Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-345
CWE-345: Insufficient Verification of Data Authenticity
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2014-00046 | Уязвимость операционной системы Zyxel ZLD, позволяющая злоумышленнику вызвать отказ в обслуживании |
| BDU:2016-00433 | Уязвимость операционной системы Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2017-02035 | Уязвимость фильтра CORS сервера приложений Apache Tomcat, позволяющая нарушителю осуществить заражение клиента и сервера при определенных обстоятельствах |
| BDU:2017-02217 | Множественные уязвимости подсистемы Intel Management Engine (ME) микропрограммного обеспечения семейства микросхем Platform Controller Hub, позволяющие выполнить неподписанный код |
| BDU:2017-02527 | Множественные уязвимости подсистемы Intel Server Platform Services (SPS) микропрограммного обеспечения семейства микросхем Platform Controller Hub, позволяющие выполнить неподписанный код |
| BDU:2017-02528 | Множественные уязвимости подсистемы Intel Trusted Execution Engine (TXE) микропрограммного обеспечения семейства микросхем Platform Controller Hub, позволяющие выполнить неподписанный код |
| BDU:2018-00980 | Уязвимость медицинского оборудования Medtronic MyCareLink Patient Monitor, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю загружать произвольную информацию в сеть Medtronic CareLink |
| BDU:2018-01533 | Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M221, связанная с ошибками реализации сетевого модуля в протоколе UMAS, позволяющая нарушителю перехватить сетевой трафик контроллера |
| BDU:2019-00823 | Уязвимость микропрограммного обеспечения маршрутизаторов Secutech, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю изменить настройки DNS |
| BDU:2019-02140 | Уязвимость утилиты обновления BIOS микропрограммного обеспечения серверов Cisco UCS серии C, позволяющая нарушителю установить вредоносное микропрограммное обеспечение BIOS на уязвимое устройство |
| BDU:2019-02413 | Уязвимость программного пакета fly-weather операционной системы Astra Linux, связанная с ошибкой валидации входных данных, принимаемых с веб-сервера, позволяющая нарушителю осуществлять спуфинг-атаки |
| BDU:2019-02546 | Уязвимость средств защиты от вредоносного программного обеспечения Cisco AMP для конечных устройств, связанная с недостаточной проверкой динамически загружаемых модулей, позволяющая нарушителю выполнить произвольный код с привилегиями службы AMP |
| BDU:2019-02640 | Уязвимость программного пакета goldendict операционной системы Astra Linux, связанная с ошибкой валидации входных данных, принимаемых с веб-сервера, позволяющая нарушителю осуществлять спуфинг-атаки |
| BDU:2019-02913 | Уязвимость плагина IcedTea-Web, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю внедрить произвольный код в JAR-файл |
| BDU:2019-03364 | Уязвимость компонента fly-admin-openvpn-server рабочей среды FLY операционной системы Astra Linux, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2019-03994 | Уязвимость службы сбора статистики гиперконвергентной инфраструктуры Cisco HyperFlex, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2019-04699 | Уязвимость операционной системы FortiOS, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-00067 | Уязвимость интеграционной платформы SAP Process Integration, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2020-00415 | Уязвимость функции автоматического обновления сервиса обеспечения безопасности для межсетевых экранов Umbrella Roaming Client для Windows, позволяющая нарушителю устанавливать произвольные приложения на целевое устройство |
| BDU:2020-00872 | Уязвимость средства криптографической защиты Cisco AnyConnect Secure Mobility Client, связана с недостаточной проверкой подлинности данных, позволяющая нарушителю вызвать отказ в обслуживании или раскрыть защищаемую информацию |
| BDU:2020-01302 | Уязвимость в функции шлюза anycast операционной системы Cisco NX-OS, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2020-01576 | Уязвимость RADIUS-сервера FreeRADIUS, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-01821 | Уязвимость браузера Firefox, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю нарушить целостность данных |
| BDU:2020-02004 | Уязвимость системы управления ЕПП службы Astra Linux Directory (ALD), связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслужива... |
| BDU:2020-02452 | Уязвимость программного обеспечения для веб-конференцсвязи Cisco WebEx Business Suite, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-02460 | Уязвимость процесса сборки ядра pc-kernel операционных систем семейства Ubuntu, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-02871 | Уязвимость набора библиотек NSS (Network Security Services), существующая из-за недостаточной проверки входных данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-03036 | Уязвимость драйвера аппаратного шифрования операционной системы Cisco IOS XE, позволяющая нарушителю отключить сеансы VPN Ipsec |
| BDU:2020-03330 | Уязвимость модулей Update и ЕS Service антивирусного программного средства Dr.Web Enterprise Security Suite, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-03430 | Уязвимость системы принудительного контроля доступа SELinux с модулями безопасности Linux Security Modules (LSM) ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-03723 | Уязвимость инструментов разработчика браузера Google Chrome, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2020-05737 | Уязвимость сетевого программного средства Envoy, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-05874 | Уязвимость единой информационной системы государственного управления Парус-Бюджет, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-00094 | Уязвимость модуля распаковки веб-браузеров Firefox ESR и Firefox и почтового клиента Thunderbird, связанная с недостатком механизма проверки подлинности данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность... |
| BDU:2021-00720 | Уязвимость реализации модулей mod_remoteip и mod_rewrite веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить подмену ip-адреса |
