Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-330
Use of Insufficiently Random Values
The product uses insufficiently random numbers or values in a security context that depends on unpredictable numbers.
| Тип уязвимости: | Не зависит от других уязвимостей |
| Вероятность эксплойта: |
High
|
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-01426 | Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2016-00929 | Уязвимость роутера ZyXEL PMG5318-B20A, позволяющая нарушителю обойти существующие ограничения доступа |
| BDU:2016-00932 | Уязвимость микропрограммного обеспечения маршрутизатора N600 DB Belkin F9K1102, позволяющая нарушителю подменить ответы на запросы |
| BDU:2019-02054 | Уязвимость микропрограммного обеспечения программируемого логического контроллера Modicon, связанная с использованием недостаточно случайных значений, позволяющая нарушителю перехватить TCP-соединения |
| BDU:2019-04083 | Уязвимость функции fork() библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-00163 | Уязвимость видеотерминалов ViewPoint серий 9630, 9650, 9660 связанная с использованием недостаточно случайных значений, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2020-00362 | Уязвимость функции flow_dissector ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05178 | Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05539 | Уязвимость ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00500 | Уязвимость веб-интерфейса сервера печати CUPS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01132 | Уязвимость реализации генератора ISN IP-стека, используемого NutOS, Nut/Net, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01133 | Уязвимость реализации генератора ISN стека протоколов, используемого uC/OS, uC/TCP-IP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01173 | Уязвимость реализации генератора ISN стека протоколов CycloneTCP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01174 | Уязвимость реализации генератора ISN стека протоколов TI-NDKTCPIP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01175 | Уязвимость реализации генератора ISN стека протоколов FNET, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01176 | Уязвимость реализации генератора ISN стека протоколов, используемого Contiki OS, uIP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01177 | Уязвимость реализации генератора ISN стека протоколов PicoTCP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01178 | Уязвимость реализации генератора ISN стека протоколов MPLAB Net, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02305 | Уязвимость функции в drivers/char/random.c and kernel/time/timer.c ядра операционной системы Linux, позволяющая нарушителю получить конфиденциальную информацию |
| BDU:2021-03297 | Уязвимость распределенной системы управления базами данных Apache Impala, связанная с ошибками при шифровании информации, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-04218 | Уязвимость реализации генератора ISN стеков TCP/IP NicheLite и InterNiche, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2021-04220 | Уязвимость DNS-клиента стеков TCP/IP NicheLite и InterNiche, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2021-04258 | Уязвимость интерфейса связи для модульного оборудования Smartlink, микропрограммного обеспечения беспроводного датчика энергии PowerTag, и контроллеров Wiser, связанная с использованием недостаточно случайных значений, позволяющая нарушителю повысить... |
| BDU:2021-04699 | Уязвимость модуля github.com/satori/go.uuid реализации Singularity Image Format SIF, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-05740 | Уязвимость инструмента для разработки и автоматического обновления установщиков VMware InstallBuilder для операционных систем Windows, связанная с использованием недостаточно случайных значений, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-00275 | Уязвимость системы управления конфигурациями Ansible, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-00613 | Уязвимость реализации протокола IPv4 ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00900 | Уязвимость микропрограммного обеспечения усилителя беспроводного сигнала TP-Link TL-WA850RE V6, связанная с использованием недостаточно случайных значений, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-01657 | Уязвимость функционала шифрования AES GCM модуля аутентификации и авторизации для Apache 2.x HTTP server Mod_auth_openidc, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-03142 | Уязвимость реализации протокола ICMP ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2022-03174 | Уязвимость набора шифров RC4-MD5 библиотеки OpenSSL, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2022-03832 | Уязвимость функции CLS_PK_KeyGenMT() базового криптомодуля Rambus SafeZone, позволяющая нарушителю вычислять закрытые ключи RSA из открытого ключа сертификата TLS |
