Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-346
CWE-346 Origin Validation Error
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-03658 | Уязвимости операционной системы Debian GNU/Linux, позволяющие локальному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-03659 | Уязвимости операционной системы Debian GNU/Linux, позволяющие локальному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-03660 | Уязвимости операционной системы Debian GNU/Linux, позволяющие локальному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-03661 | Уязвимости операционной системы Debian GNU/Linux, позволяющие локальному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04379 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04380 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04381 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04382 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04383 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04384 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04385 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-04386 | Уязвимости операционной системы SUSE Linux Enterprise, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-06827 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-06828 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-06954 | Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-08508 | Уязвимость операционной системы CentOS, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2018-00866 | Уязвимость расширения WebExtensions браузера Mozilla Firefox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2018-00873 | Уязвимость браузера Mozilla Firefox, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-01426 | Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с недостатками механизмов ограничения домена (Same Origin Policy), позволяющая нарушителю перенаправить пользователя на вредоносный сайт |
| BDU:2019-02340 | Уязвимость встроенного программного обеспечения устройства "Гранит-Навигатор-6.18", связанная с отсутствием механизма проверки подлинности пользователей, осуществляющих модификацию встроенного программного обеспечения устройства, позволяющая нарушите... |
| BDU:2019-03321 | Уязвимость системы управления ресурсами предприятия Галактика ERP, позволяющая нарушителю выполнить произвольный код |
| BDU:2019-04304 | Уязвимость компонента WebBrowserPersist браузера Firefox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04333 | Уязвимость механизма отображения веб-страниц Blink браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04637 | Уязвимость объекта canvas браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-04708 | Уязвимость модуля /xep/0280_message_carbons.vala клиента для обмена мгновенными сообщениями dino, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2019-04775 | Уязвимость компонента защищённого доступа Wi-Fi WPA Supplicant, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-00584 | Уязвимость утилиты util/virlog.c библиотеки управления виртуализацией Libvirt, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2020-00588 | Уязвимость расширения WebRTC браузера Firefox, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-00592 | Уязвимость спецификации Upgrade-Insecure-Requests браузера Firefox, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2020-00771 | Уязвимость функции createImageBitmap браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2020-01406 | Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с ошибкой вызова произвольных методов у двух одинаковых документов, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2020-04355 | Уязвимость компонента WebSockets API приложения контроля лицензий CodeMeter, позволяющая нарушителю получить несанкционированный доступ на изменение или создание файлов лицензий для CmActLicense |
| BDU:2020-05448 | Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Foundation, Microsoft SharePoint Enterprise Server, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-00118 | Уязвимость реализации механизма CSP (Content Security Policy) браузера Mozilla Firefox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00121 | Уязвимость браузера Firefox, связанная с отсутствием одинаковой защиты для интернирования имен заголовков ответов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00961 | Уязвимость компонента Performance API веб-браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00963 | Уязвимость компонента для отображения веб-страниц WebView веб-браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01262 | Уязвимость функции изоляции сайтов браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации |
| BDU:2021-01343 | Уязвимость почтового клиента Thunderbird, связанная с ошибками при обработке символов Unicode в заголовке сообщения, позволяющая нарушителю подделать адрес электронной почты отправителя |
| BDU:2021-02093 | Уязвимость хранилища браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03336 | Уязвимость cлужбы AutoBuild платформы для приложений диспетчерского управления AVEVA System Platform, позволяющая нарушителю выполнить произвольный код с системными привилегиями |
| BDU:2021-03536 | Уязвимость программных средств Google Chrome, Firefox, Firefox ESR, Thunderbird, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-03658 | Уязвимость API браузера Google Chrome, связанная с недостатками механизмов ограничения домена (Same Origin Policy), позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2021-03797 | Уязвимость проигрывателя Adobe Flash Player, связанная с ошибкой подтверждения источника данных, позволяющая выполнить произвольный код |
| BDU:2021-04129 | Уязвимость API браузера Google Chrome, связанная с недостатками механизмов ограничения домена (Same Origin Policy), позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-06428 | Уязвимость функции Navigation браузера Google Chrome, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю подделать содержимое адресной строки |
| BDU:2022-00073 | Уязвимость загрузок браузера Google Chrome, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю обойти существующие ограничения безопасности с помощью специально созданной HTML страницы |
| BDU:2022-00075 | Уязвимость компонента compositing браузера Google Chrome, позволяющая нарушителю подделать содержимое адресной строки с помощью специально созданной HTML страницы |
| BDU:2022-01359 | Уязвимость функции Navigation браузера Google Chrome, позволяющая нарушителю подделать содержимое адресной строки |
| BDU:2022-01560 | Уязвимость механизма отображения веб-страниц Blink браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-01561 | Уязвимость менеджера паролей браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-03582 | Уязвимость браузера Yandex Browser, связанная с недостатками в механизме подтверждения источника данных, позволяющая нарушителю подделать содержимое адресной строки |
| BDU:2022-03969 | Уязвимость механизм аутентификации сеанса голосования программного обеспечения устройства для маркировки бюллетеней ImageCast X, позволяющая нарушителю получить произвольное количество бюллетеней без авторизации |
| BDU:2022-05932 | Уязвимость браузера Mozilla Firefox, связанная с недостатком в механизме подтверждения источника данных, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-05935 | Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с утечкой информации в сообщениях об ошибках, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-06030 | Уязвимость браузера Mozilla Firefox, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-06166 | Уязвимость драйвера WebDriver браузера Mozilla Firefox, позволяющая нарушителю раскрыть защищаемую информацию и выполнить произвольный код |
| BDU:2023-03676 | Уязвимость инструмента управления виртуализацией podman-machine программного средства управления и запуска OCI-контейнеров Podman, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-03904 | Уязвимость программного обеспечения управления производственными процессами FactoryTalk Policy Manager и системной службы FactoryTalk System Services , позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-04829 | Уязвимость веб-браузеров Firefox, Firefox ESR, почтового клиента Thunderbird, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-05216 | Уязвимость фреймворка Apache Maven, позволяющая нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации |
| BDU:2023-06937 | Уязвимость операционных систем Juniper Networks JunOS Evolved маршрутизаторов серии Juniper PTX10003, связанная с недостатками в механизме подтверждения источника данных, позволяющая нарушителю обойти ограничения безопасности и вызвать отказ в обслуж... |