| BDU:2021-00847 | Уязвимость компонента загрузчика средств антивирусной защиты Kaspersky Endpoint Security и образа загрузочного диска Kaspersky Rescue Disk, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю обойти защитный механизм UEFI S... |
| BDU:2021-01424 | Уязвимость функции _krb5_extract_ticket() пакета программ сетевого взаимодействия Samba, связанная с недостатком механизма проверки подлинности данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также... |
| BDU:2021-01961 | Уязвимость веб-интерфейса UI операционных систем Cisco IOS XE, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03762 | Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить доступ к конфиденциальной информации или вызвать отказ в обслуживании |
| BDU:2021-04255 | Уязвимость микропрограммного обеспечения логического контроллеров Modicon M218, M218, M241, M251, and M258, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-04545 | Уязвимость реализации протокола SSH средства криптографической защиты PuTTY, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04649 | Уязвимость правил брандмауэра Open vSwitch сетевого сервиса Neutron, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании |
| BDU:2021-05346 | Уязвимость реализации протокола STARTTLS программного средства для взаимодействия с серверами cURL, позволяющая нарушителю проводить атаки типа "человек посередине" |
| BDU:2021-05358 | Уязвимость компонента Address Book почтового клиента Microsoft Outlook, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2021-06165 | Уязвимость реализации службы SDP стека протоколов Bluetooth для ОС Linux BlueZ, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-00684 | Уязвимость сетевой файловой системы Samba, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-00716 | Уязвимость функции проверки электронной подписи менеджера RPM-пакетов RPM (RPM Package Manager), позволяющая нарушителю нарушить конфиденциальность, целостность и доступность данных |
| BDU:2022-01000 | Уязвимость микропрограммного обеспечения BIOS ноутбуков Dell, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-02433 | Уязвимость веб-интерфейса управления микропрограммного обеспечения IP-телефонов Cisco IP Phone 6800, Cisco IP Phone 7800 и Cisco IP Phone 8800, позволяющая нарушителю осуществить CSRF-атаку |
| BDU:2022-02982 | Уязвимость реализации протокола Datagram TLS (DTLS) микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-03122 | Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность... |
| BDU:2022-03723 | Уязвимость средства программирования и отладки ПЛК-приложений MULTIPROG, встроенной операционной системы ProConOS/ProConOS eCLR, позволяющая нарушителю получить полный контроль над устройством |
| BDU:2022-03724 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров AXC 1050, AXC 1050 XC, AXC 3050, FC 350 PCI ETH, ILC1x0, ILC1x1, ILC 1x1 GSM/GPRS, ILC 3xx, PC WORX RT BASIC, PC WORX SRT, RFC 430 ETH-IB, RFC 450 ETH-IB, RFC 460R PN 3T... |
| BDU:2022-03748 | Уязвимость функции проверки образов Cisco Adaptive Security Device Manager (ASDM) микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance Software (ASA), позволяющая нарушителю выполнить произвольный код |
| BDU:2022-03750 | Уязвимость встроенных образов контроллеров противоаварийной защиты Safety Manager и микропрограммного обеспечения программируемых логических контроллеров Honeywell Experion PKS, позволяющая нарушителю оказать воздействие на конфиденциальность, целост... |
| BDU:2022-03756 | Уязвимость встроенных образов микропрограммного обеспечения программируемых логических контроллеров ACE1000, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-03757 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров TOYOPUC, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-03758 | Уязвимость реализации протокола CMPLink/TCP микропрограммного обеспечения программируемых логических контроллеров TOYOPUC, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-03763 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров SYSMAC CS/CJ/CP series, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю выполнять произвольные команды |
| BDU:2022-03764 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров SYSMAC NJ/NX, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-03767 | Уязвимость встроенных образов микропрограммного обеспечения программируемых логических контроллеров ACE1000, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-03848 | Уязвимость встроенных образов ПО контроллера телемеханики ControlWave, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2022-03849 | Уязвимость встроенных образов ПО микропрограммного обеспечения программируемых логических контроллеров PACsystems, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2022-03850 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров PACsystems, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-03852 | Уязвимость встроенных образов ПО систем управления Ovation OCR400 Ovation OCR1100, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2022-03856 | Уязвимость встроенных образов ПО микропрограммного обеспечения контроллеров DeltaV M-series/S-series/P-series, системы противоаварийной защиты DeltaV/Ovation SIS, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостнос... |
| BDU:2022-03860 | Уязвимость реализации протокола Safety Builder контроллеров противоаварийной защиты Safety Manager, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-04084 | Уязвимость обновлений браузера Mozilla Firefox, связанная с ошибками при проверке загруженного обновления, позволяющая нарушителю понизить версию браузера при обновлении |
| BDU:2022-04141 | Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю получить обойти ограничения безопасности |
| BDU:2022-04335 | Уязвимость веб-интерфейса межсетевого экрана DA50N, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-04349 | Уязвимость программного обеспечения управления аккаунтами JetBrains Hub, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуж... |
