Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-346
Origin Validation Error
The product does not properly verify that the source of data or communication is valid.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-03658 | Уязвимости операционной системы Debian GNU/Linux, позволяющие локальному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-03659 | Уязвимости операционной системы Debian GNU/Linux, позволяющие локальному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-03660 | Уязвимости операционной системы Debian GNU/Linux, позволяющие локальному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-03661 | Уязвимости операционной системы Debian GNU/Linux, позволяющие локальному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04379 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04380 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04381 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04382 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04383 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04384 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04385 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04386 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-06827 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-06828 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-06954 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08508 | Уязвимость операционной системы CentOS, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2018-00866 | Уязвимость расширения WebExtensions браузера Mozilla Firefox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2018-00873 | Уязвимость браузера Mozilla Firefox, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-01426 | Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с недостатками механизмов ограничения домена (Same Origin Policy), позволяющая нарушителю перенаправить пользователя на вредоносный сайт |
| BDU:2019-02340 | Уязвимость встроенного программного обеспечения устройства "Гранит-Навигатор-6.18", связанная с отсутствием механизма проверки подлинности пользователей, осуществляющих модификацию встроенного программного обеспечения устройства, позволяющая нарушите... |
| BDU:2019-03321 | Уязвимость системы управления ресурсами предприятия Галактика ERP, позволяющая нарушителю выполнить произвольный код |
| BDU:2019-04304 | Уязвимость компонента WebBrowserPersist браузера Firefox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04333 | Уязвимость механизма отображения веб-страниц Blink браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04637 | Уязвимость объекта canvas браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-04708 | Уязвимость модуля /xep/0280_message_carbons.vala клиента для обмена мгновенными сообщениями dino, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2019-04775 | Уязвимость компонента защищённого доступа Wi-Fi WPA Supplicant, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-00584 | Уязвимость утилиты util/virlog.c библиотеки управления виртуализацией Libvirt, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2020-00588 | Уязвимость расширения WebRTC браузера Firefox, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-00592 | Уязвимость спецификации Upgrade-Insecure-Requests браузера Firefox, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2020-00771 | Уязвимость функции createImageBitmap браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2020-01406 | Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с ошибкой вызова произвольных методов у двух одинаковых документов, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2020-04355 | Уязвимость компонента WebSockets API приложения контроля лицензий CodeMeter, позволяющая нарушителю получить несанкционированный доступ на изменение или создание файлов лицензий для CmActLicense |
| BDU:2020-05448 | Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Foundation, Microsoft SharePoint Enterprise Server, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-00118 | Уязвимость реализации механизма CSP (Content Security Policy) браузера Mozilla Firefox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00121 | Уязвимость браузера Firefox, связанная с отсутствием одинаковой защиты для интернирования имен заголовков ответов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00961 | Уязвимость компонента Performance API веб-браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00963 | Уязвимость компонента для отображения веб-страниц WebView веб-браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01262 | Уязвимость функции изоляции сайтов браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации |
