missing encryption |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20231222-36 | 22.12.2023 | Получение конфиденциальной информации в Consul Enterprise |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.