Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-384
CWE-384: Session Fixation
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2016-00612 | Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю получить доступ к веб-сессиям |
| BDU:2018-00786 | Уязвимость программного обеспечения для сбора и анализа данных SAP Business Objects, связанная с некорректным управлением сеансом, позволяющая нарушителю получить несанкционированный доступ |
| BDU:2018-01372 | Уязвимость реализации Security Assertion Markup Language механизма аутентификации Single sign-on клиента программного обеспечения защищенного мобильного доступа Cisco AnyConnect Secure Mobility Client, межсетевых экранов Cisco Adaptive Security Appli... |
| BDU:2019-00971 | Уязвимость веб-сервера набора инструментов для разработки программного обеспечения Intel Data Center Manager SDK, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-01342 | Уязвимость компонента SYNO.PhotoStation.Auth средства управления хранилищем фотографий Photo Station, позволяющая нарушителю получить несанкционированный доступ к защищаемым данным |
| BDU:2019-01564 | Уязвимость модуля mod_session веб-сервера Apache HTTP Server, связанная с отсутствием учета времени жизни сеанса, позволяющая нарушителю оказать воздействие на целостность защищаемых данных |
| BDU:2019-01795 | Уязвимость функции управления сеансами веб-интерфейса компонента Dashboard облачного сервиса безопасности Cisco Umbrella, позволяющая нарушителю получить доступ к панели мониторинга |
| BDU:2019-02472 | Уязвимость платформы для управления облачными ресурсами vCloud Director, связанная с некорректным управлением сеансом, позволяющая нарушителю осуществить перехват удаленных сеансов |
| BDU:2019-03174 | Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Enterprise Server и программного обеспечения для электронного документооборота Microsoft SharePoint Foundation, связанная с ошибками управления сеансом, позволяющая нарушит... |
| BDU:2019-03661 | Уязвимость веб-интерфейса J-Web операционной системы операционной системы Junos OS, позволяющая нарушителю получить доступ к целевой системе с привилегиями администратора |
| BDU:2019-04243 | Уязвимость компонента Security программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-04280 | Уязвимость реализации класса FileSessionDataStore HTTP-сервера Jetty, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04624 | Уязвимость микропрограммного обеспечения контроллера удаленного управления Intel Baseboard Management Controller (BMC), связанная с ошибками управления сеансом, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании |
| BDU:2020-00975 | Уязвимость веб-интерфейса сетевых коммутаторов Belden Hirschmann серий RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS и OCTOPUS, позволяющая нарушителю получить несанкционированный доступ и перехватить веб-сеансы |
| BDU:2020-01971 | Уязвимость формы аутентификации сервера приложений Apache Tomcat, связанная с недостатком механизма фиксации сеанса, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании и оказать воздейст... |
| BDU:2020-03975 | Уязвимость набора библиотек awl, связанная с ошибками управления сеансом, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2020-03976 | Уязвимость набора библиотек awl, связанная с ошибками управления сеансом, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2020-04049 | Уязвимость программного обеспечения веб-сервера NPort IAW5000A-I/O Series, связанная с ошибками управления сеансом, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-05823 | Уязвимость приложения для управления программируемыми панелями CmtViewer, связанная с ошибками управления сеансом, позволяющая нарушителю получить неавторизованный доступ |
| BDU:2021-03297 | Уязвимость распределенной системы управления базами данных Apache Impala, связанная с ошибками при шифровании информации, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-04250 | Уязвимость программной платформы для проведения маркетинговых кампании Adobe Campaign Classic, связанная с ошибками управления сеансом, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-06312 | Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060, связанная с ошибками управления сеансом, позволяющая нарушителю получить неавторизованный доступ к устройству |