| BDU:2022-03921 | Уязвимость ядра операционной системы Linux, связанная с недостаточной энтропией, позволяющая нарушителю идентифицировать клиентов |
| BDU:2022-04322 | Уязвимость встроенного веб-сервера микропрограммного обеспечения промышленных коммутаторов SCALANCE X302-7, SCALANCE X304-2FE, SCALANCE X306-1LD FE, SCALANCE X307-2, SCALANCE X307-3, SCALANCE X307-3LD, SCALANCE X308-2, SCALANCE X310, SCALANCE X320-1,... |
| BDU:2022-05427 | Уязвимость модуля связи Vnet/IP VI461 микропрограммного обеспечения маршрутизатора WAC Router AW810D, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05540 | Уязвимость функции utils.generateUUID программное обеспечение для форумов NodeBB Forum Software, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-07099 | Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-07130 | Уязвимость httpd-демона микропрограммного обеспечения маршрутизаторов TP-Link TL-WR940N, позволяющая нарушителю обойти процесс аутентификации и получить несанкционированный доступ к оборудованию |
| BDU:2023-00625 | Уязвимость системы управления памятью ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00898 | Уязвимость микропрограммного обеспечения процессоров безопасности AMD Secure Processor (ASP), System Management Unit (SMU) и Secure Encrypted Virtualization (SEV), связанная с ошибками инициализации, позволяющая нарушителю раскрыть защищаемую информа... |
| BDU:2023-01837 | Уязвимость программно-аппаратных средств контроля и защиты SCADA-систем ABB Pulsar Plus System Controller NE843_S, Infinity DC Power Plant H5692448 G104, Infinity DC Power Plant H5692448 G842, Infinity DC Power Plant H5692448 G224L, Infinity DC Power... |
| BDU:2023-02687 | Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter 302 и InRouter 615, связанная с использованием недостаточно случайных значений, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-03102 | Уязвимость диспетчера беспроводных устройств Honeywell OneWireless Wireless Device Manager (WDM), связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-05202 | Уязвимость компонента JNDI программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition, позволяющая нарушителю получить доступ на изменение, добавление или удаление данных |
| BDU:2023-05492 | Уязвимость компонента React Native Bluetooth Scan программного средства для доступа к приложениям Bluezone, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-05887 | Уязвимость языка программирования PHP, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-05915 | Уязвимость системы автоматизированного проектирования Intel Quartus Prime Pro для Linux, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-01955 | Уязвимость микропрограммного обеспечения беспроводных модемов Hitron CODA-4582 и CODA-4589, связанная с недостаточной энтропией из-за использования PSK по умолчанию, позволяюащя нарушителю оказать воздействие на конфиденциальность, целостность и дост... |
| BDU:2024-02373 | Уязвимость функции ticket_age_add языка программирования Go, позволяющая нарушителю получить несанкционированный доступ к идентификаторам сеанса |
| BDU:2024-02612 | Уязвимость компонента autotools CARES_RANDOM_FILE библиотеки асинхронных DNS-запросов C-ares, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2024-04316 | Уязвимость плагина аутентификации caddy-security, связанная с использованием недостаточно случайных значений, позволяющая нарушителю выполнить атаку перехвата OAuth и генерации небезопасных многоразовых проверок подлинности и ключей API в базе данных |