| BDU:2021-01343 | Уязвимость почтового клиента Thunderbird, связанная с ошибками при обработке символов Unicode в заголовке сообщения, позволяющая нарушителю подделать адрес электронной почты отправителя |
| BDU:2021-02093 | Уязвимость хранилища браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03336 | Уязвимость cлужбы AutoBuild платформы для приложений диспетчерского управления AVEVA System Platform, позволяющая нарушителю выполнить произвольный код с системными привилегиями |
| BDU:2021-03536 | Уязвимость программных средств Google Chrome, Firefox, Firefox ESR, Thunderbird, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-03658 | Уязвимость API браузера Google Chrome, связанная с недостатками механизмов ограничения домена (Same Origin Policy), позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2021-03797 | Уязвимость проигрывателя Adobe Flash Player, связанная с ошибкой подтверждения источника данных, позволяющая выполнить произвольный код |
| BDU:2021-04129 | Уязвимость API браузера Google Chrome, связанная с недостатками механизмов ограничения домена (Same Origin Policy), позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-06428 | Уязвимость функции Navigation браузера Google Chrome, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю подделать содержимое адресной строки |
| BDU:2022-00073 | Уязвимость загрузок браузера Google Chrome, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю обойти существующие ограничения безопасности с помощью специально созданной HTML страницы |
| BDU:2022-00075 | Уязвимость компонента compositing браузера Google Chrome, позволяющая нарушителю подделать содержимое адресной строки с помощью специально созданной HTML страницы |
| BDU:2022-01359 | Уязвимость функции Navigation браузера Google Chrome, позволяющая нарушителю подделать содержимое адресной строки |
| BDU:2022-01560 | Уязвимость механизма отображения веб-страниц Blink браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-01561 | Уязвимость менеджера паролей браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-03582 | Уязвимость браузера Yandex Browser, связанная с недостатками в механизме подтверждения источника данных, позволяющая нарушителю подделать содержимое адресной строки |
| BDU:2022-03969 | Уязвимость механизм аутентификации сеанса голосования программного обеспечения устройства для маркировки бюллетеней ImageCast X, позволяющая нарушителю получить произвольное количество бюллетеней без авторизации |
| BDU:2022-05932 | Уязвимость браузера Mozilla Firefox, связанная с недостатком в механизме подтверждения источника данных, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-05935 | Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-06030 | Уязвимость браузера Mozilla Firefox, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-06166 | Уязвимость драйвера WebDriver браузера Mozilla Firefox, позволяющая нарушителю раскрыть защищаемую информацию и выполнить произвольный код |
| BDU:2023-03676 | Уязвимость инструмента управления виртуализацией podman-machine программного средства управления и запуска OCI-контейнеров Podman, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-03904 | Уязвимость программного обеспечения управления производственными процессами FactoryTalk Policy Manager и системной службы FactoryTalk System Services , позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-04829 | Уязвимость веб-браузеров Firefox, Firefox ESR, почтового клиента Thunderbird, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-05216 | Уязвимость фреймворка Apache Maven, позволяющая нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации |
| BDU:2023-06937 | Уязвимость операционных систем Juniper Networks JunOS Evolved маршрутизаторов серии Juniper PTX10003, связанная с недостатками в механизме подтверждения источника данных, позволяющая нарушителю обойти ограничения безопасности и вызвать отказ в обслуж... |
| BDU:2023-07012 | Уязвимость операционных систем Juniper Networks JunOS Evolved маршрутизаторов серии Juniper PTX10001, PTX10004, PTX10008, PTX10016, связанная с недостатками в механизме подтверждения источника данных, позволяющая нарушителю вызвать перезагрузку устро... |
| BDU:2024-00844 | Уязвимость компонента Payments браузеров Microsoft Edge и Google Chrome, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-00927 | Уязвимость реализации протокола LDAP веб-приложения для развёртывания распределённых социальных сетей Mastodon, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2024-01020 | Уязвимость функции ImageBuild() программного средства для создания систем контейнерной изоляции Moby, позволяющая нарушителю реализовать атаку отравления кэша |