| BDU:2022-04410 | Уязвимость микропрограммного обеспечения коммуникационного модуля OPC UA Modicon Communication Module (BMENUA0100), X80 advanced RTU Communication Module (BMENOR2200H), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-04574 | Уязвимость службы управления образами контейнеров платформы аналитики и автоматизации работы с многооблачными сетями дата-центров Cisco Nexus Dashboard, позволяющая нарушителю загрузить произвольные образы контейнеров |
| BDU:2022-04737 | Уязвимость компонента AAD Handler Java-библиотеки Nimbus JOSE + JWT, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2022-05324 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров STARDOM FCN/FCJ, связана с недостаточной проверкой подлинности данных, позволяющая нарушителю получить полный контроль над устройством |
| BDU:2022-05612 | Уязвимость функции "Приватный Просмотр" браузера Mozilla Firefox, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05903 | Уязвимость реализации механизма отката обновления антивирусного программного средства Apex One, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-06113 | Уязвимость платформы бизнес-аналитики SAP Business Objects Business Intelligence Platform, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-06207 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров STARDOM FCN/FCJ, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-07166 | Уязвимость антивирусного сканера Fortinet antivirus (AV) операционных систем FortiOS и системы защиты электронной почты FortiMail, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2023-00008 | Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway), связанная с недостаточной проверкой подлинно... |
| BDU:2023-01116 | Уязвимость программного обеспечения графических процессоров NVIDIA GeForce, Studio, RTX/Quadro, NVS и Tesla, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, п... |
| BDU:2023-01118 | Уязвимость микропрограммного обеспечения сетевого хранилища Western Digital MyCloud PR4100, связанная с некорректной проверкой криптографической подписи, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-01470 | Уязвимость исполняемого файла IGSSdataServer.exe сервера данных SCADA-системы IGSS Data Server и исполняемого файла DashBoard.exe информационной панели IGSS Dashboard и библиотеки RMS16.dll модуля отчетов Custom Reports, позволяющая нарушителю вызват... |
| BDU:2023-01473 | Уязвимость исполняемого файла IGSSdataServer.exe сервера данных SCADA-системы IGSS Data Server и исполняемого файла DashBoard.exe информационной панели IGSS Dashboard и библиотеки RMS16.dll модуля отчетов Custom Reports, позволяющая нарушителю удалит... |
| BDU:2023-01476 | Уязвимость исполняемого файла IGSSdataServer.exe сервера данных SCADA-системы IGSS Data Server и исполняемого файла DashBoard.exe информационной панели IGSS Dashboard и библиотеки RMS16.dll модуля отчетов Custom Reports, позволяющая нарушителю выполн... |
| BDU:2023-02843 | Уязвимость метода exportXFAData программы для просмотра электронных документов в стандарте PDF Foxit PDF Reader (ранее Foxit Reader) и программы редактирования PDF-файлов Foxit PDF Editor (ранее Foxit PhantomPDF), позволяющая нарушителю выполнить про... |
| BDU:2023-03544 | Уязвимость компонента WebApp Installs браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2023-03864 | Уязвимость модулей отображения веб-страниц WebKitGTK и WPE WebKit, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-04027 | Уязвимость программного обеспечения удаленного мониторинга Advantech WebAccess, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-04170 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров Honeywell Experion PKS, измерительно-вычислительных и управляющих контроллеров Experion LX и распределительной системы управления Experion PlantCruise, позволяющая наруш... |
| BDU:2023-04458 | Уязвимость набора инструментов для веб-разработки DevTools браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения навигации |
| BDU:2023-04478 | Уязвимость комплекса прикладного программирования ПЛК CODESYS Development System, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю изменять содержимое уведомлений, получаемых через HTTP от сервера уведомлений CODESYS |
| BDU:2023-05057 | Уязвимость клиента программного обеспечения для проведения видеоконференций Zoom Desktop для Windows, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-05463 | Уязвимость корневых сертификатов e-Tugra пакета для проверки надежности сертификатов SSL Certifi, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2023-05562 | Уязвимость компонента IOCTL инструмента анализа профилирования программного обеспечения AMD uProf, позволяющая нарушителю загрузить неподписанный драйвер и выполнить произвольный код |
| BDU:2023-05807 | Уязвимость реализации стандарта сетевой загрузки iPXE (Preboot eXecution Environment) операционной системы Cisco IOS XR , позволяющая нарушителю загружать произвольные файлы |
| BDU:2023-05828 | Уязвимость конфигурации приложения для обмена файлами IBM Aspera Faspex, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2023-06131 | Уязвимость программного обеспечения сетевого видеорегистратора Johnson Controls VideoEdge, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю редактировать файлы конфигурации и вызвать отказ в обслуживании |
| BDU:2023-06697 | Уязвимость сервера syslog межсетевого экрана FortiAnalyzer , позволяющая нарушителю отправлять произвольные сообщения на сервер |
| BDU:2023-07176 | Уязвимость программной платформы Node.js, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю отключить проверку целостности |
| BDU:2023-07365 | Уязвимость клиента установщика BIG-IP Edge для macOS программных средств BIG-IP (APM), APM Clients, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07906 | Уязвимость микропрограммного обеспечения сетевых адаптеров Ethernet Communication Special Adapter FX3U-ENETADP/Ethernet Communication block FX3U-ENET(-L) и микропрограммного обеспечения программируемых логических контроллеров MELSEC iQ-F и MELSEC-F,... |