| BDU:2024-04409 | Уязвимость платформы для развертывания сетей MileSight DeviceHub, связанная с использованием недостаточно случайных значений, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04538 | Уязвимость микропрограммного обеспечения программируемого логического контроллера SIMATIC S7-200 SMART связана с использованием недостаточно случайных значений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-05882 | Уязвимость ядра микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-06955 | Уязвимость функции gnutls_rnd() пакета программ сетевого взаимодействия Samba, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-07287 | Уязвимость реализации протокола синхронизации времени NTP, связанная с использованием недостаточно случайных значений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-10625 | Уязвимость программного обеспечения для графических панелей управления Mitsubishi Electric серий GOT2000 и GOT SIMPLE, связанная с предсказуемостью случайных начальных номеров TCP- сессий, позволяющая нарушителю перехватывать соединения для передачи... |
| BDU:2024-10811 | Уязвимость функции удаленного доступа SSL VPN микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-11507 | Уязвимость функции __runtime_fixup_32() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16178 | Уязвимость системы обнаружения сервисов в локальной сети Avahi, связанная с использованием недостаточно случайных значений, позволяющая нарушителю оказать влияние на конфиденциальность защищаемой информации |
| BDU:2026-00914 | Уязвимость библиотеки libtpms, связанная с использованием криптографических алгоритмов, содержащих дефекты, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2017-0897 | ExpressionEngine version 2.x < 2.11.8 and version 3.x < 3.5.5 create an object signing token with weak entropy. Successfully... |
| CVE-2017-16028 | react-native-meteor-oauth is a library for Oauth2 login to a Meteor server in React Native. The oauth Random Token is generat... |
| CVE-2017-6026 | A Use of Insufficiently Random Values issue was discovered in Schneider Electric Modicon PLCs Modicon M241, firmware versions... |
| CVE-2018-1108 | kernel drivers before version 4.17-rc1 are vulnerable to a weakness in the Linux kernel's implementation of random seed data.... |
| CVE-2018-13280 | Use of insufficiently random values vulnerability in SYNO.Encryption.GenRandomKey in Synology DiskStation Manager (DSM) befor... |
| CVE-2018-17888 | NUUO CMS all versions 3.1 and prior, The application uses a session identification mechanism that could allow attackers to ob... |
| CVE-2019-25089 | Morgawr Muon handler.clj random values |
| CVE-2019-3795 | Insecure Randomness When Using a SecureRandom Instance Constructed by Spring Security |
| CVE-2019-6821 | CWE-330: Use of Insufficiently Random Values vulnerability, which could cause the hijacking of the TCP connection when using... |
| CVE-2020-10729 | A flaw was found in the use of insufficiently random values in Ansible. Two random password lookups of the same length genera... |
| CVE-2020-25705 | A flaw in ICMP packets in the Linux kernel may allow an attacker to quickly scan open UDP ports. This flaw allows an off-path... |
| CVE-2020-27264 | In SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i and AnyDana-A, the communication protocol of the insulin pump and its... |
| CVE-2020-35163 | Dell BSAFE Crypto-C Micro Edition, versions before 4.1.5, and Dell BSAFE Micro Edition Suite, versions before 4.6, contain a... |
| CVE-2020-7548 | A CWE-330 - Use of Insufficiently Random Values vulnerability exists in Smartlink, PowerTag, and Wiser Series Gateways (see s... |
| CVE-2021-20322 | A flaw in the processing of received ICMP errors (ICMP fragment needed and ICMP redirect) in the Linux kernel functionality w... |
| CVE-2021-21352 | Predictable tokens used for password resets |
| CVE-2021-23020 | The NAAS 3.x before 3.10.0 API keys were generated using an insecure pseudo-random string and hashing algorithm which could l... |
| CVE-2021-24998 | Simple JWT Login < 3.3.0 - Insecure Password Creation |
| CVE-2021-25677 | A vulnerability has been identified in APOGEE PXC Compact (BACnet) (All versions < V3.5.5), APOGEE PXC Compact (P2 Ethernet)... |
| CVE-2021-27393 | A vulnerability has been identified in Nucleus NET (All versions), Nucleus ReadyStart V3 (All versions < V2013.08), Nucleus S... |
| CVE-2021-29499 | Predictable SIF UUID Identifiers |
