Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Поиск
Вход Регистрация

Каталог уязвимостей - CWE - CWE-325

Каталоги Уязвимости - CWE CWE-325
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CWE-325

CWE-325: Missing Cryptographic Step

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
BDU:2019-00186 Уязвимость библиотеки OpenSSL, связанная с ошибками обработки криптографических ключей при использовании протокола DH (E), позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-02841 Уязвимость веб-интерфейса операционной системы FortiOS, позволяющая нарушителю обойти проверку подлинности параметра cookies "APSCOOKIE"
BDU:2020-03306 Уязвимость программно-аппаратных драйверов Bluetooth операционных систем Android, macOS и iOS, позволяющая нарушителю реализовать атаку типа "человек посередине"
BDU:2021-03948 Уязвимость системы защиты электронной почты FortiMai,l связанная с ошибками шифрования, позволяющая нарушителю обойти криптографические механизмы защиты шифрования и повысить свои привилегии
BDU:2021-04127 Уязвимость службы FortiMail IBE (Identity Based Encryption) системы защиты электронной почты FortiMail, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-05173 Уязвимость эмулятора аппаратного обеспечения QEMU, связанная с отсутствием необходимого этапа шифрования, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2021-05649 Уязвимость реализации команды "--ssl-reqd" программного средства для взаимодействия с серверами cURL, позволяющая нарушителю проводить атаки типа "человек посередине"
BDU:2022-02952 Уязвимость библиотеки IPsec VPN микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2022-04284 Уязвимость режима AES OCB библиотеки OpenSSL, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-00802 Уязвимость программного обеспечения Cisco TelePresence CE и RoomOS для устройств Cisco Touch 10 связана с отсутствием обязательного криптографического шага
BDU:2023-07691 Уязвимость функций EVP_EncryptInit_ex2(), EVP_DecryptInit_ex2(), EVP_CipherInit_ex2() криптографической библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-08615 Уязвимость функции DH_generate_key() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-08062 Уязвимость реализации протокола Kerberos операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-09282 Уязвимость платформы управления устройствами систем отопления, вентиляции и кондиционирования воздуха, освещения и энергопотребления Niagara Framework и средства контроля доступа и обеспечения безопасности Niagara Enterprise Security, связанная с отс...
BDU:2025-09515 Уязвимость функции mbedtls_lms_verify() программного обеспечения Mbed TLS, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2025-14163 Уязвимость реализации протокола Kerberos операционных систем Windows, позволяющая нарушителю повысить свои привилегии

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2015-20112 RLPx 5 has two CTR streams based on the same key, IV, and nonce. This can facilitate decryption on a private network.
CVE-2016-9574 nss before version 3.30 is vulnerable to a remote denial of service during the session handshake when using SessionTicket ext...
CVE-2017-2598 Jenkins before versions 2.44, 2.32.2 uses AES ECB block cipher mode without IV for encrypting secrets which makes Jenkins and...
CVE-2017-2600 In jenkins before versions 2.44, 2.32.2 node monitor data could be viewed by low privilege users via the remote API. These in...
CVE-2017-2603 Jenkins before versions 2.44, 2.32.2 is vulnerable to a user data leak in disconnected agents' config.xml API. This could lea...
CVE-2018-5383 Bluetooth implementations may not sufficiently validate elliptic curve parameters during Diffie-Hellman key exchange
CVE-2019-3738 RSA BSAFE Crypto-J versions prior to 6.2.5 are vulnerable to a Missing Required Cryptographic Step vulnerability. A malicious...
CVE-2020-10702 A flaw was found in QEMU in the implementation of the Pointer Authentication (PAuth) support for ARM introduced in version 4....
CVE-2020-15086 Potential Remote Code Execution in TYPO3 with mediace extension
CVE-2020-15098 Missing Required Cryptographic Step Leading to Sensitive Information Disclosure in TYPO3 CMS
CVE-2020-26244 Cryptographic issues in Python oic
CVE-2021-22946 A user can tell curl >= 7.20.0 and <= 7.78.0 to require a successful upgrade to TLS when speaking to an IMAP, POP3 or FTP ser...
CVE-2021-31386 Junos OS: When using J-Web with HTTP an attacker may retrieve encryption keys via Person-in-the-Middle attacks.
CVE-2021-3680 Missing Cryptographic Step in star7th/showdoc
CVE-2022-1279 Insecure EBICS messages encryption implementation in ebics-java/ebics-java-client could allow an adjacent attacker to decrypt...
CVE-2022-20742 Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software IPsec IKEv2 VPN Information Disclosure Vulne...
CVE-2022-20793 Cisco Touch 10 Device Insufficient Identity Verification Vulnerability
CVE-2022-29229 Missing Cryptographic Step in cassproject
CVE-2022-30115 Using its HSTS support, curl can be instructed to use HTTPS directly insteadof using an insecure clear-text HTTP step even wh...
CVE-2023-28998 Nextcloud Desktop client misbehaves with E2EE when the server returns empty list of metadata keys
CVE-2023-28999 Nextcloud: Lack of authenticity of metadata keys allows a malicious server to gain access to E2EE folders
CVE-2023-34471 Missing Cryptographic Step
CVE-2023-36539 Exposure of information intended to be encrypted by some Zoom clients may lead to disclosure of sensitive information.
CVE-2023-39199 Cryptographic issues with In-Meeting Chat for some Zoom clients may allow a privileged user to conduct an information disclos...
CVE-2023-40012 uthenticode EKU validation bypass
CVE-2023-46129 xkeys Seal encryption used fixed key for all encryption
CVE-2024-43547 Windows Kerberos Information Disclosure Vulnerability
CVE-2024-55655 sigstore-python has insufficient validation of integration timestamp during verification
CVE-2025-30147 ALTBN128_ADD, ALTBN128_MUL, ALTBN128_PAIRING precompile functions do not check if points are on curve
CVE-2025-3938 Missing Cryptographic Step
CVE-2025-49600 In MbedTLS 3.3.0 before 3.6.4, mbedtls_lms_verify may accept invalid signatures if hash computation fails and internal errors...
CVE-2025-5323 fossasia open-event-server Mail Verification mail.py send_email_change_user_email reliance on obfuscation or encryption of se...
CVE-2025-58359 frost-core: refresh shares with smaller min_signers will reduce group security
CVE-2025-59339 The Bastion ttyrec files are not signed after encryption by the osh-encrypt-rsync script
CVE-2025-60704 Windows Kerberos Elevation of Privilege Vulnerability
CVE-2026-22863 Deno node:crypto doesn't finalize cipher

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО
Идентификатор Дата бюллетеня Описание
VULN:20251124-38 24.11.2025 Повышение привилегий в Microsoft Windows Kerberos
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.