| BDU:2024-01814 | Уязвимость системы удаленного управления устройствами MeshCentral, связанная с недостатками в механизме подтверждения источника данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04803 | Уязвимость средства анализа сетевого трафика, сетевого обнаружения и реагирования Palo Alto Networks Cortex XDR Agent, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю оказать воздействие на целостность и доступност... |
| BDU:2024-09268 | Уязвимость механизма CORS браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти ограничения безопасности и поучить несанкционированный доступ к защищаемой информации |
| BDU:2024-09269 | Уязвимость механизма CORS браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-00928 | Уязвимость компонента SmartCard Authentication программного средства удаленного доступа SolarWinds DameWare Mini Remote Control, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-00967 | Уязвимость веб-браузеров Firefox и Firefox ESR, почтового клиента Thunderbird, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01023 | Уязвимость операционных систем FortiOS, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2025-01181 | Уязвимость компонента Business Logic Infra SEC системы управления ресурсами предприятия JD Edwards EnterpriseOne Tools, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и доступ на изменение, добавление или удаление... |
| BDU:2025-01226 | Уязвимость компонента Web Runtime SEC системы управления ресурсами предприятия JD Edwards EnterpriseOne Tools, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01294 | Уязвимость компонента Security системы управления заказами Oracle Communications Order and Service Management, позволяющая нарушителю получить доступ на чтение, изменение, добавление или удаление данных, или вызвать частичный отказ в обслуживании |
| BDU:2025-01641 | Уязвимость механизма CORS локального сервера разработки приложений Vite, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03942 | Уязвимость программного многоуровневого коммутатора Open vSwitch, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04167 | Уязвимость модулей отображения веб-страниц WebKitGTK и WPE WebKit, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2025-04666 | Уязвимость компонента Navigations браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-06223 | Уязвимость механизма CORS браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09519 | Уязвимость инструмента установки и обновления драйверов ASUS DriverHub, связанная с недостатками в механизме подтверждения источника данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-10158 | Уязвимость компонента File Picker браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10424 | Уязвимость системы управления ресурсами предприятия SAP Business One, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11245 | Уязвимость IPC-библиотеки Mojo браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-11501 | Уязвимость инструмента управления базами данных pgAdmin 4, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11733 | Уязвимость компонента Device Analytics управления микропрограммного обеспечения маршрутизаторов Cisco Wireless Access Points, позволяющая нарушителю получить доступ на изменение данных |
| BDU:2025-12846 | Уязвимость файла open_actions.py эмулятора терминала на базе GPU KiTTY, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-14029 | Уязвимость компонента Downloads браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-14539 | Уязвимость инструмента для мониторинга ИТ-инфраструктуры Nagios XI, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю проводить фишинг-атаки |
| BDU:2025-14717 | Уязвимость компонента веб-консоли программного комплекса для защиты платформ виртуализации vGate R2, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16360 | Уязвимость компонента Request Handling браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2026-01825 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2017-7561 | Red Hat JBoss EAP version 3.0.7 through before 4.0.0.Beta1 is vulnerable to a server-side cache poisoning or CORS requests in... |
| CVE-2018-10591 | In Advantech WebAccess versions V8.2_20170817 and prior, WebAccess versions V8.3.0 and prior, WebAccess Dashboard versions V.... |
| CVE-2018-15723 | The Logitech Harmony Hub before version 4.15.206 is vulnerable to application level command injection via crafted HTTP reques... |
| CVE-2018-5400 | The Auto-Maskin DCU 210E, RP-210E, and Marine Pro Observer Android App utilize an undocumented custom protocol to set up Modb... |