| BDU:2022-01808 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с некорректным управлением сеансом, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-06992 | Уязвимость средства получения удаленно доступа к устройству VMware Workspace ONE Assist, связанная с некорректным управлением сеансом, позволяющая нарушителю получить несанкционированный доступ к приложению |
| BDU:2023-01003 | Уязвимость межсетевого экрана веб-приложений FortiWeb, связанная с недостатком механизма фиксации сеанса, позволяющая нарушителю осуществить перехват сеансов других пользователей |
| BDU:2023-01057 | Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с некорректным управлением сеансом, позволяющая нарушителю осуществить CSRF-атаку |
| BDU:2023-04259 | Уязвимость плагина Jenkins OpenShift Login, связанная с некорректным управлением сеансом, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2023-05229 | Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, связанная с недостатком механизма фиксации сеанса, позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2023-06923 | Уязвимость программного обеспечения серверов Titan SFTP и Titan MFT NextGen, связанная с некорректным управлением сеансом, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-07351 | Уязвимость микропрограммного обеспечения цифрового fm-трансмиттера Sielco PolyEco1000, связанная с некорректным управлением сеансом, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2023-08236 | Уязвимость функции SessionStrategyListener программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2023-09009 | Уязвимость компонента Bluetooth LE микропрограммного обеспечения биометрического замка Ultraloq UL3 2nd Gen Smart Lock, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-02080 | Уязвимость модуля расширенной аутентификации VMware Enhanced Authentication Plug-in (EAP), связанная с некорректным управлением сеансом, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-02873 | Уязвимость реализации протоколов TLS и SSL приложения Apple Music для операционной системы Android, позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2024-04266 | Уязвимость кроссплатформенной системы управления доступа IBM i Access Client Solutions, связанная с некорректным управлением сеансом, позволяющая нарушителю перехватить сеанс пользователя и раскрыть защищаемую информацию о хэше NT LAN Manager (NTLM) |
| BDU:2024-04634 | Уязвимость сетевого хранилища QNAP TS-X41, связанная с некорректным управлением сеансом, позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2024-05191 | Уязвимость микропрограммного обеспечения Wi-Fi роутеров Huawei TC7001-10, WS7200-10 и WS7206-10, связанная с недостатком механизма фиксации сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в... |
| BDU:2024-05984 | Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-09128 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с некорректным управлением сеансом, позволяющая нарушителю получить полный доступ к приложению |
| BDU:2024-10390 | Уязвимость технологии удаленного доступа SSL VPN операционных систем FortiOS, позволяющая нарушителю выполнить произвольный код или произвольные команды |
| BDU:2024-10858 | Уязвимость микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, связанная с некорректным управлением сеансом, позволяющая нарушителю перехватить сеанс пользователя и повыс... |
| BDU:2025-01162 | Уязвимость модуля двухфакторной аутентификации TFA (Two-factor Authentication) CMS-системы Drupal, позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2025-01163 | Уязвимость модуля двухфакторной аутентификации TFA (Two-factor Authentication) CMS-системы Drupal, позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2025-01264 | Уязвимость веб-сервиса для передачи информации через временные ссылки Password Pusher, связанная с некорректным управлением сеансом, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2025-01305 | Уязвимость сценария index.php системы управления контентом YouDianCMS, позволяющая нарушителю повысить свои привилегии или вызвать отказ в обслуживании |
| BDU:2025-03174 | Уязвимость компонента Service Layer системы управления ресурсами предприятия SAP Business One, позволяющая нарушителю повысить свои привилегии и получить доступ на чтение, изменение и/или добавление данных |