| BDU:2023-07012 | Уязвимость операционных систем Juniper Networks JunOS Evolved маршрутизаторов серии Juniper PTX10001, PTX10004, PTX10008, PTX10016, связанная с недостатками в механизме подтверждения источника данных, позволяющая нарушителю вызвать перезагрузку устро... |
| BDU:2024-00844 | Уязвимость компонента Payments браузеров Microsoft Edge и Google Chrome, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-00927 | Уязвимость реализации протокола LDAP веб-приложения для развёртывания распределённых социальных сетей Mastodon, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2024-01020 | Уязвимость функции ImageBuild() программного средства для создания систем контейнерной изоляции Moby, позволяющая нарушителю реализовать атаку отравления кэша |
| BDU:2024-01814 | Уязвимость системы удаленного управления устройствами MeshCentral, связанная с недостатками в механизме подтверждения источника данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04803 | Уязвимость средства анализа сетевого трафика, сетевого обнаружения и реагирования Palo Alto Networks Cortex XDR Agent, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю оказать воздействие на целостность и доступност... |
| BDU:2024-09268 | Уязвимость механизма CORS браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти ограничения безопасности и поучить несанкционированный доступ к защищаемой информации |
| BDU:2024-09269 | Уязвимость механизма CORS браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-00928 | Уязвимость компонента SmartCard Authentication программного средства удаленного доступа SolarWinds DameWare Mini Remote Control, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-00967 | Уязвимость веб-браузеров Firefox и Firefox ESR, почтового клиента Thunderbird, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01023 | Уязвимость операционных систем FortiOS, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2025-01181 | Уязвимость компонента Business Logic Infra SEC системы управления ресурсами предприятия JD Edwards EnterpriseOne Tools, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и доступ на изменение, добавление или удаление... |
| BDU:2025-01226 | Уязвимость компонента Web Runtime SEC системы управления ресурсами предприятия JD Edwards EnterpriseOne Tools, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01294 | Уязвимость компонента Security системы управления заказами Oracle Communications Order and Service Management, позволяющая нарушителю получить доступ на чтение, изменение, добавление или удаление данных, или вызвать частичный отказ в обслуживании |
| BDU:2025-01641 | Уязвимость механизма CORS локального сервера разработки приложений Vite, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03942 | Уязвимость программного многоуровневого коммутатора Open vSwitch, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04167 | Уязвимость модулей отображения веб-страниц WebKitGTK и WPE WebKit, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2025-04666 | Уязвимость компонента Navigations браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-06223 | Уязвимость механизма CORS браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09519 | Уязвимость инструмента установки и обновления драйверов ASUS DriverHub, связанная с недостатками в механизме подтверждения источника данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-10158 | Уязвимость компонента File Picker браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10424 | Уязвимость системы управления ресурсами предприятия SAP Business One, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11245 | Уязвимость IPC-библиотеки Mojo браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-11501 | Уязвимость инструмента управления базами данных pgAdmin 4, связанная с недостатком в механизме подтверждения источника, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11733 | Уязвимость компонента Device Analytics управления микропрограммного обеспечения маршрутизаторов Cisco Wireless Access Points, позволяющая нарушителю получить доступ на изменение данных |
| BDU:2025-12846 | Уязвимость файла open_actions.py эмулятора терминала на базе GPU KiTTY, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-14029 | Уязвимость компонента Downloads браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-14539 | Уязвимость инструмента для мониторинга ИТ-инфраструктуры Nagios XI, связанная с ошибкой подтверждения источника данных, позволяющая нарушителю проводить фишинг-атаки |