| BDU:2023-08497 | Уязвимость агента обнаружения активов Assets Discovery (ранее Insight Discovery) программных продуктов обработки данных Atlassian Jira Service Management Data Center and Server и Cloud, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-08600 | Уязвимость VPN-клиента Cisco AnyConnect микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2024-00106 | Уязвимость демона smtpd почтового сервера Postfix, позволяющая нарушителю обойти ограничения безопасности и осуществить подмену электронных писем (атака типа SMTP Smuggling) |
| BDU:2024-00151 | Уязвимость службы Updater гипервизора Parallels Desktop, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии |
| BDU:2024-00261 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю изменить метаданные подписанных коммитов |
| BDU:2024-01020 | Уязвимость функции ImageBuild() программного средства для создания систем контейнерной изоляции Moby, позволяющая нарушителю реализовать атаку отравления кэша |
| BDU:2024-01241 | Уязвимость платформы управления производственными процессами FactoryTalk Services Platform, связанная с некорректной проверкой криптографической подписи, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и изменить пр... |
| BDU:2024-01904 | Уязвимость механизма подписи пакетов SMB2 пакета программ сетевого взаимодействия Samba, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2024-02339 | Уязвимость программного обеспечения SendMail SMTP Server , связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю обойти механизм защиты и внедрить сообщения электронной почты с поддельным адресом MAIL FROM |
| BDU:2024-02666 | Уязвимость программной реализации протокола SAML simplesamlphp/saml2 и программы безопасной обработки XML-документов simplesamlphp/xml-security, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю создать ложное SAML-сообще... |
| BDU:2024-03244 | Уязвимость программного многоуровневого коммутатора Open vSwitch (OvS), связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю перенаправлять трафик ICMPv6 на произвольные IP-адреса |
| BDU:2024-03860 | Уязвимость SSL-VPN-портала операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю отправлять пакеты с произвольных IP-адресов |
| BDU:2024-04240 | Уязвимость функции search_by_entry_key (fs/reiserfs/namei.c) ядра операционной системы Linux, позволяющая локальному нарушителю выполнить произвольный код |
| BDU:2024-04441 | Уязвимость службы Apex One NT Listener антивирусных программных средств Trend Micro Apex One и Apex One as a Service, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2024-04442 | Уязвимость службы Apex One NT RealTime Scan антивирусных программных средств Trend Micro Apex One и Apex One as a Service, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2024-04846 | Уязвимость функции filter_var интерпретатора языка программирования PHP, позволяющая нарушителю подменить URL-адреса с ошибочными данными |
| BDU:2024-05595 | Уязвимость прораммного пакета для интеграции облачных услуг и функций связи в устройствах IoT Kalay SDK микропрограммного обеспечения камер видеонаблюдения Owlet Cam v1, Owlet Cam v2, Wyze Cam v3 и Roku Indoor Camera SE, связанная с недостаточной про... |
| BDU:2024-05602 | Уязвимость функции gcry_md_get_algo_dlen() программного обеспечения управления и мониторинга кластеров высокой доступности ClusterLabs Booth, позволяющая нарушителю принять недопустимый HMAC |
| BDU:2024-05683 | Уязвимость программного обеспечения для проведения видеоконференций Zoom, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-05782 | Уязвимость компонента Updater браузера Google Chrome, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-05901 | Уязвимость библиотеки scan_lib.bin микропрограммного обеспечения программируемых логических контроллеров AutomationDirect P3-550E, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2024-06133 | Уязвимость компонента Dawn браузеров Google Chrome и Microsoft Edge операционных систем Android, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-06352 | Уязвимость службы Windows DNS операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2024-06411 | Уязвимость диспетчера очереди печати операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07236 | Уязвимость установщика браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07285 | Уязвимость обработчика VBA-скриптов программного обеспечения RSLogix 5 и RSLogix 500, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07694 | Уязвимость установщика браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07712 | Уязвимость обратного прокси сервера Containous Traefik, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07771 | Уязвимость пакета для проверки надежности сертификатов SSL Certifi, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю оказать влияние на целостность защищаемой информации |
| BDU:2024-10806 | Уязвимость реализации протокола QUIC библиотеки quic-go языка программирования go, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю оказать влияние на доступность защищаемой информации |
| BDU:2024-10913 | Уязвимость средства управления доступом 2N Access Commander, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2024-10914 | Уязвимость средства управления доступом 2N Access Commander, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-11142 | Уязвимость платформы для автомобильных приложений Visteon Infotainment, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии |
| BDU:2024-11318 | Уязвимость пакета клиентской и серверной реализации протокола SSHv2 asyncssh интерпретатора языка программирования Python, позволяющая нарушителю проводить атаки типа "человек по середине" |
| BDU:2025-00001 | Уязвимость демона radosgw системы хранения данных Ceph, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2025-00230 | Уязвимость почтовых клиентов Mutt и NeoMutt, связанная с ошибками проверки криптографической подписи, позволяющая нарушителю изменить список доверенных получателей и раскрыть защищаемую информацию |