| BDU:2025-04902 | Уязвимость технологии SAML (Security Assertion Markup Language) операционной системы PAN-OS, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-06811 | Уязвимость веб-интерфейса платформ управления рисками на предприятии IBM OpenPages и IBM OpenPages with Watson, позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2025-08959 | Уязвимость системы управления контентом Condeon CMS, связанная с недостатками разграничения доступа, позволяющая нарушителю перехватить сеанс и получить доступ к учетной записи пользователя |
| BDU:2025-09900 | Уязвимость сервера приложений Apache Tomcat, связанная с недостатками разграничения доступа, позволяющая нарушителю перехватить сеанс и получить доступ к учетной записи пользователя |
| BDU:2025-10235 | Уязвимость виртуальной обучающей среды Moodle, связанная с некорректным управлением сеансом, позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2025-14653 | Уязвимость функции memcmp() программного обеспечения OpenVPN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2010-1434 | Joomla! Core is prone to a session fixation vulnerability. An attacker may leverage this issue to hijack an arbitrary session... |
| CVE-2014-125048 | kassi xingwall oauth.js session fixiation |
| CVE-2016-8609 | It was found that the keycloak before 2.3.0 did not implement authentication flow correctly. An attacker could use this flaw... |
| CVE-2016-9125 | Revive Adserver before 3.2.3 suffers from session fixation, by allowing arbitrary session identifiers to be forced and, at th... |
| CVE-2018-0229 | A vulnerability in the implementation of Security Assertion Markup Language (SAML) Single Sign-On (SSO) authentication for Ci... |
| CVE-2018-0359 | A vulnerability in the session identification management functionality of the web-based management interface for Cisco Meetin... |
| CVE-2018-13282 | Session fixation vulnerability in SYNO.PhotoStation.Auth in Synology Photo Station before 6.8.7-3481 allows remote attackers... |
| CVE-2018-16463 | A bug causing session fixation in Nextcloud Server prior to 14.0.0, 13.0.3 and 12.0.8 could potentially allow an attacker to... |
| CVE-2018-16495 | In VOS user session identifier (authentication token) is issued to the browser prior to authentication but is not changed aft... |
| CVE-2018-17902 | Yokogawa STARDOM Controllers FCJ, FCN-100, FCN-RTU, FCN-500, All versions R4.10 and prior, The application utilizes multiple... |
| CVE-2018-5385 | Navarino Infinity web interface up to version 2.2 is prone to session fixation attacks |
| CVE-2018-5465 | A Session Fixation issue was discovered in Belden Hirschmann RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS, and OCTOPUS Class... |
| CVE-2018-8852 | Philips e-Alert Unit (non-medical device), Version R2.1 and prior. When authenticating a user or otherwise establishing a new... |
| CVE-2019-0062 | Junos OS: Session fixation vulnerability in J-Web |
| CVE-2019-10158 | A flaw was found in Infinispan through version 9.4.14.Final. An improper implementation of the session fixation protection in... |
| CVE-2019-13517 | In Pyxis ES Versions 1.3.4 through to 1.6.1 and Pyxis Enterprise Server, with Windows Server Versions 4.4 through 4.12, a vul... |
| CVE-2019-15612 | A bug in Nextcloud Server 15.0.2 causes pending 2FA logins to not be correctly expired when the password of the user is reset... |
| CVE-2019-1807 | Cisco Umbrella Dashboard Session Management Vulnerability |
| CVE-2019-18946 | Session fixation |
| CVE-2019-3783 | Cloud Foundry Stratos Deploys With Public Default Session Store Secret |
| CVE-2019-3784 | Cloud Foundry Stratos contains a Session Collision Vulnerability |
| CVE-2019-6584 | A vulnerability has been identified in SIEMENS LOGO!8 (6ED1052-xyyxx-0BA8 FS:01 to FS:06 / Firmware version V1.80.xx and V1.8... |
| CVE-2020-10714 | A flaw was found in WildFly Elytron version 1.11.3.Final and before. When using WildFly Elytron FORM authentication with a se... |
| CVE-2020-1762 | An insufficient JWT validation vulnerability was found in Kiali versions 0.4.0 to 1.15.0 and was fixed in Kiali version 1.15.... |
| CVE-2020-1993 | PAN-OS: GlobalProtect Portal PHP session fixation vulnerability |
| CVE-2020-25152 | B. Braun SpaceCom, Battery Pack SP with Wi-Fi, and Data module compactplus |
| CVE-2020-25198 | MOXA NPort IAW5000A-I/O Series |
| CVE-2020-5205 | Session fixation attack in Pow (Hex package) |
| CVE-2020-5290 | session fixation in rCTF |
| CVE-2020-6302 | SAP Commerce versions 6.7, 1808, 1811, 1905, 2005 contains the jSession ID in the backoffice URL when the application is load... |