| CVE-2021-32791 | Hardcoded static IV and AAD with a reused key in AES GCM encryption in mod_auth_openidc |
| CVE-2021-37186 | A vulnerability has been identified in LOGO! CMR2020 (All versions < V2.2), LOGO! CMR2040 (All versions < V2.2), SIMATIC RTU3... |
| CVE-2021-4248 | kapetan dns Request.cs entropy |
| CVE-2022-1615 | In Samba, GnuTLS gnutls_rnd() can fail and give predictable random values. |
| CVE-2022-25752 | A vulnerability has been identified in SCALANCE X302-7 EEC (230V), SCALANCE X302-7 EEC (230V, coated), SCALANCE X302-7 EEC (2... |
| CVE-2022-26071 | On F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13.1.x... |
| CVE-2022-26080 | Easily guessable session ID's in NE843 Pulsar Plus Controller |
| CVE-2022-26647 | A vulnerability has been identified in SCALANCE X200-4P IRT (All versions < V5.5.2), SCALANCE X201-3P IRT (All versions < V5.... |
| CVE-2022-26851 | Dell PowerScale OneFS, 8.2.2-9.3.x, contains a predictable file name from observable state vulnerability. An unprivileged net... |
| CVE-2022-29035 | In JetBrains Ktor Native before version 2.0.0 random values used for nonce generation weren't using SecureRandom implementati... |
| CVE-2022-31008 | Predictable credential obfuscation seed value used in rabbitmq-server |
| CVE-2022-31034 | Insecure entropy in argo-cd |
| CVE-2022-36045 | Account takeover via cryptographically weak PRNG in NodeBB Forum |
| CVE-2022-37400 | Apache OpenOffice Static Initialization Vector Allows to Recover Passwords for Web Connections Without Knowing the Master Pas... |
| CVE-2022-39216 | Combodo iTop's weak password reset token leads to account takeover |
| CVE-2022-3959 | drogon Session Hash small space of random values |
| CVE-2022-42787 | Wiesemann & Theis: Small number space for allocating session id in Com-Server family |
| CVE-2022-43485 | Insecure random number used for generating keys for signing Jwt tokens |
| CVE-2022-43501 | KASAGO TCP/IP stack provided by Zuken Elmic generates ISNs(Initial Sequence Number) for TCP connections from an insufficientl... |
| CVE-2022-43636 | This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of TP-Link TL-WR940N... |
| CVE-2022-46353 | A vulnerability has been identified in SCALANCE X204RNA (HSR) (All versions < V3.2.7), SCALANCE X204RNA (PRP) (All versions <... |
| CVE-2023-1385 | Improper JPAKE implementation allows offline PIN brute-forcing due to the initialization of random values to a known value, w... |
| CVE-2023-20185 | A vulnerability in the Cisco ACI Multi-Site CloudSec encryption feature of Cisco Nexus 9000 Series Fabric Switches in ACI mod... |
| CVE-2023-22601 | InHand Networks InRouter 302, prior to version IR302 V3.5.56, and InRouter 615, prior to version InRouter6XX-S-V2.3.0.r5542,... |
| CVE-2023-22746 | CKAN is vulnerable to session secret shared across instances using Docker images |
| CVE-2023-2418 | Konga Login API random values |
| CVE-2023-24478 | Use of insufficiently random values for some Intel Agilex(R) software included as part of Intel(R) Quartus(R) Prime Pro Editi... |
| CVE-2023-26451 | Functions with insufficient randomness were used to generate authorization tokens of the integrated oAuth Authorization Servi... |
| CVE-2023-2884 | Insecure Randomness in CBOT's Chatbot |
| CVE-2023-29332 | Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability |
| CVE-2023-30797 | Insecure Random Generation in Netflix Lemur |
| CVE-2023-31124 | AutoTools does not set CARES_RANDOM_FILE during cross compilation |
| CVE-2023-31147 | Insufficient randomness in generation of DNS query IDs in c-ares |
| CVE-2023-3247 | Missing error check and insufficient random bytes in HTTP Digest authentication for SOAP |
| CVE-2023-34353 | An authentication bypass vulnerability exists in the OAS Engine authentication functionality of Open Automation Software OAS... |
| CVE-2023-3803 | Chengdu Flash Flood Disaster Monitoring and Warning System File Name ImageStationDataService.asmx random values |
| CVE-2023-41879 | Magento LTS's guest order "protect code" can be brute-forced too easily |
| CVE-2023-4462 | Poly VVX 601 Web Configuration Application random values |
| CVE-2023-46740 | Insecure random string generator used for sensitive data |
| CVE-2023-6376 | Henschen & Associates court document management software cache uses predictable file names |