| BDU:2025-01586 | Уязвимость функции verify_dnskey_rrset() DNS-клиента Hickory DNS (ранее Trust-DNS), позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01762 | Уязвимость программного средства для обновления драйверов Intel Driver Support Assistant (DSA), связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-01849 | Уязвимость сервера управления печатью Xerox Workplace Suite, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02316 | Уязвимость почтового клиента Thunderbird, Thunderbird ESR, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю оказать влияние на целостность данных |
| BDU:2025-04062 | Уязвимость доверенной среды выполнения Virtualization-Based Security (VBS) Enclave операционных систем Windows, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-04485 | Уязвимость функции in_atomic ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04489 | Уязвимость функции nft_set_ext ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-07188 | Уязвимость электронных устройств GE Vernova Intelligent Electronic Device (IED) серии Universal Relay (UR), связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-07727 | Уязвимость браузеров Mozilla Firefox, Firefox ESR операционных систем macOS, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-09867 | Уязвимость реализации DNS Java dnsjava, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-10494 | Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-10681 | Уязвимость функции FirmwareUpgrade микропрограммного обеспечения маршрутизаторов D-Link DIR‑619L, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2025-10866 | Уязвимость системы управления конфигурациями и удалённого выполнения операций Salt, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю выполнять атаки воспроизведения |
| BDU:2025-10973 | Уязвимость функции check_fw_type/split_fireware/check_fw микропрограммного обеспечения маршрутизаторов Tenda AC15, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2025-10978 | Уязвимость функции check_upload_file микропрограммного обеспечения маршрутизаторов Tenda G1, позволяющая нарушителю выполнить произвольный код или вызывать отказ в обслуживании |
| BDU:2025-11985 | Уязвимость ядра операционной системы Linux, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12734 | Уязвимость программного обеспечения для проведения видеоконференций Zoom, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12940 | Уязвимость DNS-сервера PowerDNS Recursor, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-13107 | Уязвимость антивирусного программного средства Comodo Internet Security Premium, связанная с отсутствием проверки целостности, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13780 | Уязвимость функции sub_40C6B8() микропрограммного обеспечения беспроводных точек доступа D-Link DAP-2695, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13831 | Уязвимость функции main модуля mint.cpp системы управления базами данных "Ред База Данных", позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2025-14100 | Уязвимость функции do_sme_acc() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14719 | Уязвимость программного обеспечения для видеоконференций Jitsi Meet Electron, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-15289 | Уязвимость функции atmtcp_recv_control() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15558 | Уязвимость реализации протокола IEEE 802.11 ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-15842 | Уязвимость модулей ядра Linux Astra Modules, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-5406 | Hospira LifeCare PCA Infusion System |
| CVE-2014-9194 | Arbiter Systems 1094B GPS Clock Insufficient Verification of Data Authenticity |
| CVE-2015-3956 | Hospira Plum A+ Infusion System version 13.4 and prior, Plum A+3 Infusion System version 13.6 and prior, and Symbiq Infusion... |
| CVE-2015-5236 | It was discovered that the IcedTea-Web used codebase attribute of the <applet> tag on the HTML page that hosts Java applet in... |
| CVE-2017-13083 | Akeo Consulting Rufus prior to version 2.17.1187 does not adequately validate the integrity of updates downloaded over HTTP,... |
| CVE-2017-20180 | Zerocoin libzerocoin Proof CoinSpend.cpp CoinSpend data authenticity |
| CVE-2017-2667 | Hammer CLI, a CLI utility for Foreman, before version 0.10.0, did not explicitly set the verify_ssl flag for apipie-bindings... |
| CVE-2017-3198 | GIGABYTE BRIX UEFI firmware is not cryptographically signed |
| CVE-2018-10626 | Medtronic MyCareLink 24950 Patient Monitor Insufficient Verification of Data Authenticity |
| CVE-2018-10894 | It was found that SAML authentication in Keycloak 3.4.3.Final incorrectly authenticated expired certificates. A malicious use... |
| CVE-2019-10157 | It was found that Keycloak's Node.js adapter before version 4.8.3 did not properly verify the web token received from the ser... |
| CVE-2019-10181 | It was found that in icedtea-web up to and including 1.7.2 and 1.8.2 executable code could be injected in a JAR file without... |
| CVE-2019-12620 | Cisco HyperFlex Software Counter Value Injection Vulnerability |
| CVE-2019-16000 | Cisco Umbrella Roaming Client for Windows Install Vulnerability |
| CVE-2019-16007 | Cisco AnyConnect Secure Mobility Client for Android Service Hijack Vulnerability |
| CVE-2019-1667 | Cisco HyperFlex Arbitrary Statistics Write Vulnerability |
| CVE-2019-17636 | In Eclipse Theia versions 0.3.9 through 0.15.0, one of the default pre-packaged Theia extensions is "Mini-Browser", published... |
| CVE-2019-1880 | Cisco Unified Computing System BIOS Signature Bypass Vulnerability |
| CVE-2019-18905 | Deprecated functionality in autoyast2 automatically imports gpg keys without checking them |
| CVE-2019-1932 | Cisco Advanced Malware Protection for Endpoints Windows Command Injection Vulnerability |
| CVE-2019-3807 | An issue has been found in PowerDNS Recursor versions 4.1.x before 4.1.9 where records in the answer section of responses rec... |
| CVE-2019-3875 | A vulnerability was found in keycloak before 6.0.2. The X.509 authenticator supports the verification of client certificates... |
| CVE-2020-10137 | Z-Wave devices based on Silicon Labs 700 series chipsets using S2 do not adequately authenticate or encrypt FIND_NODE_IN_RANG... |
| CVE-2020-11985 | IP address spoofing when proxying using mod_remoteip and mod_rewrite For configurations using proxying with mod_remoteip and... |