| CVE-2021-22927 | A session fixation vulnerability exists in Citrix ADC and Citrix Gateway 13.0-82.45 when configured SAML service provider tha... |
| CVE-2021-32676 | Session Fixation in Nextcloud Talk |
| CVE-2021-32710 | Potential Session Hijacking in Shopware |
| CVE-2021-36394 | In Moodle, a remote code execution risk was identified in the Shibboleth authentication plugin. |
| CVE-2021-3740 | Session Fixation in chatwoot/chatwoot |
| CVE-2021-41246 | Session fixation in express-openid-connect |
| CVE-2021-41268 | Cookie persistence in Symfony |
| CVE-2021-42761 | A condition for session fixation vulnerability [CWE-384] in the session management of FortiWeb versions 6.4 all versions, 6.3... |
| CVE-2021-46279 | Session Fixation and Insufficient Session Expiration |
| CVE-2022-1849 | Session Fixation in filegator/filegator |
| CVE-2022-22681 | Session fixation vulnerability in access control management in Synology Photo Station before 6.8.16-3506 allows remote attack... |
| CVE-2022-24745 | Guest session is shared between customers in shopware |
| CVE-2022-24781 | Malicious users can take over the session of other players |
| CVE-2022-24895 | Symfony vulnerable to Session Fixation of CSRF tokens |
| CVE-2022-2820 | Session Fixation in namelessmc/nameless |
| CVE-2022-2997 | Session Fixation in snipe/snipe-it |
| CVE-2022-30605 | A privilege escalation vulnerability exists in the session id functionality of WWBN AVideo 11.6 and dev master commit 3f7c036... |
| CVE-2022-3269 | Session Fixation in ikus060/rdiffweb |
| CVE-2022-33927 | Dell Wyse Management Suite 3.6.1 and below contains a Session Fixation vulnerability. A unauthenticated attacker could exploi... |
| CVE-2022-38054 | Session Fixation |
| CVE-2022-3916 | Keycloak: session takeover with oidc offline refreshtokens |
| CVE-2022-40226 | A vulnerability has been identified in SICAM P850 (All versions < V3.10), SICAM P850 (All versions < V3.10), SICAM P850 (All... |
| CVE-2022-40293 | Session fixation in PHP Point of Sale version 19.0, by PHP Point of Sale, LLC. |
| CVE-2022-40630 | Improper Session Management Vulnerability in Tacitine Firewall |
| CVE-2022-4231 | Tribal Systems Zenario CMS Remember Me session fixiation |
| CVE-2022-43398 | A vulnerability has been identified in POWER METER SICAM Q100 (All versions < V2.50), POWER METER SICAM Q100 (All versions <... |
| CVE-2023-0897 | Session FIxation in Sielco PolyEco1000 |
| CVE-2023-2105 | Session Fixation in alextselegidis/easyappointments |
| CVE-2023-22479 | KubePi vulnerable to session fixation attack |
| CVE-2023-24477 | Session Fixation in Guardian/CMC before 22.6.2 |
| CVE-2023-27490 | Missing proper state, nonce and PKCE checks for OAuth authentication in next-auth |
| CVE-2023-28316 | A security vulnerability has been discovered in the implementation of 2FA on the rocket.chat platform, where other active ses... |
| CVE-2023-29019 | Session fixation in fastify-passport |
| CVE-2023-29020 | Cross site request forgery token fixation in fastify-passport |
| CVE-2023-3192 | Session Fixation in froxlor/froxlor |
| CVE-2023-3394 | Session Fixation in fossbilling/fossbilling |
| CVE-2023-3711 | Potential Predictable Session ID |
| CVE-2023-38002 | IBM Storage Scale session fixation |
| CVE-2023-38018 | IBM Aspera Shares session fixation |
| CVE-2023-40273 | Session fixation in Apache Airflow web interface |
| CVE-2023-44400 | Uptime Kuma has Persistentent User Sessions |
| CVE-2023-45687 | Authentication bypass via session fixation in Titan MFT and Titan SFTP servers |
| CVE-2023-4649 | Session Fixation in instantsoft/icms2 |
| CVE-2023-46733 | Symfony possible session fixation vulnerability |
| CVE-2023-47798 | Account lockout in Liferay Portal 7.2.0 through 7.3.0, and older unsupported versions, and Liferay DXP 7.2 before fix pack 5,... |
| CVE-2023-49804 | Uptime Kuma Password Change Vulnerability |
| CVE-2023-50176 | A session fixation in Fortinet FortiOS version 7.4.0 through 7.4.3 and 7.2.0 through 7.2.7 and 7.0.0 through 7.0.13 allows at... |
| CVE-2023-50941 | IBM PowerSC session fixation |
| CVE-2023-5309 | Broken Session Management in Puppet Enterprise |
| CVE-2023-6913 | Session Hijacking on Imou Life app |
| CVE-2024-0351 | SourceCodester Engineers Online Portal session fixiation |
| CVE-2024-10158 | PHPGurukul Boat Booking System session_start session fixiation |
| CVE-2024-10318 | NGINX OpenID Connect Vulnerability |
