Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-330
CWE-330: Use of Insufficiently Random Values
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-01426 | Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2016-00929 | Уязвимость роутера ZyXEL PMG5318-B20A, позволяющая нарушителю обойти существующие ограничения доступа |
| BDU:2016-00932 | Уязвимость микропрограммного обеспечения маршрутизатора N600 DB Belkin F9K1102, позволяющая нарушителю подменить ответы на запросы |
| BDU:2019-02054 | Уязвимость микропрограммного обеспечения программируемого логического контроллера Modicon, связанная с использованием недостаточно случайных значений, позволяющая нарушителю перехватить TCP-соединения |
| BDU:2019-04083 | Уязвимость функции fork() библиотеки OpenSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-00163 | Уязвимость видеотерминалов ViewPoint серий 9630, 9650, 9660 связанная с использованием недостаточно случайных значений, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2020-00362 | Уязвимость функции flow_dissector ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05178 | Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05539 | Уязвимость ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00500 | Уязвимость веб-интерфейса сервера печати CUPS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01132 | Уязвимость реализации генератора ISN IP-стека, используемого NutOS, Nut/Net, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01133 | Уязвимость реализации генератора ISN стека протоколов, используемого uC/OS, uC/TCP-IP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01173 | Уязвимость реализации генератора ISN стека протоколов CycloneTCP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01174 | Уязвимость реализации генератора ISN стека протоколов TI-NDKTCPIP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01175 | Уязвимость реализации генератора ISN стека протоколов FNET, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01176 | Уязвимость реализации генератора ISN стека протоколов, используемого Contiki OS, uIP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01177 | Уязвимость реализации генератора ISN стека протоколов PicoTCP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01178 | Уязвимость реализации генератора ISN стека протоколов MPLAB Net, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02305 | Уязвимость функции в drivers/char/random.c and kernel/time/timer.c ядра операционной системы Linux, позволяющая нарушителю получить конфиденциальную информацию |
| BDU:2021-03297 | Уязвимость распределенной системы управления базами данных Apache Impala, связанная с ошибками при шифровании информации, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-04218 | Уязвимость реализации генератора ISN стеков TCP/IP NicheLite и InterNiche, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2021-04220 | Уязвимость DNS-клиента стеков TCP/IP NicheLite и InterNiche, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2021-04258 | Уязвимость интерфейса связи для модульного оборудования Smartlink, микропрограммного обеспечения беспроводного датчика энергии PowerTag, и контроллеров Wiser, связанная с использованием недостаточно случайных значений, позволяющая нарушителю повысить... |
| BDU:2021-04699 | Уязвимость модуля github.com/satori/go.uuid реализации Singularity Image Format SIF, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-05740 | Уязвимость инструмента для разработки и автоматического обновления установщиков VMware InstallBuilder для операционных систем Windows, связанная с использованием недостаточно случайных значений, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-00275 | Уязвимость системы управления конфигурациями Ansible, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-00613 | Уязвимость реализации протокола IPv4 ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00900 | Уязвимость микропрограммного обеспечения усилителя беспроводного сигнала TP-Link TL-WA850RE V6, связанная с использованием недостаточно случайных