| CVE-2020-13178 | A function in the Teradici PCoIP Standard Agent for Windows and Graphics Agent for Windows prior to version 20.04.1 does not... |
| CVE-2020-15262 | Invalid integrity hashes in webpack-subresource-integrity |
| CVE-2020-1755 | In Moodle before 3.8.2, 3.7.5, 3.6.9 and 3.5.11, X-Forwarded-For headers could be used to spoof a user's IP, in order to bypa... |
| CVE-2020-24672 | ABB Base Software for SoftControl Remote Code Execution vulnerability |
| CVE-2020-3174 | Cisco NX-OS Software Anycast Gateway Invalid ARP Vulnerability |
| CVE-2020-3220 | Cisco IOS XE Software IPsec VPN Denial of Service Vulnerability |
| CVE-2020-7487 | A CWE-345: Insufficient Verification of Data Authenticity vulnerability exists which could allow the attacker to execute mali... |
| CVE-2021-1403 | Cisco IOS XE Software Web UI Cross-Site WebSocket Hijacking Vulnerability |
| CVE-2021-1586 | Cisco Nexus 9000 Series Fabric Switches ACI Mode Multi-Pod and Multi-Site TCP Denial of Service Vulnerability |
| CVE-2021-20267 | A flaw was found in openstack-neutron's default Open vSwitch firewall rules. By sending carefully crafted packets, anyone in... |
| CVE-2021-20271 | A flaw was found in RPM's signature check functionality when reading a package file. This flaw allows an attacker who can con... |
| CVE-2021-21320 | User content sandbox can be confused into opening arbitrary documents |
| CVE-2021-21588 | Dell EMC PowerFlex, v3.5.x contain a Cross-Site WebSocket Hijacking Vulnerability in the Presentation Server/WebUI. An unauth... |
| CVE-2021-24825 | Custom Content Shortcode < 4.0.2 - Authenticated Arbitrary File Access / LFI |
| CVE-2021-26315 | When the AMD Platform Security Processor (PSP) boot rom loads, authenticates, and subsequently decrypts an encrypted FW, due... |
| CVE-2021-26625 | tobesoft Nexacro arbitrary file download vulnerability |
| CVE-2021-32665 | Verified groups not reliable |
| CVE-2021-33712 | A vulnerability has been identified in Mendix SAML Module (All versions < V2.1.2). The configuration of the SAML module does... |
| CVE-2021-34572 | Insufficient Verification of Data Authenticity in Enbra EWM (replay attack) |
| CVE-2021-39158 | Dependency injection in NVCaffe |
| CVE-2021-4031 | Syltek Insufficient Verification of Data Authenticity |
| CVE-2021-41087 | Improperly Implemented path matching for in-toto-golang |
| CVE-2021-41106 | File reference keys leads to incorrect hashes on HMAC algorithms |
| CVE-2021-41203 | Missing validation during checkpoint loading |
| CVE-2021-4122 | It was found that a specially crafted LUKS header could trick cryptsetup into disabling encryption during the recovery of the... |
| CVE-2022-0031 | Cortex XSOAR: Local Privilege Escalation (PE) Vulnerability in Cortex XSOAR Engine |
| CVE-2022-20774 | Cisco IP Phone 6800, 7800, and 8800 Series with Multiplatform Firmware Cross-Site Request Forgery Vulnerability |
| CVE-2022-20795 | Cisco Adaptive Security Appliance and Cisco Firepower Threat Defense Software AnyConnect SSL VPN Denial of Service Vulnerabil... |
| CVE-2022-20829 | Cisco Adaptive Security Device Manager and Adaptive Security Appliance Software Client-side Arbitrary Code Execution Vulnerab... |
| CVE-2022-22567 | Select Dell Client Commercial and Consumer platforms are vulnerable to an insufficient verification of data authenticity vuln... |
| CVE-2022-22994 | Insufficient Verification of Data Authenticity Remote Code Execution Vulnerability on Western Digital My Cloud devices. |
| CVE-2022-23491 | Removal of TrustCor root certificate |
| CVE-2022-23556 | CodeIgniter is vulnerable to IP address spoofing when using proxy |
| CVE-2022-24889 | Insufficient Verification of Data Authenticity in Nextcloud Server |
| CVE-2022-26516 | ICSA-22-104-03 Red Lion DA50N |
| CVE-2022-27513 | Remote desktop takeover via phishing |
| CVE-2022-2789 | Emerson Electric's Proficy Machine Edition Version 9.00 and prior is vulnerable to CWE-345 Insufficient Verification of Data... |
| CVE-2022-28757 | Local Privilege Escalation in Auto Updater for Zoom Client for Meetings for macOS |
| CVE-2022-31598 | Due to insufficient input validation, SAP Business Objects - version 420, allows an authenticated attacker to submit a malici... |
| CVE-2022-31800 | Insufficient Verification of Data Vulnerability in PHOENIX CONTACT classic line industrial controllers |
| CVE-2022-31801 | Insufficient Verification of Data Vulnerability in ProConOS/ProConOS eCLR SDK and MULTIPROG Engineering tool |
| CVE-2022-32252 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.1). The application does not perform t... |
| CVE-2022-33861 | Insufficient verification of authenticity in IPP |
| CVE-2022-34763 | A CWE-345: Insufficient Verification of Data Authenticity vulnerability exists that could cause loading of unauthorized firmw... |
| CVE-2022-34845 | A firmware update vulnerability exists in the sysupgrade functionality of Robustel R1510 3.1.16 and 3.3.0. A specially-crafte... |
| CVE-2022-36111 | immundb has insufficient verification of data authenticity |
| CVE-2022-36360 | A vulnerability has been identified in LOGO! 8 BM (incl. SIPLUS variants) (All versions < V8.3). Affected devices load firmwa... |
| CVE-2022-3703 | ETIC Telecom Remote Access Server Insufficient Verification of Data Authenticity |
| CVE-2022-39199 | Lack of proper validation in immudb |
| CVE-2022-39909 | Insufficient verification of data authenticity vulnerability in Samsung Gear IconX PC Manager prior to version 2.1.221019.51... |
| CVE-2022-41156 | OndiskPlayer Remote Code Execution Vulnerability |
| CVE-2022-41960 | BigBlueButton contains DoS via failed authToken validation |
| CVE-2022-41961 | BigBlueButton subject to Ineffective user bans |
| CVE-2022-42267 | NVIDIA GPU Display Driver for Windows contains a vulnerability where a regular user can cause an out-of-bounds read, which ma... |
| CVE-2023-21441 | Insufficient Verification of Data Authenticity vulnerability in Routine prior to versions 2.6.30.6 in Android Q(10), 3.1.21.1... |