| CVE-2019-11777 | In the Eclipse Paho Java client library version 1.2.0, when connecting to an MQTT server using TLS and setting a host name ve... |
| CVE-2019-9498 | The implementations of EAP-PWD in hostapd EAP Server do not validate the scalar and element values in EAP-pwd-Commit |
| CVE-2019-9499 | The implementations of EAP-PWD in wpa_supplicant EAP Peer do not validate the scalar and element values in EAP-pwd-Commit |
| CVE-2020-11069 | Cross-Site Request Forgery in TYPO3 CMS |
| CVE-2020-14519 | This vulnerability allows an attacker to use the internal WebSockets API for CodeMeter (All versions prior to 7.00 are affect... |
| CVE-2020-15104 | TLS Validation Vulnerability in Envoy |
| CVE-2020-15733 | URL Spoofing Vulnerability in Bitdefender SafePay (VA-8958) |
| CVE-2020-15734 | Same-origin policy vulnerability in Bitdefender Safepay |
| CVE-2020-26234 | Disabled Hostname Verification in OpenCast |
| CVE-2020-26251 | CORS configuration is possibly vulnerable |
| CVE-2020-26253 | .dev domains treated as local in Kirby |
| CVE-2020-9060 | Z-Wave devices based on Silicon Labs 500 series chipsets using S2, including but likely not limited to the ZooZ ZST10 version... |
| CVE-2021-20199 | Rootless containers run with Podman, receive all traffic with a source IP address of 127.0.0.1 (including from remote hosts).... |
| CVE-2021-26735 | Untrusted Search Path While Executing REG DELETE by Uninstaller |
| CVE-2021-26737 | Privilege Escalation Using PID Reuse in ZCC macOS |
| CVE-2021-32985 | AVEVA System Platform Origin Validation Error |
| CVE-2021-37705 | Improper Authorization and Origin Validation Error in OneFuzz |
| CVE-2021-39175 | XSS vector in slide mode speaker-view |
| CVE-2021-39185 | Default CORS config allows any origin with credentials |
| CVE-2022-1747 | The authentication mechanism used by voters to activate a voting session on the tested version of Dominion Voting Systems Ima... |
| CVE-2022-23032 | In all versions before 7.2.1.4, when proxy settings are configured in the network access resource of a BIG-IP APM system, con... |
| CVE-2022-23763 | DOUZONE BIZON NeoRS file download and execute vulnerability |
| CVE-2022-23764 | TERUTEN WebCube update remote code execution vulnerability |
| CVE-2022-29818 | In JetBrains IntelliJ IDEA before 2022.1 origin checks in the internal web server were flawed |
| CVE-2022-30228 | A vulnerability has been identified in SICAM GridEdge (Classic) (All versions < V2.6.6). The affected software does not apply... |
| CVE-2022-31024 | Federated editing allows iframing remote servers by default in richdocuments |
| CVE-2022-3457 | Origin Validation Error in ikus060/rdiffweb |
| CVE-2022-41924 | Tailscale Windows daemon is vulnerable to RCE via CSRF |
| CVE-2022-41961 | BigBlueButton subject to Ineffective user bans |
| CVE-2022-45139 | WAGO: Origin validation error through CORS misconfiguration |
| CVE-2023-20275 | A vulnerability in the AnyConnect SSL VPN feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Thr... |
| CVE-2023-2639 | Rockwell Automation FactoryTalk System Services Vulnerable to Sensitive Information Disclosure |
| CVE-2023-28794 | PAC Files Exposed to Internet Websites |
| CVE-2023-28795 | Client IPC validation bypass |
| CVE-2023-30856 | eDEX-UI cross-site websocket hijacking vulnerability enables remote command execution |
| CVE-2023-30996 | IBM Cognos Analytics cross-origin resource sharing |
| CVE-2023-3581 | WebSockets accept connections from HTTPS origin |
| CVE-2023-3654 | Origin Check Bypass |
| CVE-2023-44189 | Junos OS Evolved: PTX10003 Series: MAC address validation bypass vulnerability |
| CVE-2023-44190 | Junos OS Evolved: PTX10001, PTX10004, PTX10008, PTX10016: MAC address validation bypass vulnerability |
| CVE-2023-46715 | An origin validation error [CWE-346] vulnerability in Fortinet FortiOS IPSec VPN version 7.4.0 through 7.4.1 and version 7.2... |
| CVE-2023-49803 | @koa/cors has overly permissive origin policy |
| CVE-2023-5973 | Truncated port name |
| CVE-2024-10534 | Improper Access Control in Dataprom Informatics' PACS-ACSS |
| CVE-2024-10956 | Cross-Site WebSocket Hijacking in binary-husky/gpt_academic |
| CVE-2024-11602 | CORS Vulnerability in feast-dev/feast |
| CVE-2024-1249 | Keycloak: org.keycloak.protocol.oidc: unvalidated cross-origin messages in checkloginiframe leads to ddos |
| CVE-2024-12973 | Host Header Injection in Akinsoft's OctoCloud |
| CVE-2024-13068 | Host Header Injection in Akinsoft's LimonDesk |
| CVE-2024-14006 | Nagios XI < 2024R1.2.2 Host Header Injection |