значений, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-01657 | Уязвимость функционала шифрования AES GCM модуля аутентификации и авторизации для Apache 2.x HTTP server Mod_auth_openidc, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-03142 | Уязвимость реализации протокола ICMP ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2022-03174 | Уязвимость набора шифров RC4-MD5 библиотеки OpenSSL, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2022-03832 | Уязвимость функции CLS_PK_KeyGenMT() базового криптомодуля Rambus SafeZone, позволяющая нарушителю вычислять закрытые ключи RSA из открытого ключа сертификата TLS |
| BDU:2022-03921 | Уязвимость ядра операционной системы Linux, связанная с недостаточной энтропией, позволяющая нарушителю идентифицировать клиентов |
| BDU:2022-04322 | Уязвимость встроенного веб-сервера микропрограммного обеспечения промышленных коммутаторов SCALANCE X302-7, SCALANCE X304-2FE, SCALANCE X306-1LD FE, SCALANCE X307-2, SCALANCE X307-3, SCALANCE X307-3LD, SCALANCE X308-2, SCALANCE X310, SCALANCE X320-1,... |
| BDU:2022-05427 | Уязвимость модуля связи Vnet/IP VI461 микропрограммного обеспечения маршрутизатора WAC Router AW810D, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05540 | Уязвимость функции utils.generateUUID программное обеспечение для форумов NodeBB Forum Software, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-07099 | Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-07130 | Уязвимость httpd-демона микропрограммного обеспечения маршрутизаторов TP-Link TL-WR940N, позволяющая нарушителю обойти процесс аутентификации и получить несанкционированный доступ к оборудованию |
| BDU:2023-00625 | Уязвимость системы управления памятью ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00898 | Уязвимость микропрограммного обеспечения процессоров безопасности AMD Secure Processor (ASP), System Management Unit (SMU) и Secure Encrypted Virtualization (SEV), связанная с ошибками инициализации, позволяющая нарушителю раскрыть защищаемую информа... |
| BDU:2023-01837 | Уязвимость программно-аппаратных средств контроля и защиты SCADA-систем ABB Pulsar Plus System Controller NE843_S, Infinity DC Power Plant H5692448 G104, Infinity DC Power Plant H5692448 G842, Infinity DC Power Plant H5692448 G224L, Infinity DC Power... |
| BDU:2023-02687 | Уязвимость микропрограммного обеспечения маршрутизаторов InHand Networks InRouter 302 и InRouter 615, связанная с использованием недостаточно случайных значений, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-03102 | Уязвимость диспетчера беспроводных устройств Honeywell OneWireless Wireless Device Manager (WDM), связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-05202 | Уязвимость компонента JNDI программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition, позволяющая нарушителю получить доступ на изменение, добавление или удаление данных |
| BDU:2023-05492 | Уязвимость компонента React Native Bluetooth Scan программного средства для доступа к приложениям Bluezone, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-05887 | Уязвимость языка программирования PHP, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-05915 | Уязвимость системы автоматизированного проектирования Intel Quartus Prime Pro для Linux, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-01955 | Уязвимость микропрограммного обеспечения беспроводных модемов Hitron CODA-4582 и CODA-4589, связанная с недостаточной энтропией из-за использования PSK по умолчанию, позволяюащя нарушителю оказать воздействие на конфиденциальность, целостность и дост... |
| BDU:2024-02373 | Уязвимость функции ticket_age_add языка программирования Go, позволяющая нарушителю получить несанкционированный доступ к идентификаторам сеанса |
| BDU:2024-02612 | Уязвимость компонента autotools CARES_RANDOM_FILE библиотеки асинхронных DNS-запросов C-ares, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2024-04316 | Уязвимость плагина аутентификации caddy-security, связанная с использованием недостаточно случайных значений, позволяющая нарушителю выполнить атаку перехвата OAuth и генерации небезопасных многоразовых проверок подлинности и ключей API в базе данных |
