Каталог уязвимостей - CWE - CWE-36

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-36

CWE-36 Absolute Path Traversal

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2021-00738	Уязвимость веб-интерфейса микропрограммного обеспечения VPN-маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P и RV260W, позволяющая нарушителю перезаписать произвольные файлы
BDU:2021-00739	Уязвимость веб-интерфейса микропрограммного обеспечения VPN-маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P и RV260W, позволяющая нарушителю перезаписать произвольные файлы
BDU:2021-03861	Уязвимость веб-интерфейса управления программного средства управления облачными системами Cisco Intersight Virtual Appliance, позволяющая нарушителю выполнить произвольную команду с root-правами
BDU:2021-04067	Уязвимость веб-интерфейса управления программного средства управления облачными системами Cisco Intersight Virtual Appliance, позволяющая нарушителю выполнить произвольную команду с root-правами
BDU:2021-04199	Уязвимость реализации функций на основе технологии AJAX motor_load_more(), motor_gallery_load_more(), motor_quick_view() и motor_project_quick_view() темы Motor - Cars, Parts, Service, Equipments and Accessories WooCommerce Store системы управления с...
BDU:2022-02498	Уязвимость командной оболочки микропрограммного обеспечения IP-телефонов Cisco IP Phone, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю прочитать любой файл в файловой системе устройства
BDU:2022-04292	Уязвимость баз данных систем обработки вызовов Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition (SME), Cisco Unified Communications Manager IM Presence Service, позволяющая нарушителю получить нес...
BDU:2022-07370	Уязвимость компонента Damage Cleanup Engine антивирусных программных средств Trend Micro Apex One и Apex One as a Service, позволяющая нарушителю повысить свои привилегии и удалить произвольные файлы
BDU:2023-03995	Уязвимость функции validate_path_is_safe() платформы управления жизненным циклом моделей машинного обучения MLflow, позволяющая нарушителю раскрыть защищаемую информацию или выполнить запись произвольных файлов
BDU:2023-04092	Уязвимость аналитической службы SonicWall Analytics и глобальной системы управления межсетевыми экранами SonicWall Global Management System (GMS), связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю читать произвольные фай...
BDU:2023-04987	Уязвимость программного обеспечения мониторинга банкоматов ScrutisWeb , существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить прямой доступ к произвольному файлу за пределами корневого...
BDU:2023-05245	Уязвимость веб-интерфейса Splunk Web платформы для операционного анализа Splunk Enterprise, позволяющая нарушителю выполнить произвольный код
BDU:2024-01444	Уязвимость микропрограммного обеспечения модульных контроллеров Honeywell Experion ControlEdge VirtualUOC и ControlEdge UOC , позволяющая нарушителю раскрыть защищаемую информацию или выполнить запись произвольных файлов
BDU:2024-02977	Уязвимость комплекса средств по обнаружению угроз для сред Интернета вещей Microsoft Defender for IoT, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю выполнить произвольный код
BDU:2024-03424	Уязвимость комплекса средств по обнаружению угроз для сред Интернета вещей Microsoft Defender for IoT, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код
BDU:2024-04093	Уязвимость распределенной системы контроля версий Git, существующая из-за проблемы с управлением процессом, позволяющая нарушителю выполнить произвольный код
BDU:2024-05370	Уязвимость функций сканирования контента и фильтрации сообщений системы обеспечения безопасности электронной почты Cisco Secure Email Gateway, позволяющая нарушителю повысить свои привилегии
BDU:2024-06215	Уязвимость программного обеспечения выявления уязвимостей и ошибок PT Application Inspector, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код
BDU:2024-06216	Уязвимость программного обеспечения выявления уязвимостей и ошибок PT Application Inspector, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю повысить свои привилегии и получить несанкцион...
BDU:2024-08566	Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю читать произвольные файлы
BDU:2024-10249	Уязвимость инструмент для разработки веб-приложений Butterfly, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-10929	Уязвимость микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю получить несанкционированны...