| CVE-2024-2182 | Ovn: insufficient validation of bfd packets may lead to denial of service |
| CVE-2024-22062 | Permissions and Access Control Vulnerability in ZTE ZXCLOUD IRAI |
| CVE-2024-23458 | Local Privilege Escalation on Zscaler Client Connector on Windows |
| CVE-2024-2377 | A vulnerability exists in the too permissive HTTP response header web server settings of the SDM600. An attacker can take adv... |
| CVE-2024-24557 | Moby classic builder cache poisoning |
| CVE-2024-24782 | HIMA: Origin Validation Error in multiple products |
| CVE-2024-25124 | Fiber has Insecure CORS Configuration, Allowing Wildcard Origin with Credentials |
| CVE-2024-25996 | PHOENIX CONTACT: Remote code execution due to an origin validation error in CHARX Series |
| CVE-2024-26135 | MeshCentral cross-site websocket hijacking (CSWSH) vulnerability |
| CVE-2024-28883 | BIG-IP APM browser network access VPN client vulnerability |
| CVE-2024-31127 | MacOS Zscaler Client Connector Local Privilege Escalation |
| CVE-2024-32764 | myQNAPcloud Link |
| CVE-2024-36421 | GHSL-2023-234: Flowise Cors Misconfiguration in packages/server/src/index.ts |
| CVE-2024-45352 | Xiaomi smarthome application Webview has code execution vulnerability |
| CVE-2024-45353 | quick App has intent redriction vulnerability |
| CVE-2024-45354 | xiaomi shop application Webview has code execution vulnerability |
| CVE-2024-5549 | Data leak through CORS misconfiguration in stitionai/devika |
| CVE-2024-55917 | An origin validation error vulnerability in Trend Micro Apex One could allow a local attacker to escalate privileges on affec... |
| CVE-2024-55948 | Anonymous cache poisoning via XHR requests in Discourse |
| CVE-2024-57965 | In axios before 1.7.8, lib/helpers/isURLSameOrigin.js does not use a URL object when determining an origin, and has a potenti... |
| CVE-2024-5905 | Cortex XDR Agent: Local Windows User Can Disrupt Functionality of the Agent |
| CVE-2024-6301 | Origin Validation Error in Conduit |
| CVE-2024-6674 | Data Leak through CORS Misconfiguration in parisneo/lollms-webui |
| CVE-2024-6844 | Inconsistent CORS Matching Due to Handling of '+' in URL Path in corydolphin/flask-cors |
| CVE-2024-7819 | CORS Misconfiguration in danswer-ai/danswer |
| CVE-2024-8024 | CORS Misconfiguration in netease-youdao/qanything |
| CVE-2024-8183 | CORS Misconfiguration in prefecthq/prefect |
| CVE-2024-8487 | CORS Vulnerability in modelscope/agentscope |
| CVE-2025-10193 | Neo4j Cypher MCP server is vulnerable to DNS rebinding attacks |
| CVE-2025-1083 | Mindskip xzs-mysql 学之思开源考试系统 CORS cross-domain policy |
| CVE-2025-1102 | A CWE-346 "Origin Validation Error" in the CORS configuration in Q-Free MaxTime less than or equal to version 2.11.0 allows a... |
| CVE-2025-11304 | CodeCanyon/ui-lib Mentor LMS API cross-domain policy |
| CVE-2025-12245 | chatwoot Widget IFrameHelper.js initPostMessageCommunication origin validation |
| CVE-2025-1969 | Request approval spoofing in Temporary Elevated Access Management (TEAM) for AWS IAM Identity Center |
| CVE-2025-20364 | A vulnerability in the Device Analytics action frame processing of Cisco Wireless Access Point (AP) Software could allow an u... |
| CVE-2025-2140 | IBM Engineering Requirements Management Doors Next spoofing |
| CVE-2025-23023 | Anonymous cache poisoning via request headers in Discourse |
| CVE-2025-2346 | IROAD Dash Cam X5/Dash Cam X6 Domain origin validation |
| CVE-2025-24010 | Vite allows any websites to send any requests to the development server and read the response |
| CVE-2025-25302 | Rembg CORS misconfiguration |
| CVE-2025-25306 | Misskey's Incomplete Patch of CVE-2024-52591 Leads to Forgery of Federated Notes |
| CVE-2025-30360 | webpack-dev-server users' source code may be stolen when they access a malicious web site with non-Chromium based browser |
| CVE-2025-3462 | "This issue is limited to motherboards and does not affect laptops, desktop computers, or other endpoints." An insufficient v... |
| CVE-2025-3651 | Command Injection in iManage Work Desktop for Mac's Agent Service |
| CVE-2025-37734 | Kibana Origin Validation Error |
| CVE-2025-42706 | CrowdStrike Falcon Sensor for Windows Logic Error |
| CVE-2025-42998 | Security misconfiguration vulnerability in SAP Business One Integration Framework |
| CVE-2025-43929 | open_actions.py in kitty before 0.41.0 does not ask for user confirmation before running a local executable file that may hav... |
| CVE-2025-4515 | Zylon PrivateGPT settings.yaml cross-domain policy |
| CVE-2025-4542 | Freeebird Hotel 酒店管理系统 API SessionInterceptor.java cross-domain policy |
| CVE-2025-46737 | Origin Validation Error |