| BDU:2024-04409 | Уязвимость платформы для развертывания сетей MileSight DeviceHub, связанная с использованием недостаточно случайных значений, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04538 | Уязвимость микропрограммного обеспечения программируемого логического контроллера SIMATIC S7-200 SMART связана с использованием недостаточно случайных значений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-05882 | Уязвимость ядра микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-06955 | Уязвимость функции gnutls_rnd() пакета программ сетевого взаимодействия Samba, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-07287 | Уязвимость реализации протокола синхронизации времени NTP, связанная с использованием недостаточно случайных значений, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-10625 | Уязвимость программного обеспечения для графических панелей управления Mitsubishi Electric серий GOT2000 и GOT SIMPLE, связанная с предсказуемостью случайных начальных номеров TCP- сессий, позволяющая нарушителю перехватывать соединения для передачи... |
| BDU:2024-10811 | Уязвимость функции удаленного доступа SSL VPN микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-11507 | Уязвимость функции __runtime_fixup_32() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16178 | Уязвимость системы обнаружения сервисов в локальной сети Avahi, связанная с использованием недостаточно случайных значений, позволяющая нарушителю оказать влияние на конфиденциальность защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2017-0897 | ExpressionEngine version 2.x < 2.11.8 and version 3.x < 3.5.5 create an object signing token with weak entropy. Successfully... |
| CVE-2017-16028 | react-native-meteor-oauth is a library for Oauth2 login to a Meteor server in React Native. The oauth Random Token is generat... |
| CVE-2017-6026 | A Use of Insufficiently Random Values issue was discovered in Schneider Electric Modicon PLCs Modicon M241, firmware versions... |
| CVE-2018-1108 | kernel drivers before version 4.17-rc1 are vulnerable to a weakness in the Linux kernel's implementation of random seed data.... |
| CVE-2018-13280 | Use of insufficiently random values vulnerability in SYNO.Encryption.GenRandomKey in Synology DiskStation Manager (DSM) befor... |
| CVE-2018-17888 | NUUO CMS all versions 3.1 and prior, The application uses a session identification mechanism that could allow attackers to ob... |
| CVE-2019-25089 | Morgawr Muon handler.clj random values |
| CVE-2019-3795 | Insecure Randomness When Using a SecureRandom Instance Constructed by Spring Security |
| CVE-2019-6821 | CWE-330: Use of Insufficiently Random Values vulnerability, which could cause the hijacking of the TCP connection when using... |
| CVE-2020-10729 | A flaw was found in the use of insufficiently random values in Ansible. Two random password lookups of the same length genera... |
| CVE-2020-25705 | A flaw in ICMP packets in the Linux kernel may allow an attacker to quickly scan open UDP ports. This flaw allows an off-path... |
| CVE-2020-27264 | In SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i and AnyDana-A, the communication protocol of the insulin pump and its... |
| CVE-2020-35163 | Dell BSAFE Crypto-C Micro Edition, versions before 4.1.5, and Dell BSAFE Micro Edition Suite, versions before 4.6, contain a... |
| CVE-2020-7548 | A CWE-330 - Use of Insufficiently Random Values vulnerability exists in Smartlink, PowerTag, and Wiser Series Gateways (see s... |
| CVE-2021-20322 | A flaw in the processing of received ICMP errors (ICMP fragment needed and ICMP redirect) in the Linux kernel functionality w... |
| CVE-2021-21352 | Predictable tokens used for password resets |
| CVE-2021-23020 | The NAAS 3.x before 3.10.0 API keys were generated using an insecure pseudo-random string and hashing algorithm which could l... |
| CVE-2021-24998 | Simple JWT Login < 3.3.0 - Insecure Password Creation |