BDU:2024-11475	Уязвимость программного обеспечения выявления уязвимостей и ошибок PT Application Inspector, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю повысить свои привилегии
BDU:2025-00375	Уязвимость программного средства управления конечными точками Ivanti EPM, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-00407	Уязвимость программного средства управления конечными точками Ivanti EPM, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-00408	Уязвимость программного средства управления конечными точками Ivanti EPM, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-00409	Уязвимость программного средства управления конечными точками Ivanti EPM, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-00431	Уязвимость сервера системы непрерывной интеграции и доставки (CI/CD) GoCD, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код
BDU:2025-01109	Уязвимость функций unzip() и untar() библиотеки для глубокого обучения Deep Java Library (DJL), позволяющая нарушителю записывать произвольные файлы
BDU:2025-01823	Уязвимость фреймворка для исследования безопасности мобильных приложений Mobile Security Framework (MobSF), связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю получить несанкционированный доступ на чтение, удаление защища...
BDU:2025-04326	Уязвимость сценария libarchiveplugin.cpp графической утилиты для упаковки и распаковки файлов Ark среды рабочего стола KDE, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код
BDU:2025-04538	Уязвимость утилиты gifinto библиотеки для работы с GIF файлами GIFLIB, позволяющая нарушителю выполнить произвольный код
BDU:2025-07628	Уязвимость гибридного облачного решения для управления тонкими клиентами Dell Wyse Management Suite, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-08313	Уязвимость плагина HTML Publisher сервера автоматизации Jenkins, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-16466	Уязвимость SCADA-системы Advantech WebAccss/SCADA, связанная с неверным ограничением имени пути к каталогу, позволяющая нарушителю записывать произвольные файлы
BDU:2026-00534	Уязвимость компонента Windows Shell операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2017-7929	An Absolute Path Traversal issue was discovered in Advantech WebAccess Version 8.1 and prior. The absolute path traversal vul...
CVE-2018-20250	In WinRAR versions prior to and including 5.61, There is path traversal vulnerability when crafting the filename field of the...
CVE-2021-1296	Cisco Small Business RV160, RV160W, RV260, RV260P, and RV260W VPN Routers Arbitrary File Write Vulnerabilities
CVE-2021-1297	Cisco Small Business RV160, RV160W, RV260, RV260P, and RV260W VPN Routers Arbitrary File Write Vulnerabilities
CVE-2021-1617	Cisco Intersight Virtual Appliance Vulnerabilities
CVE-2021-1618	Cisco Intersight Virtual Appliance Vulnerabilities
CVE-2021-21586	Wyse Management Suite versions 3.2 and earlier contain an absolute path traversal vulnerability. A remote authenticated malic...
CVE-2021-30173	Jun-He Technology Ltd. Quan-Fang-Wei-Tong-Xun system - Local File Inclusion
CVE-2021-32506	QSAN Storage Manager - Absolute Path Traversal via GetImage function
CVE-2021-32507	QSAN Storage Manager - Absolute Path Traversal via FileDownload function
CVE-2021-34711	Cisco IP Phone Software Arbitrary File Read Vulnerability
CVE-2022-1554	Path Traversal due to `send_file` call in clinical-genomics/scout
CVE-2022-20791	Cisco Unified Communications Products Arbitrary File Read Vulnerability
CVE-2022-20958	A vulnerability in the web-based management interface of Cisco BroadWorks CommPilot application could allow an unauthenticate...
CVE-2022-24877	Improper path handling in kustomization files allows path traversal
CVE-2023-1176	Absolute Path Traversal in mlflow/mlflow
CVE-2023-2101	moxi624 Mogu Blog v2 uploadPicsByUrl uploadPictureByUrl absolute path traversal
CVE-2023-2765	Weaver OA downfile.php absolute path traversal
CVE-2023-30970	Gotham table and Forward App Path traversal
CVE-2023-32054	Volume Shadow Copy Elevation of Privilege Vulnerability
CVE-2023-34135	Path Traversal vulnerability in SonicWall GMS and Analytics allows a remote authenticated attacker to read arbitrary files fr...