| CVE-2024-11317 | PHP Session Fixation |
| CVE-2024-13279 | Two-factor Authentication (TFA) - Critical - Access bypass - SA-CONTRIB-2024-043 |
| CVE-2024-13967 | ession-Management Failure |
| CVE-2024-22250 | Session Hijack Vulnerability in Deprecated EAP Browser Plugin |
| CVE-2024-2260 | Session Fixation Vulnerability in zenml-io/zenml |
| CVE-2024-23590 | Apache Kylin: Session fixation in web interface |
| CVE-2024-23679 | Enonic XP Session Fixation Vulnerability |
| CVE-2024-24552 | Bludit is Vulnerable to Session Fixation |
| CVE-2024-24823 | graylog2-server Session Fixation vulnerability through cookie injection |
| CVE-2024-25977 | Session Fixation |
| CVE-2024-2639 | Bdtask Wholesale Inventory Management System session fixiation |
| CVE-2024-28144 | Broken Access Control |
| CVE-2024-30262 | Contao's remember-me tokens will not be cleared after a password change |
| CVE-2024-31221 | Clients removed during unpairing process may regain access if Sunshine was not restarted |
| CVE-2024-38513 | Fiber Session Middleware Token Injection Vulnerability |
| CVE-2024-42170 | HCL MyXalytics is affected by a session fixation vulnerability |
| CVE-2024-42171 | HCL MyXalytics is affected by insufficient session expiration |
| CVE-2024-42207 | HCL iAutomate is affected by a session fixation vulnerability |
| CVE-2024-42345 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.2 SP2). The affected application does... |
| CVE-2024-45368 | AutomationDirect DirectLogic H2-DM1E Session Fixation |
| CVE-2024-48929 | Umbraco CMS Has Incomplete Server Termination During Explicit Sign-Out |
| CVE-2024-49344 | IBM OpenPages session fixation |
| CVE-2024-49709 | XSS in iKSORIS |
| CVE-2024-56733 | Password Pusher Allows Session Token Interception Leading to Potential Hijacking |
| CVE-2024-7341 | Wildfly-elytron: org.keycloak/keycloak-services: session fixation in elytron saml adapters |
| CVE-2024-8643 | Session Hijacking in Oceanic Software's ValeApp |
| CVE-2025-0126 | PAN-OS: Session Fixation Vulnerability in GlobalProtect SAML Login |
| CVE-2025-0251 | HCL IEM is affected by a concurrent login vulnerability |
| CVE-2025-0253 | HCL IEM is affected by a cookie attribute not set vulnerability |
| CVE-2025-10228 | Session Hijacking in Rolantis Information Technologies' Agentis |
| CVE-2025-12390 | Org.keycloak.protocol.oidc.endpoints.logoutendpoint: offline session takeover due to reused authentication session id |
| CVE-2025-1412 | Session Persistence After User-to-Bot Conversion |
| CVE-2025-26658 | Broken Authentication in SAP Business One (Service Layer) |
| CVE-2025-29928 | authentik's deletion of sessions did not revoke sessions when using database session storage |
| CVE-2025-36117 | IBM Db2 Mirror for i session fixation |
| CVE-2025-42602 | Improper Authentication Vulnerability in Meon KYC solutions |
| CVE-2025-4644 | User Session Fixation after Account Removal in PayloadCMS |
| CVE-2025-46815 | ZITADEL Allows IdP Intent Token Reuse |
| CVE-2025-52689 | Weak Session ID Check in the OmniAccess Stellar Web Management Interface |
| CVE-2025-53021 | A session fixation vulnerability in Moodle 3.x through 3.11.18 allows unauthenticated attackers to hijack user sessions via t... |
| CVE-2025-53102 | Discourse's WebAuthn challenge isn't cleared from user session after authentication |
| CVE-2025-53895 | ZITADEL has broken authN and authZ in session API and resulting session tokens |
| CVE-2025-55668 | Apache Tomcat: session fixation via rewrite valve |
| CVE-2025-59841 | FlagForgeCTF's Improper Session Handling Allows Access After Logout |
| CVE-2025-64100 | CKAN Vulnerable to Session Cookie Fixation |
| CVE-2025-8517 | givanz Vvveb session fixiation |
| CVE-2026-22082 | Insecure Session ID Management Vulnerability in Tenda Wireless Routers |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230526-39 | 26.05.2023 | Получение конфиденциальной информации в Jenkins WSO2 Oauth plugin |
| VULN:20230718-14 | 18.07.2023 | Пользовательский интерфейс подмены в Jenkins OpenShift Login plugin |
| VULN:20241111-14 | 11.11.2024 | Выполнение произвольного кода в GLPI |
| VULN:20241202-131 | 02.12.2024 | Получение конфиденциальной информации в Jenkins OpenId Connect Authentication plugin |
| VULN:20250409-46 | 09.04.2025 | Получение конфиденциальной информации в authentik |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.