| CVE-2025-4839 | itwanger paicoding CrossUtil.java cross-domain policy |
| CVE-2025-52621 | HCL BigFix SaaS Authentication Service is vulnerable to cache poisoning |
| CVE-2025-5320 | gradio-app gradio CORS is_valid_origin privilege escalation |
| CVE-2025-53399 | In Sipwise rtpengine before 13.4.1.1, an origin-validation error in the endpoint-learning logic of the media-relay core allow... |
| CVE-2025-53600 | Whale browser before 4.32.315.22 allow an attacker to bypass the Same-Origin Policy in a dual-tab environment. |
| CVE-2025-5824 | Autel MaxiCharger AC Wallbox Commercial Origin Validation Error Authentication Bypass Vulnerability |
| CVE-2025-59159 | SillyTavern Web Interface Vulnerable to DNS Rebinding |
| CVE-2025-59845 | Apollo Embedded Sandbox and Explorer vulnerable to CSRF via window.postMessage origin-validation bypass |
| CVE-2025-59957 | Junos OS: EX4600 Series and QFX5000 Series: An attacker with physical access can open a persistent backdoor |
| CVE-2025-61740 | Johnson Controls IQ Panels2, 2+, IQHub, IQPanel 4, PowerG Origin Validation Error |
| CVE-2025-62250 | Improper Authentication in Liferay Portal 7.4.0 through 7.4.3.132, and older unsupported versions, and Liferay DXP 2023.Q4.0,... |
| CVE-2025-62584 | Whale browser before 4.33.325.17 allows an attacker to bypass the Same-Origin Policy in a dual-tab environment. |
| CVE-2025-68467 | Dark Reader gives users the ability to request style sheets from local web servers |
| CVE-2025-69235 | Whale browser before 4.35.351.12 allows an attacker to bypass the Same-Origin Policy in a sidebar environment. |
| CVE-2025-69258 | A LoadLibraryEX vulnerability in Trend Micro Apex Central could allow an unauthenticated remote attacker to load an attacker-... |
| CVE-2025-69259 | A message unchecked NULL return value vulnerability in Trend Micro Apex Central could allow a remote attacker to create a den... |
| CVE-2025-69260 | A message out-of-bounds read vulnerability in Trend Micro Apex Central could allow a remote attacker to create a denial-of-se... |
| CVE-2025-7365 | Keycloak: phishing attack via email verification step in first login flow |
| CVE-2025-7659 | Origin Validation Error in GitLab |
| CVE-2025-8074 | Origin validation error vulnerability in BeeDrive in Synology BeeDrive for desktop before 1.4.3-13973 allows local users to w... |
| CVE-2025-9265 | API Authentication Bypass via Header Spoofing vulnerability in Kiloview NDI N30 Products |
| CVE-2026-1997 | Certain HP OfficeJet Pro Printers - Information Disclosure |
| CVE-2026-20893 | Origin validation error issue exists in Fujitsu Security Solution AuthConductor Client Basic V2 2.0.25.0 and earlier. If this... |
| CVE-2026-22030 | React Router has CSRF issue in Action/Server Action Request Processing |
| CVE-2026-22694 | AliasVault is Missing Origin Validation in Android Passkey Credential Provider |
| CVE-2026-22794 | Account Takeover Vulnerability in Appsmith |
| CVE-2026-2345 | Insufficient Origin Validation in Proctorio Chrome Extension postMessage Handlers |
| CVE-2026-23552 | Apache Camel: Camel-Keycloak: Cross-Realm Token Acceptance Bypass in KeycloakSecurityPolicy |
| CVE-2026-2457 | WebSocket Message Spoofing via Permalink Embed Manipulation |
| CVE-2026-25604 | Apache Airflow AWS Auth Manager - Host Header Injection Leading to SAML Authentication Bypass |
| CVE-2026-27004 | OpenClaw session tool visibility hardening and Telegram webhook secret fallback |
| CVE-2026-27118 | Cache poisoning in @sveltejs/adapter-vercel |
| CVE-2026-27192 | Feathers has an origin validation bypass via prefix matching |
| CVE-2026-27478 | Unity Catalog has a JWT Issuer Validation Bypass Allows Complete User Impersonation |
| CVE-2026-27579 | CollabPlatform : CORS Misconfiguration Allows Arbitrary Origin With Credentials Leading to Authenticated Account Data Exposur... |
| CVE-2026-27824 | calibre has IP Ban Bypass via X-Forwarded-For Header Spoofing |
| CVE-2026-28403 | Textream Cross-Site WebSocket Hijacking (CSWSH) vulnerability |
| CVE-2026-30964 | Webauthn Framework: allowed_origins collapses URL-like origins to host-only values, bypassing exact origin validation |
| CVE-2026-32302 | OpenClaw: Untrusted web origins can obtain authenticated operator.admin access in trusted-proxy mode |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20260223-83 | 23.02.2026 | Получение конфиденциальной информации в GitLab Community Edition (CE) and Enterprise Edition (EE) |
| VULN:20260302-43 | 02.03.2026 | Получение конфиденциальной информации в Mozilla Firefox и Thunderbird ESR |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.