CVE-2023-36786	Skype for Business Remote Code Execution Vulnerability
CVE-2023-3765	Absolute Path Traversal in mlflow/mlflow
CVE-2023-40597	Absolute Path Traversal in Splunk Enterprise Using runshellscript.py
CVE-2023-4172	Chengdu Flash Flood Disaster Monitoring and Warning System FileHandler.ashx absolute path traversal
CVE-2023-41830	An improper absolute path traversal vulnerability was reported for the Ready For application allowing a local application ac...
CVE-2023-5022	DedeCMS select_templets_post.php absolute path traversal
CVE-2023-50955	IBM InfoSphere Information Server information disclosure
CVE-2023-5115	Ansible: malicious role archive can cause ansible-galaxy to overwrite arbitrary files
CVE-2023-5390	An attacker could potentially exploit this vulnerability, leading to files being read from the Honeywell Experion ControlEdge...
CVE-2024-10047	Directory Listing Vulnerability in parisneo/lollms-webui
CVE-2024-10651	CHANGING Information Technology IDExpert - Arbitrary File Read through Path Traversal
CVE-2024-10811	Absolute path traversal in Ivanti EPM before the 2024 January-2025 Security Update and 2022 SU6 January-2025 Security Update...
CVE-2024-10831	Arbitrary File Write through Absolute Path Traversal in eosphoros-ai/db-gpt
CVE-2024-10833	Arbitrary File Write in eosphoros-ai/db-gpt
CVE-2024-11978	Interinfo DreamMaker - Arbitrary File Reading through Path Traversal
CVE-2024-12375	Local File Inclusion in automatic1111/stable-diffusion-webui
CVE-2024-12643	Chunghwa Telecom tbm-client - Arbitrary File Delete
CVE-2024-12644	Chunghwa Telecom tbm-client - Arbitrary File Copy and Paste
CVE-2024-12646	Chunghwa Telecom topm-client - Arbitrary File Delete
CVE-2024-13159	Absolute path traversal in Ivanti EPM before the 2024 January-2025 Security Update and 2022 SU6 January-2025 Security Update...
CVE-2024-13160	Absolute path traversal in Ivanti EPM before the 2024 January-2025 Security Update and 2022 SU6 January-2025 Security Update...
CVE-2024-13161	Absolute path traversal in Ivanti EPM before the 2024 January-2025 Security Update and 2022 SU6 January-2025 Security Update...
CVE-2024-13945	Stored Absolute Path Traversal
CVE-2024-1703	ZhongBangKeJi CRMEB openfile absolute path traversal
CVE-2024-20379	A vulnerability in the web-based management interface of Cisco Secure Firewall Management Center (FMC) Software, formerly Fir...
CVE-2024-20401	A vulnerability in the content scanning and message filtering features of Cisco Secure Email Gateway could allow an unauthent...
CVE-2024-21323	Microsoft Defender for IoT Remote Code Execution Vulnerability
CVE-2024-2362	Path Traversal in parisneo/lollms-webui
CVE-2024-2548	Path Traversal in parisneo/lollms-webui
CVE-2024-29053	Microsoft Defender for IoT Remote Code Execution Vulnerability
CVE-2024-45290	Path traversal and Server-Side Request Forgery when opening XLSX files in PHPSpreadsheet
CVE-2024-45291	Path traversal and Server-Side Request Forgery in HTML writer when embedding images is enabled in PHPSpreadsheet
CVE-2024-47883	Butterfly has path/URL confusion in resource handling leading to multiple weaknesses
CVE-2024-48248	NAKIVO Backup & Replication before 11.0.0.88174 allows absolute path traversal for reading files via getImageByPath to /c/rou...
CVE-2024-4881	Path Traversal in parisneo/lollms
CVE-2024-48850	Authenticated Absolute Path Traversal
CVE-2024-51549	Absolute Path Traversal
CVE-2024-56321	GoCD can allow malicious GoCD admins to abuse backup configuration to gain additional host access
CVE-2024-57966	libarchiveplugin.cpp in KDE ark before 24.12.0 can extract to an absolute path from an archive.