| BDU:2025-14717 | Уязвимость компонента веб-консоли программного комплекса для защиты платформ виртуализации vGate R2, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16360 | Уязвимость компонента Request Handling браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю обойти существующие ограничения безопасности |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2017-7561 | Red Hat JBoss EAP version 3.0.7 through before 4.0.0.Beta1 is vulnerable to a server-side cache poisoning or CORS requests in... |
| CVE-2018-10591 | In Advantech WebAccess versions V8.2_20170817 and prior, WebAccess versions V8.3.0 and prior, WebAccess Dashboard versions V.... |
| CVE-2018-15723 | The Logitech Harmony Hub before version 4.15.206 is vulnerable to application level command injection via crafted HTTP reques... |
| CVE-2018-5400 | The Auto-Maskin DCU 210E, RP-210E, and Marine Pro Observer Android App utilize an undocumented custom protocol to set up Modb... |
| CVE-2019-11777 | In the Eclipse Paho Java client library version 1.2.0, when connecting to an MQTT server using TLS and setting a host name ve... |
| CVE-2019-9498 | The implementations of EAP-PWD in hostapd EAP Server do not validate the scalar and element values in EAP-pwd-Commit |
| CVE-2019-9499 | The implementations of EAP-PWD in wpa_supplicant EAP Peer do not validate the scalar and element values in EAP-pwd-Commit |
| CVE-2020-11069 | Cross-Site Request Forgery in TYPO3 CMS |
| CVE-2020-14519 | This vulnerability allows an attacker to use the internal WebSockets API for CodeMeter (All versions prior to 7.00 are affect... |
| CVE-2020-15104 | TLS Validation Vulnerability in Envoy |
| CVE-2020-15733 | URL Spoofing Vulnerability in Bitdefender SafePay (VA-8958) |
| CVE-2020-15734 | Same-origin policy vulnerability in Bitdefender Safepay |
| CVE-2020-26234 | Disabled Hostname Verification in OpenCast |
| CVE-2020-26251 | CORS configuration is possibly vulnerable |
| CVE-2020-26253 | .dev domains treated as local in Kirby |
| CVE-2020-9060 | Z-Wave devices based on Silicon Labs 500 series chipsets using S2, including but likely not limited to the ZooZ ZST10 version... |
| CVE-2021-20199 | Rootless containers run with Podman, receive all traffic with a source IP address of 127.0.0.1 (including from remote hosts).... |
| CVE-2021-26735 | Untrusted Search Path While Executing REG DELETE by Uninstaller |
| CVE-2021-26737 | Privilege Escalation Using PID Reuse in ZCC macOS |
| CVE-2021-32985 | AVEVA System Platform Origin Validation Error |
| CVE-2021-37705 | Improper Authorization and Origin Validation Error in OneFuzz |
| CVE-2021-39175 | XSS vector in slide mode speaker-view |
| CVE-2021-39185 | Default CORS config allows any origin with credentials |
| CVE-2022-1747 | The authentication mechanism used by voters to activate a voting session on the tested version of Dominion Voting Systems Ima... |
| CVE-2022-23032 | In all versions before 7.2.1.4, when proxy settings are configured in the network access resource of a BIG-IP APM system, con... |
| CVE-2022-23763 | DOUZONE BIZON NeoRS file download and execute vulnerability |
| CVE-2022-23764 | TERUTEN WebCube update remote code execution vulnerability |
| CVE-2022-29818 | In JetBrains IntelliJ IDEA before 2022.1 origin checks in the internal web server were flawed |
| CVE-2022-30228 | A vulnerability has been identified in SICAM GridEdge (Classic) (All versions < V2.6.6). The affected software does not apply... |
| CVE-2022-31024 | Federated editing allows iframing remote servers by default in richdocuments |
| CVE-2022-3457 | Origin Validation Error in ikus060/rdiffweb |
| CVE-2022-41924 | Tailscale Windows daemon is vulnerable to RCE via CSRF |
| CVE-2022-41961 | BigBlueButton subject to Ineffective user bans |
| CVE-2022-45139 | WAGO: Origin validation error through CORS misconfiguration |
| CVE-2023-20275 | A vulnerability in the AnyConnect SSL VPN feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Thr... |
| CVE-2023-2639 | Rockwell Automation FactoryTalk System Services Vulnerable to Sensitive Information Disclosure |
| CVE-2023-28794 | PAC Files Exposed to Internet Websites |
| CVE-2023-28795 | Client IPC validation bypass |