| CVE-2023-22315 | Snap One Wattbox WB-300-IP-3 versions WB10.9a17 and prior use a proprietary local area network (LAN) protocol that does not... |
| CVE-2023-23940 | OpenZeppelin Contracts for Cairo is vulnerable to signature validation bypass |
| CVE-2023-23941 | SwagPayPal payment not sent to PayPal correctly |
| CVE-2023-25178 | Controller design flaw - unsigned firmware |
| CVE-2023-26467 | A man in the middle can redirect traffic to a malicious server in a compromised configuration. |
| CVE-2023-26481 | Insufficient user check in FlowTokens by Email stage |
| CVE-2023-27360 | NETGEAR RAX30 lighttpd Misconfiguration Remote Code Execution Vulnerability |
| CVE-2023-27977 | A CWE-345: Insufficient Verification of Data Authenticity vulnerability exists in the Data Server that could cause access to... |
| CVE-2023-27979 | A CWE-345: Insufficient Verification of Data Authenticity vulnerability exists in the Data Server that could allow the renami... |
| CVE-2023-27982 | A CWE-345: Insufficient Verification of Data Authenticity vulnerability exists in the Data Server that could cause manipulati... |
| CVE-2023-3028 | Improper backend communication allows access and manipulation of the telemetry data |
| CVE-2023-30559 | Wireless Card Firmware Improperly Signed |
| CVE-2023-30562 | Lack of Dataset Integrity Checking |
| CVE-2023-32329 | IBM Security Access Manager Container improper file validation |
| CVE-2023-35719 | ManageEngine ADSelfService Plus GINA Client Insufficient Verification of Data Authenticity Authentication Bypass Vulnerabilit... |
| CVE-2023-36541 | Insufficient verification of data authenticity in Zoom Desktop Client for Windows before 5.14.5 may allow an authenticated us... |
| CVE-2023-36858 | BIG-IP Edge Client for Windows and macOS vulnerability |
| CVE-2023-37264 | Pipelines do not validate child UIDs |
| CVE-2023-37920 | Certifi's removal of e-Tugra root certificate |
| CVE-2023-39347 | Cilium NetworkPolicy bypass via pod labels |
| CVE-2023-41045 | Insecure source port usage for DNS queries in Graylog |
| CVE-2023-41896 | Fake websocket server installation permits full takeover in Home Assistant Core |
| CVE-2023-41898 | Arbitrary URL load in Android WebView in `MyActivity.kt` in Home Assistant Companion for Android |
| CVE-2023-42782 | A insufficient verification of data authenticity vulnerability [CWE-345] in FortiAnalyzer version 7.4.0 and below 7.2.3 allow... |
| CVE-2023-42816 | Denial of service from malicious signature in kyverno |
| CVE-2023-43636 | Rootfs Not Protected |
| CVE-2023-43666 | Apache InLong: General user Unauthorized access User Management |
| CVE-2023-43800 | Insufficient Verification of Data Authenticity in Arduino Create Agent |
| CVE-2023-44402 | ASAR Integrity bypass via filetype confusion in electron |
| CVE-2023-45586 | An insufficient verification of data authenticity vulnerability [CWE-345] in Fortinet FortiOS SSL-VPN tunnel mode version 7.4... |
| CVE-2023-4589 | Insufficient verification of data authenticity vulnerability in Delinea Secret Server |
| CVE-2023-47630 | Attacker can cause Kyverno user to unintentionally consume insecure image |
| CVE-2023-47631 | vantage6 Node accepts non-whitelisted algorithms from malicious server |
| CVE-2023-48238 | JWT Algorithm Confusion in json-web-token library |
| CVE-2023-49087 | Validation of SignedInfo |
| CVE-2023-52109 | Vulnerability of trust relationships being inaccurate in distributed scenarios. Successful exploitation of this vulnerability... |
| CVE-2023-5366 | Openvswitch don't match packets on nd_target field |
| CVE-2023-5450 | BIG-IP Edge Client for macOS vulnerability |
| CVE-2023-5747 | Command injection via wave install file |
| CVE-2023-6236 | Eap: oidc app attempting to access the second tenant, the user should be prompted to log |
| CVE-2023-6323 | ThroughTek Kalay SDK insufficient verification of message authenticity |
| CVE-2024-0756 | Insert or Embed Articulate Content into WordPress <= 4.3000000023 - Iframe Injection |
| CVE-2024-10237 | SMC BMC Firmware Image Authentication Design Issue |
| CVE-2024-11666 | Unauthenticated Remote Command Injection in eCharge Salia PLCC |
| CVE-2024-12369 | Elytron-oidc-client: oidc authorization code injection |
| CVE-2024-23601 | A code injection vulnerability exists in the scan_lib.bin functionality of AutomationDirect P3-550E 1.2.10.9. A specially cra... |
| CVE-2024-23922 | Sony XAV-AX5500 Insufficient Firmware Update Validation Remote Code Execution Vulnerability |
| CVE-2024-24557 | Moby classic builder cache poisoning |
| CVE-2024-25584 | Dovecot accepts dot LF DOT LF symbol as end of DATA command. RFC requires that it should always be CR LF DOT CR LF. This caus... |
| CVE-2024-25638 | DNSJava DNSSEC Bypass |
| CVE-2024-27305 | SMTP smuggling in aiosmtpd |
| CVE-2024-28251 | Cross-site websocket hijacking in Querybook |
| CVE-2024-30250 | In Astro-Shield, setting a correct `integrity` attribute to injected code allows to bypass the allow-lists |
| CVE-2024-3049 | Booth: specially crafted hash can lead to invalid hmac being accepted by booth server |
| CVE-2024-31341 | WordPress User Profile Builder plugin <= 3.11.2 - Bypass Vulnerability vulnerability |
| CVE-2024-33494 | A vulnerability has been identified in SIMATIC RTLS Locating Manager (6GT2780-0DA00) (All versions < V3.0.1.1), SIMATIC RTLS... |
| CVE-2024-34354 | CMSaasStarter: JWT Token Not Verified on Server Session |
| CVE-2024-35175 | sshpiper's Enabling of Proxy Protocol without proper feature flagging allows faking source address |
| CVE-2024-37968 | Windows DNS Spoofing Vulnerability |
| CVE-2024-38198 | Windows Print Spooler Elevation of Privilege Vulnerability |
| CVE-2024-39689 | Certifi removes GLOBALTRUST root certificate |
| CVE-2024-39805 | Insufficient verification of data authenticity in some Intel(R) DSA software before version 23.4.39 may allow an authenticate... |
| CVE-2024-40644 | gitoxide's gix-path can use a fake program files location |
| CVE-2024-45410 | HTTP client can remove the X-Forwarded headers in Traefik |
| CVE-2024-47079 | Unauthorized usage of remote hardware module because of missing channel verification |