| CVE-2021-25677 | A vulnerability has been identified in APOGEE PXC Compact (BACnet) (All versions < V3.5.5), APOGEE PXC Compact (P2 Ethernet)... |
| CVE-2021-27393 | A vulnerability has been identified in Nucleus NET (All versions), Nucleus ReadyStart V3 (All versions < V2013.08), Nucleus S... |
| CVE-2021-29499 | Predictable SIF UUID Identifiers |
| CVE-2021-32791 | Hardcoded static IV and AAD with a reused key in AES GCM encryption in mod_auth_openidc |
| CVE-2021-37186 | A vulnerability has been identified in LOGO! CMR2020 (All versions < V2.2), LOGO! CMR2040 (All versions < V2.2), SIMATIC RTU3... |
| CVE-2021-4248 | kapetan dns Request.cs entropy |
| CVE-2022-1615 | In Samba, GnuTLS gnutls_rnd() can fail and give predictable random values. |
| CVE-2022-25752 | A vulnerability has been identified in SCALANCE X302-7 EEC (230V), SCALANCE X302-7 EEC (230V, coated), SCALANCE X302-7 EEC (2... |
| CVE-2022-26071 | On F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13.1.x... |
| CVE-2022-26080 | Easily guessable session ID's in NE843 Pulsar Plus Controller |
| CVE-2022-26647 | A vulnerability has been identified in SCALANCE X200-4P IRT (All versions < V5.5.2), SCALANCE X201-3P IRT (All versions < V5.... |
| CVE-2022-26851 | Dell PowerScale OneFS, 8.2.2-9.3.x, contains a predictable file name from observable state vulnerability. An unprivileged net... |
| CVE-2022-29035 | In JetBrains Ktor Native before version 2.0.0 random values used for nonce generation weren't using SecureRandom implementati... |
| CVE-2022-31008 | Predictable credential obfuscation seed value used in rabbitmq-server |
| CVE-2022-31034 | Insecure entropy in argo-cd |
| CVE-2022-36045 | Account takeover via cryptographically weak PRNG in NodeBB Forum |
| CVE-2022-37400 | Apache OpenOffice Static Initialization Vector Allows to Recover Passwords for Web Connections Without Knowing the Master Pas... |
| CVE-2022-39216 | Combodo iTop's weak password reset token leads to account takeover |
| CVE-2022-3959 | drogon Session Hash small space of random values |
| CVE-2022-42787 | Wiesemann & Theis: Small number space for allocating session id in Com-Server family |
| CVE-2022-43485 | Insecure random number used for generating keys for signing Jwt tokens |
| CVE-2022-43501 | KASAGO TCP/IP stack provided by Zuken Elmic generates ISNs(Initial Sequence Number) for TCP connections from an insufficientl... |
| CVE-2022-43636 | This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of TP-Link TL-WR940N... |
| CVE-2022-46353 | A vulnerability has been identified in SCALANCE X204RNA (HSR) (All versions < V3.2.7), SCALANCE X204RNA (PRP) (All versions <... |
| CVE-2023-1385 | Improper JPAKE implementation allows offline PIN brute-forcing due to the initialization of random values to a known value, w... |
| CVE-2023-20185 | A vulnerability in the Cisco ACI Multi-Site CloudSec encryption feature of Cisco Nexus 9000 Series Fabric Switches in ACI mod... |
| CVE-2023-22601 | InHand Networks InRouter 302, prior to version IR302 V3.5.56, and InRouter 615, prior to version InRouter6XX-S-V2.3.0.r5542,... |
| CVE-2023-22746 | CKAN is vulnerable to session secret shared across instances using Docker images |
| CVE-2023-2418 | Konga Login API random values |
| CVE-2023-24478 | Use of insufficiently random values for some Intel Agilex(R) software included as part of Intel(R) Quartus(R) Prime Pro Editi... |
| CVE-2023-26451 | Functions with insufficient randomness were used to generate authorization tokens of the integrated oAuth Authorization Servi... |
| CVE-2023-2884 | Insecure Randomness in CBOT's Chatbot |
| CVE-2023-29332 | Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability |
| CVE-2023-30797 | Insecure Random Generation in Netflix Lemur |
| CVE-2023-31124 | AutoTools does not set CARES_RANDOM_FILE during cross compilation |
| CVE-2023-31147 | Insufficient randomness in generation of DNS query IDs in c-ares |
| CVE-2023-3247 | Missing error check and insufficient random bytes in HTTP Digest authentication for SOAP |