| CVE-2024-10082 | CodeChecker is an analyzer tooling, defect database and viewer extension for the Clang Static Analyzer and Clang Tidy. Authe... |
| CVE-2024-10604 | Identifiable Header Values In Fuchsia Leading To Tracking of The User |
| CVE-2024-12432 | WPC Shop as a Customer for WooCommerce <= 1.2.8 - Authentication Bypass Due to Insufficiently Unique Key |
| CVE-2024-1631 | agent-js: Insecure Key Generation in `Ed25519KeyIdentity.generate` |
| CVE-2024-20331 | Cisco Adaptive Security Appliance and Firepower Threat Defense Software VPN Authentication DoS Vulnerability |
| CVE-2024-21460 | Use of Insufficiently Random Values in Core |
| CVE-2024-25943 | iDRAC9, versions prior to 7.00.00.172 for 14th Generation and 7.10.50.00 for 15th and 16th Generations, contains a session hi... |
| CVE-2024-28013 | Use of Insufficiently Random Values vulnerability in NEC Corporation Aterm WG1800HP4, WG1200HS3, WG1900HP2, WG1200HP3, WG1800... |
| CVE-2024-35292 | A vulnerability has been identified in SIMATIC S7-200 SMART CPU CR40 (6ES7288-1CR40-0AA0) (All versions), SIMATIC S7-200 SMAR... |
| CVE-2024-36389 | MileSight DeviceHub - CWE-330 Use of Insufficiently Random Values |
| CVE-2024-42165 | Arbitrary User Activation |
| CVE-2024-42475 | OAuth library for nim allows insecure generation of state values by generateState - entropy too low and uses regular PRNG ins... |
| CVE-2024-47187 | Suricata datasets: missing hashtable random seed leads to potential DoS |
| CVE-2024-47188 | Suricata http/byte-ranges: missing hashtable random seed leads to potential DoS |
| CVE-2024-52615 | Avahi: avahi wide-area dns uses constant source port |
| CVE-2024-6348 | Predictable seed generation after ECU reset |
| CVE-2024-7659 | projectsend Password Reset Token functions.php generate_random_string random values |
| CVE-2025-10671 | youth-is-as-pale-as-poetry e-learning JWT Token JwtUtils.java encryptSecret random values |
| CVE-2025-10745 | Banhammer – Monitor Site Traffic, Block Bad Users and Bots <= 3.4.8 - Unauthenticated Protection Mechanism Bypass |
| CVE-2025-12787 | Hydra Booking – All in One Appointment Booking System | Appointment Scheduling, Booking Calendar & WooCommerce Bookings <= 1.... |
| CVE-2025-1953 | vLLM AIBrix Prefix Caching hash.go random values |
| CVE-2025-22150 | Undici Uses Insufficiently Random Values |
| CVE-2025-43866 | Vantage6 Server JWT secret not cryptographically secure |
| CVE-2025-4607 | PSW Front-end Login & Registration <= 1.12 - Insufficiently Random Values to Unauthenticated Account Takeover/Privilege Escal... |
| CVE-2025-49198 | Poor quality of randomness in authorization tokens |
| CVE-2025-5136 | Tmall Demo Payment Identifier pay random values |
| CVE-2025-59371 | An authentication bypass vulnerability has been identified in the IFTTT integration feature. A remote, authenticated attacker... |
| CVE-2025-64097 | NervesHub has Insufficient Token Entropy that Allows Authentication Bypass via Brute Force |
| CVE-2025-6515 | Reuse of session IDs in oatpp-mcp leads to session hijacking and prompt hijacking by remote attackers |
| CVE-2025-66511 | Nextcloud Calendar app used predictable proposal participant tokens |
| CVE-2025-68704 | Jervis has a Weak Random for Timing Attack Mitigation |
| CVE-2025-6931 | D-Link DCS-6517/DCS-7517 Root Password Generation httpd generate_pass_from_mac entropy |
| CVE-2025-7783 | Usage of unsafe random function in form-data for choosing boundary |
| CVE-2026-20101 | A vulnerability in the SAML 2.0 single sign-on (SSO) feature of Cisco Secure Firewall ASA Software and Secure FTD Software co... |
| CVE-2026-21444 | libtpms returns wrong initialization vector when certain symmetric ciphers are used |
| CVE-2026-23999 | Fleet: Device lock PIN can be predicted if lock time is known |
| CVE-2026-25072 | XikeStor SKS8310-8X Predictable Session Identifiers |
| CVE-2026-27515 | Binardat 10G08-0800GSM Network Switch Predictable Session Identifiers |
| CVE-2026-27637 | FreeScout's Predictable Authentication Token Enables Account Takeover |
| CVE-2026-27755 | SODOLA SL902-SWTGW124AS <= 200.1.20 Predictable Session ID |
| CVE-2026-28415 | Gradio has Open Redirect in OAuth Flow |
| CVE-2026-2966 | Cesanta Mongoose DNS Transaction ID dns.c mg_sendnsreq random values |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.