| CVE-2024-47867 | Lack of integrity check on the downloaded FRP client in Gradio |
| CVE-2024-48916 | Ceph is vulnerable to authentication bypass through RadosGW |
| CVE-2024-52548 | Lorex 2K Indoor Wi-Fi Security Camera - Code signing bypass |
| CVE-2024-53259 | quic-go affected by an ICMP Packet Too Large Injection Attack on Linux |
| CVE-2024-54111 | Read/Write vulnerability in the image decoding module Impact: Successful exploitation of this vulnerability will affect avail... |
| CVE-2024-55929 | Mail spoofing |
| CVE-2024-5684 | ID Charger Connect & Pro - JWT-Null-Algorithm |
| CVE-2024-58267 | Rancher CLI SAML authentication is vulnerable to phishing attacks |
| CVE-2024-7847 | RSLogix™ 5 and RSLogix 500® Remote Code Execution Via VBA Embedded Script |
| CVE-2024-8356 | Visteon Infotainment VIP MCU Code Insufficient Validation of Data Authenticity Local Privilege Escalation Vulnerability |
| CVE-2025-0149 | Zoom Apps - Insufficient Verification of Data Authenticity |
| CVE-2025-1108 | Insufficient data authenticity vulnerability in Janto |
| CVE-2025-11195 | Rapid7 AppSpider Project Name Validation Bypass |
| CVE-2025-12080 | Intent Abuse in Google Messages for Wear OS for Silent Message Sending |
| CVE-2025-12245 | chatwoot Widget IFrameHelper.js initPostMessageCommunication origin validation |
| CVE-2025-12295 | D-Link DAP-2695 Firmware Update sub_40C6B8 signature verification |
| CVE-2025-1944 | picklescan ZIP archive manipulation attack leads to crash |
| CVE-2025-1945 | picklescan - Zip Flag Bit Exploit Crashes Picklescan But Not PyTorch |
| CVE-2025-21606 | Local Privilege Escalation via Exposed XPC Method Due to Client Verification Failure in stats |
| CVE-2025-23415 | BIG-IP APM Endpoint Inspection vulnerability |
| CVE-2025-2346 | IROAD Dash Cam X5/Dash Cam X6 Domain origin validation |
| CVE-2025-24807 | Fast DDS does not verify Permissions CA |
| CVE-2025-24882 | regclient may ignore pinned manifest digests |
| CVE-2025-24903 | libsignal-service-rs Doesn't Check Origin of Sync Messages |
| CVE-2025-25188 | DNSSEC validation may accept broken authentication chains |
| CVE-2025-27257 | Insufficient Verification of Data Authenticity vulnerability in GE Vernova UR IED family devices allows an authenticated user... |
| CVE-2025-27616 | Vela Server has Insufficient Webhook Payload Data Verification |
| CVE-2025-27735 | Windows Virtualization-Based Security (VBS) Security Feature Bypass Vulnerability |
| CVE-2025-30144 | Fast-JWT Improperly Validates iss Claims |
| CVE-2025-30192 | A Recursor configured to send out ECS enabled queries can be sensitive to spoofing attempts |
| CVE-2025-43865 | React Router allows pre-render data spoofing on React-Router framework mode |
| CVE-2025-48865 | Fabio allows HTTP clients to manipulate custom headers it adds |
| CVE-2025-49199 | Backup files can be modified and uploaded |
| CVE-2025-52484 | RISC Zero zkVM Underconstrained Vulnerability |
| CVE-2025-5320 | gradio-app gradio CORS is_valid_origin privilege escalation |
| CVE-2025-53548 | @clerk/backend Performs Insufficient Verification of Data Authenticity |
| CVE-2025-54792 | LocalSend is Vulnerable to Man-in-the-Middle Attacks, Leading to File Interception |
| CVE-2025-5832 | Pioneer DMH-WT7600NEX Software Update Signing Insufficient Verification of Data Authenticity Vulnerability |
| CVE-2025-5833 | Pioneer DMH-WT7600NEX Root Filesystem Insufficient Verification of Data Authenticity Vulnerability |
| CVE-2025-59160 | matrix-js-sdk has insufficient validation when considering a room to be upgraded by another |
| CVE-2025-59420 | Authlib: JWS/JWT accepts unknown crit headers (RFC violation → possible authz bypass) |
| CVE-2025-59934 | Formbricks missing JWT signature verification |
| CVE-2025-66016 | CGGMP24 is missing a check in the ZK proof used in CGGMP21 |
| CVE-2025-66225 | OrangeHRM is Vulnerable to Account Takeover Through Unvalidated Username in Password Reset Workflow |
| CVE-2025-66255 | Unauthenticated Arbitrary File Upload (upgrade_contents.php) |
| CVE-2025-66570 | cpp-httplib Untrusted HTTP Header Handling: Internal Header Shadowing (REMOTE*/LOCAL*) |
| CVE-2025-7096 | Comodo Internet Security Premium Manifest File cis_update_x64.xml integrity check |
| CVE-2025-7884 | Eluktronics Control Center REG File data authenticity |
| CVE-2025-8978 | D-Link DIR-619L boa FirmwareUpgrade data authenticity |
| CVE-2025-8979 | Tenda AC15 Firmware Update check_fw data authenticity |
| CVE-2025-8980 | Tenda G1 Firmware Update check_upload_file data authenticity |
| CVE-2025-9379 | Belkin AX1800 Firmware Update data authenticity |
| CVE-2026-0939 | Rede Itaú for WooCommerce — Payment PIX, Credit Card and Debit <= 5.1.2 - Unauthenticated Order Status Manipulation |
| CVE-2026-1195 | MineAdmin JWT Token refresh data authenticity |
| CVE-2026-22703 | Cosign verification accepts any valid Rekor entry under certain conditions |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230718-17 | 18.07.2023 | Выполнение произвольного кода в Honeywell Experion PKS, LX and PlantCruise |
| VULN:20231107-9 | 07.11.2023 | Отказ в обслуживании в Mitsubishi Electric MELSEC Series |
| VULN:20231208-8 | 08.12.2023 | Получение конфиденциальной информации в Atlassian Assets Discovery |
| VULN:20240126-16 | 26.01.2024 | Потеря целостности в Intel In-Band Manageability |
| VULN:20240209-11 | 09.02.2024 | Получение конфиденциальной информации в Shim |
| VULN:20240403-18 | 03.04.2024 | Выполнение произвольного кода в Emacs |
| VULN:20240403-19 | 03.04.2024 | Выполнение произвольного кода в Emacs |
| VULN:20240403-21 | 03.04.2024 | Получение конфиденциальной информации в Emacs |
| VULN:20240527-14 | 27.05.2024 | Выполнение произвольного кода в Productivity 3000 P3-550E CPU |
| VULN:20240617-55 | 17.06.2024 | Выполнение произвольного кода в Ovation |
| VULN:20240930-41 | 30.09.2024 | Выполнение произвольного кода в Rockwell Automation RSLogix 5 and RSLogix 500 |
| VULN:20250409-8 | 09.04.2025 | Получение конфиденциальной информации в Dell VxRail Appliance |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.