| CVE-2023-30856 | eDEX-UI cross-site websocket hijacking vulnerability enables remote command execution |
| CVE-2023-30996 | IBM Cognos Analytics cross-origin resource sharing |
| CVE-2023-3581 | WebSockets accept connections from HTTPS origin |
| CVE-2023-3654 | Origin Check Bypass |
| CVE-2023-44189 | Junos OS Evolved: PTX10003 Series: MAC address validation bypass vulnerability |
| CVE-2023-44190 | Junos OS Evolved: PTX10001, PTX10004, PTX10008, PTX10016: MAC address validation bypass vulnerability |
| CVE-2023-46715 | An origin validation error [CWE-346] vulnerability in Fortinet FortiOS IPSec VPN version 7.4.0 through 7.4.1 and version 7.2... |
| CVE-2023-49803 | @koa/cors has overly permissive origin policy |
| CVE-2023-5973 | Truncated port name |
| CVE-2024-10534 | Improper Access Control in Dataprom Informatics' PACS-ACSS |
| CVE-2024-10956 | Cross-Site WebSocket Hijacking in binary-husky/gpt_academic |
| CVE-2024-11602 | CORS Vulnerability in feast-dev/feast |
| CVE-2024-1249 | Keycloak: org.keycloak.protocol.oidc: unvalidated cross-origin messages in checkloginiframe leads to ddos |
| CVE-2024-12973 | Host Header Injection in Akinsoft's OctoCloud |
| CVE-2024-13068 | Host Header Injection in Akinsoft's LimonDesk |
| CVE-2024-14006 | Nagios XI < 2024R1.2.2 Host Header Injection |
| CVE-2024-2182 | Ovn: insufficient validation of bfd packets may lead to denial of service |
| CVE-2024-22062 | Permissions and Access Control Vulnerability in ZTE ZXCLOUD IRAI |
| CVE-2024-23458 | Local Privilege Escalation on Zscaler Client Connector on Windows |
| CVE-2024-2377 | A vulnerability exists in the too permissive HTTP response header web server settings of the SDM600. An attacker can take adv... |
| CVE-2024-24557 | Moby classic builder cache poisoning |
| CVE-2024-24782 | HIMA: Origin Validation Error in multiple products |
| CVE-2024-25124 | Fiber has Insecure CORS Configuration, Allowing Wildcard Origin with Credentials |
| CVE-2024-25996 | PHOENIX CONTACT: Remote code execution due to an origin validation error in CHARX Series |
| CVE-2024-26135 | MeshCentral cross-site websocket hijacking (CSWSH) vulnerability |
| CVE-2024-28883 | BIG-IP APM browser network access VPN client vulnerability |
| CVE-2024-31127 | MacOS Zscaler Client Connector Local Privilege Escalation |
| CVE-2024-32764 | myQNAPcloud Link |
| CVE-2024-36421 | GHSL-2023-234: Flowise Cors Misconfiguration in packages/server/src/index.ts |
| CVE-2024-45352 | Xiaomi smarthome application Webview has code execution vulnerability |
| CVE-2024-45353 | quick App has intent redriction vulnerability |
| CVE-2024-45354 | xiaomi shop application Webview has code execution vulnerability |
| CVE-2024-5549 | Data leak through CORS misconfiguration in stitionai/devika |
| CVE-2024-55917 | An origin validation error vulnerability in Trend Micro Apex One could allow a local attacker to escalate privileges on affec... |
| CVE-2024-55948 | Anonymous cache poisoning via XHR requests in Discourse |
| CVE-2024-57965 | In axios before 1.7.8, lib/helpers/isURLSameOrigin.js does not use a URL object when determining an origin, and has a potenti... |
| CVE-2024-5905 | Cortex XDR Agent: Local Windows User Can Disrupt Functionality of the Agent |
| CVE-2024-6301 | Origin Validation Error in Conduit |
| CVE-2024-6674 | Data Leak through CORS Misconfiguration in parisneo/lollms-webui |
| CVE-2024-6844 | Inconsistent CORS Matching Due to Handling of '+' in URL Path in corydolphin/flask-cors |
| CVE-2024-7819 | CORS Misconfiguration in danswer-ai/danswer |
| CVE-2024-8024 | CORS Misconfiguration in netease-youdao/qanything |
| CVE-2024-8183 | CORS Misconfiguration in prefecthq/prefect |
| CVE-2024-8487 | CORS Vulnerability in modelscope/agentscope |
| CVE-2025-10193 | Neo4j Cypher MCP server is vulnerable to DNS rebinding attacks |
| CVE-2025-1083 | Mindskip xzs-mysql 学之思开源考试系统 CORS cross-domain policy |
| CVE-2025-1102 | A CWE-346 "Origin Validation Error" in the CORS configuration in Q-Free MaxTime less than or equal to version 2.11.0 allows a... |
| CVE-2025-11304 | CodeCanyon/ui-lib Mentor LMS API cross-domain policy |
| CVE-2025-12245 | chatwoot Widget IFrameHelper.js initPostMessageCommunication origin validation |
| CVE-2025-1969 | Request approval spoofing in Temporary Elevated Access Management (TEAM) for AWS IAM Identity Center |