CVE-2024-6097	Absolute Path Traversal Vulnerability
CVE-2024-6250	Absolute Path Traversal in parisneo/lollms-webui
CVE-2024-6854	Arbitrary File Overwrite in h2oai/h2o-3
CVE-2024-7323	Digiwin EasyFlow .NET - Arbitrary File Download
CVE-2024-8497	Franklin Fueling Systems TS-550 EVO Absolute Path Traversal
CVE-2024-8501	Arbitrary File Download in modelscope/agentscope
CVE-2024-8778	The SYSCOM Group OMFLOW - Arbitrary File Read
CVE-2024-9924	Hgiga OAKlouds - Arbitrary File Read And Delete
CVE-2025-0001	authenticated arbitrary file read vulnerability
CVE-2025-0851	Path traversal issue in Deep Java Library
CVE-2025-13282	Chunghwa Telecom｜TenderDocTransfer - Arbitrary File Delete
CVE-2025-13283	Chunghwa Telecom｜TenderDocTransfer - Arbitrary File Copy and Paste
CVE-2025-36574	Dell Wyse Management Suite, versions prior to WMS 5.2, contain an Absolute Path Traversal vulnerability. An unauthenticated a...
CVE-2025-46822	Unauthenticated Arbitrary File Read via Absolute Path
CVE-2025-4799	WP-DownloadManager <= 1.68.10 - Authenticated (Administrator+) Arbitrary File Deletion
CVE-2025-53079	Absolute Path Traversal in Samsung DMS(Data Management Server) allows authenticated attacker (Administrator) to read sensitiv...
CVE-2025-53392	In Netgate pfSense CE 2.8.0, the "WebCfg - Diagnostics: Command" privilege allows reading arbitrary files via diag_command.ph...
CVE-2025-57790	Path Traversal Vulnerability
CVE-2025-5927	Everest Forms (Pro) <= 1.9.4 - Unauthenticated Path Traversal to Arbitrary File Deletion
CVE-2025-6381	BeeTeam368 Extensions <= 2.3.4 - Authenticated (Subscriber+) Directory Traversal to Arbitrary File Deletion
CVE-2025-67898	MJML through 4.18.0 allows mj-include directory traversal to test file existence and (in the type="css" case) read files. NOT...
CVE-2025-68472	MindsDB has improper sanitation of filepath that leads to information disclosure and DOS
CVE-2025-7846	WordPress User Extra Fields <= 16.7 - Authenticated (Subscriber+) Arbitrary File Deletion via save_fields Function
CVE-2025-8009	Security Ninja – Secure Firewall & Secure Malware Scanner - 5.201 - 5.242 - Authenticated (Administrator+) Arbitrary File Rea...
CVE-2025-8213	NinjaScanner – Virus & Malware scan <= 3.2.5 - Authenticated (Administrator+) Arbitrary File Deletion
CVE-2025-8575	LWS Cleaner <= 2.4.1.3 - Authenticated (Administrator+) Arbitrary File Deletion via 'lws_cl_delete_file'
CVE-2025-8909	WellChoose｜Organization Portal System - Arbitrary File Reading through Path Traversal
CVE-2025-8912	WellChoose｜Organization Portal System - Arbitrary File Reading through Path Traversal
CVE-2025-9256	Uniong｜WebITR - Arbitrary File Reading through Path Traversal
CVE-2025-9257	Uniong｜WebITR - Arbitrary File Reading through Path Traversal
CVE-2025-9258	Uniong｜WebITR - Arbitrary File Reading through Path Traversal
CVE-2025-9259	Uniong｜WebITR - Arbitrary File Reading through Path Traversal
CVE-2025-9516	atec Debug <= 1.2.22 - Authenticated (Administrator+) Arbitrary File Read
CVE-2025-9518	atec Debug <= 1.2.22 - Authenticated (Administrator+) Arbitrary File Deletion
CVE-2026-1018	Gotac｜Police Statistics Database System - Arbitrary File Read
CVE-2026-1020	Gotac｜Police Statistics Database System - Absolute Path Traversal
CVE-2026-20834	Windows Spoofing Vulnerability

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.