| CVE-2023-34353 | An authentication bypass vulnerability exists in the OAS Engine authentication functionality of Open Automation Software OAS... |
| CVE-2023-3803 | Chengdu Flash Flood Disaster Monitoring and Warning System File Name ImageStationDataService.asmx random values |
| CVE-2023-41879 | Magento LTS's guest order "protect code" can be brute-forced too easily |
| CVE-2023-4462 | Poly VVX 601 Web Configuration Application random values |
| CVE-2023-46740 | Insecure random string generator used for sensitive data |
| CVE-2023-6376 | Henschen & Associates court document management software cache uses predictable file names |
| CVE-2024-10082 | CodeChecker is an analyzer tooling, defect database and viewer extension for the Clang Static Analyzer and Clang Tidy. Authe... |
| CVE-2024-10604 | Identifiable Header Values In Fuchsia Leading To Tracking of The User |
| CVE-2024-12432 | WPC Shop as a Customer for WooCommerce <= 1.2.8 - Authentication Bypass Due to Insufficiently Unique Key |
| CVE-2024-1631 | agent-js: Insecure Key Generation in `Ed25519KeyIdentity.generate` |
| CVE-2024-20331 | Cisco Adaptive Security Appliance and Firepower Threat Defense Software VPN Authentication DoS Vulnerability |
| CVE-2024-21460 | Use of Insufficiently Random Values in Core |
| CVE-2024-25943 | iDRAC9, versions prior to 7.00.00.172 for 14th Generation and 7.10.50.00 for 15th and 16th Generations, contains a session hi... |
| CVE-2024-28013 | Use of Insufficiently Random Values vulnerability in NEC Corporation Aterm WG1800HP4, WG1200HS3, WG1900HP2, WG1200HP3, WG1800... |
| CVE-2024-35292 | A vulnerability has been identified in SIMATIC S7-200 SMART CPU CR40 (6ES7288-1CR40-0AA0) (All versions), SIMATIC S7-200 SMAR... |
| CVE-2024-36389 | MileSight DeviceHub - CWE-330 Use of Insufficiently Random Values |
| CVE-2024-42165 | Arbitrary User Activation |
| CVE-2024-42475 | OAuth library for nim allows insecure generation of state values by generateState - entropy too low and uses regular PRNG ins... |
| CVE-2024-47187 | Suricata datasets: missing hashtable random seed leads to potential DoS |
| CVE-2024-47188 | Suricata http/byte-ranges: missing hashtable random seed leads to potential DoS |
| CVE-2024-52615 | Avahi: avahi wide-area dns uses constant source port |
| CVE-2024-6348 | Predictable seed generation after ECU reset |
| CVE-2024-7659 | projectsend Password Reset Token functions.php generate_random_string random values |
| CVE-2025-10671 | youth-is-as-pale-as-poetry e-learning JWT Token JwtUtils.java encryptSecret random values |
| CVE-2025-10745 | Banhammer – Monitor Site Traffic, Block Bad Users and Bots <= 3.4.8 - Unauthenticated Protection Mechanism Bypass |
| CVE-2025-12787 | Hydra Booking – All in One Appointment Booking System | Appointment Scheduling, Booking Calendar & WooCommerce Bookings <= 1.... |
| CVE-2025-1953 | vLLM AIBrix Prefix Caching hash.go random values |
| CVE-2025-22150 | Undici Uses Insufficiently Random Values |
| CVE-2025-43866 | Vantage6 Server JWT secret not cryptographically secure |
| CVE-2025-4607 | PSW Front-end Login & Registration <= 1.12 - Insufficiently Random Values to Unauthenticated Account Takeover/Privilege Escal... |
| CVE-2025-49198 | Poor quality of randomness in authorization tokens |
| CVE-2025-5136 | Tmall Demo Payment Identifier pay random values |
| CVE-2025-59371 | An authentication bypass vulnerability has been identified in the IFTTT integration feature. A remote, authenticated attacker... |
| CVE-2025-6515 | Reuse of session IDs in oatpp-mcp leads to session hijacking and prompt hijacking by remote attackers |
| CVE-2025-66511 | Nextcloud Calendar app used predictable proposal participant tokens |
| CVE-2025-68704 | Jervis has a Weak Random for Timing Attack Mitigation |
| CVE-2025-6931 | D-Link DCS-6517/DCS-7517 Root Password Generation httpd generate_pass_from_mac entropy |
| CVE-2025-7783 | Usage of unsafe random function in form-data for choosing boundary |
| CVE-2026-21444 | libtpms returns wrong initialization vector when certain symmetric ciphers are used |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.