| CVE-2025-20364 | A vulnerability in the Device Analytics action frame processing of Cisco Wireless Access Point (AP) Software could allow an u... |
| CVE-2025-2140 | IBM Engineering Requirements Management Doors Next spoofing |
| CVE-2025-23023 | Anonymous cache poisoning via request headers in Discourse |
| CVE-2025-2346 | IROAD Dash Cam X5/Dash Cam X6 Domain origin validation |
| CVE-2025-24010 | Vite allows any websites to send any requests to the development server and read the response |
| CVE-2025-25302 | Rembg CORS misconfiguration |
| CVE-2025-25306 | Misskey's Incomplete Patch of CVE-2024-52591 Leads to Forgery of Federated Notes |
| CVE-2025-30360 | webpack-dev-server users' source code may be stolen when they access a malicious web site with non-Chromium based browser |
| CVE-2025-3462 | "This issue is limited to motherboards and does not affect laptops, desktop computers, or other endpoints." An insufficient v... |
| CVE-2025-3651 | Command Injection in iManage Work Desktop for Mac's Agent Service |
| CVE-2025-37734 | Kibana Origin Validation Error |
| CVE-2025-42706 | CrowdStrike Falcon Sensor for Windows Logic Error |
| CVE-2025-42998 | Security misconfiguration vulnerability in SAP Business One Integration Framework |
| CVE-2025-43929 | open_actions.py in kitty before 0.41.0 does not ask for user confirmation before running a local executable file that may hav... |
| CVE-2025-4515 | Zylon PrivateGPT settings.yaml cross-domain policy |
| CVE-2025-4542 | Freeebird Hotel 酒店管理系统 API SessionInterceptor.java cross-domain policy |
| CVE-2025-46737 | Origin Validation Error |
| CVE-2025-4839 | itwanger paicoding CrossUtil.java cross-domain policy |
| CVE-2025-52621 | HCL BigFix SaaS Authentication Service is vulnerable to cache poisoning |
| CVE-2025-5320 | gradio-app gradio CORS is_valid_origin privilege escalation |
| CVE-2025-53399 | In Sipwise rtpengine before 13.4.1.1, an origin-validation error in the endpoint-learning logic of the media-relay core allow... |
| CVE-2025-53600 | Whale browser before 4.32.315.22 allow an attacker to bypass the Same-Origin Policy in a dual-tab environment. |
| CVE-2025-5824 | Autel MaxiCharger AC Wallbox Commercial Origin Validation Error Authentication Bypass Vulnerability |
| CVE-2025-59159 | SillyTavern Web Interface Vulnerable to DNS Rebinding |
| CVE-2025-59845 | Apollo Embedded Sandbox and Explorer vulnerable to CSRF via window.postMessage origin-validation bypass |
| CVE-2025-59957 | Junos OS: EX4600 Series and QFX5000 Series: An attacker with physical access can open a persistent backdoor |
| CVE-2025-61740 | Johnson Controls IQ Panels2, 2+, IQHub, IQPanel 4, PowerG Origin Validation Error |
| CVE-2025-62250 | Improper Authentication in Liferay Portal 7.4.0 through 7.4.3.132, and older unsupported versions, and Liferay DXP 2023.Q4.0,... |
| CVE-2025-62584 | Whale browser before 4.33.325.17 allows an attacker to bypass the Same-Origin Policy in a dual-tab environment. |
| CVE-2025-69235 | Whale browser before 4.35.351.12 allows an attacker to bypass the Same-Origin Policy in a sidebar environment. |
| CVE-2025-69258 | A LoadLibraryEX vulnerability in Trend Micro Apex Central could allow an unauthenticated remote attacker to load an attacker-... |
| CVE-2025-69259 | A message unchecked NULL return value vulnerability in Trend Micro Apex Central could allow a remote attacker to create a den... |
| CVE-2025-69260 | A message out-of-bounds read vulnerability in Trend Micro Apex Central could allow a remote attacker to create a denial-of-se... |
| CVE-2025-7365 | Keycloak: phishing attack via email verification step in first login flow |
| CVE-2025-8074 | Origin validation error vulnerability in BeeDrive in Synology BeeDrive for desktop before 1.4.3-13973 allows local users to w... |
| CVE-2025-9265 | API Authentication Bypass via Header Spoofing vulnerability in Kiloview NDI N30 Products |
| CVE-2026-20893 | Origin validation error issue exists in Fujitsu Security Solution AuthConductor Client Basic V2 2.0.25.0 and earlier. If this... |
| CVE-2026-22030 | React Router has CSRF issue in Action/Server Action Request Processing |
| CVE-2026-22694 | AliasVault is Missing Origin Validation in Android Passkey Credential Provider |
| CVE-2026-22794 | Account Takeover Vulnerability in Appsmith |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.