Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-444
CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling')
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-00369 | Уязвимость прокси-сервера Apsis Pound, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2019-02513 | Уязвимость компонента django.http.HttpRequest.scheme библиотеки Django для языка программирования Python, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2019-02939 | Уязвимость парсера URL-адресов библиотеки Node.js, позволяющая нарушителю получить несанкционированный доступ к защищаемым данным |
| BDU:2019-04118 | Уязвимость веб-интерфейса системы обработки вызовов Cisco Unified Communications Manager, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к системе |
| BDU:2019-04410 | Уязвимость реализации сетевого протокола HTTP/2 веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании или привести к неверной конфигурации сервера |
| BDU:2019-04670 | Уязвимость программного пакета Go, связанная с непоследовательной интерпретацией http-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-01935 | Уязвимость NIO-инфраструктуры клиент/сервер для Java Netty, связанная с непоследовательной интерпретацией http-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-02915 | Уязвимость платформы JBoss, связанная с непоследовательной интерпретацией http-запросов, позволяющая нарушителю нарушить целостность данных |
| BDU:2020-03567 | Уязвимость сервера приложений Apache Tomcat, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2020-03994 | Уязвимость заголовков Transfer-Encoding и Content length headers обратного прокси и прокси переадресации веб-сервера Apache Traffic Server, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отк... |
| BDU:2020-03995 | Уязвимость обратного прокси и прокси переадресации веб-сервера Apache Traffic Server, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2020-03996 | Уязвимость обратного прокси и прокси переадресации веб-сервера Apache Traffic Server, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2020-04037 | Уязвимость компонента http/ContentLengthInterpreter.cc прокси-сервера Squid, позволяющая нарушителю отравлять содержимое кэша |
| BDU:2020-04071 | Уязвимость HTTP-сервера для Ruby/Rack приложений Puma, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю оказать влияние на целостность информации |
| BDU:2020-04146 | Уязвимость компонента ngx_http_lua_subrequest.c веб-сервера OpenResty, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2020-04147 | Уязвимость прокси-сервера Squid, связанная с непоследовательной интерпретацией http-запросов, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS) |
| BDU:2020-04148 | Уязвимость прокси-сервера Squid, связанная с непринятием мер по обработке последовательностей CRLF в HTTP-заголовках, позволяющая нарушителю внедрить произвольные HTTP-заголовки |
| BDU:2020-04511 | Уязвимость сервера приложений Apache Tomcat, связанная с непоследовательной интерпретацией HTTP-запросов, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2020-05657 | Уязвимость программной платформы Node.js, связанная с ошибкой обработки имен HTTP - заголовка, позволяющая нарушителю получить доступ к защищаемой информации или повысить свои привилегии |
| BDU:2020-05699 | Уязвимость компонента Twisted Web сетевого фреймворка Twisted, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-00585 | Уязвимость реализации механизма HTTP/2 веб-сервера Apache HTTP Server, позволяющая нарущителю вызвать отказ в обслуживании |
| BDU:2021-00779 | Уязвимость реализации механизма HTTP/2 веб-сервера Apache HTTP Server, позволяющая нарушителю вызвать отказ в обслуживании или привести к неверной конфигурации сервера |
| BDU:2021-01013 | Уязвимость сервера приложений Apache Tomcat, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2021-01025 | Уязвимость программной платформы Node.js, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2021-01160 | Уязвимость конфигурации микро-фреймворка WSGI Bottle, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2021-01472 | Уязвимость библиотеки WEBrick языка программирования Ruby, связанная с некорректной проверкой значения заголовка, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-01748 | Уязвимость заголовка запросов прокси-сервера Squid, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-01758 | Уязвимость опции ATS negative cache веб-сервера Apache Traffic Server, связанная с недостатком в интерпретации HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-03676 | Уязвимость заголовка Content-Length веб-сервера Apache Traffic Server, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2021-03677 | Уязвимость веб-сервера Apache Traffic Server, связанная с некорректной обработкой фрагмента URL-адреса, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2021-03688 | Уязвимость сервера приложений Apache Tomcat, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос |
| BDU:2021-03763 | Уязвимость пакета cpython языка программирования Python, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю нарушить целостность данных или вызвать отказ в обслуживании |
| BDU:2021-04177 | Уязвимость контейнера сервлетов Eclipse Jetty, связанная с непоследовательной интерпретацией http-запросов, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2021-04216 | Уязвимость модуля mod_proxy httpd-демона веб-сервера Apache HTTP Server, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2021-04995 | Уязвимость компонента LLHTTP программного средства работы с объектами NodeJS, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-04996 | Уязвимость компонента LLHTTP программного средства работы с объектами NodeJS, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-06060 | Уязвимость почтового клиента Thunderbird, браузера Firefox, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS) |
| BDU:2021-06336 | Уязвимость графического интерфейса программного средства централизованного управления устройствами Fortinet FortiManager и средства отслеживания и анализа событий безопасности Fortinet FortiAnalyzer, позволяющая нарушителю внедрить произвольные HTTP-... |
| BDU:2022-00270 | Уязвимость свободного веб-сервера apache2, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-00303 | Уязвимость класса Http2MultiplexHandler сетевого программного средства Netty, связанная с недостатком в интерпретации HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-00314 | Уязвимость компонента HttpObjectDecoder.java сетевого программного средства Netty, связанная с недостатком в интерпретации HTTP-запросов, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2022-00315 | Уязвимость сетевого программного средства Netty, связанная с недостатком в интерпретации HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-00325 | Уязвимость заголовков Transfer-Encoding и Content-Length сетевого программного средства Netty, связанная с недостатком в интерпретации HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-00330 | Уязвимость программной платформы Node.js, связанная с непоследовательной интерпретацией http-запросов, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2022-00333 | Уязвимость компонента HttpObjectDecoder.java сетевого программного средства Netty, связанная с недостатком в интерпретации HTTP-запросов, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2022-00512 | Уязвимость микропрограммного обеспечения маршрутизаторов TP-Link Archer AX10, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2022-00863 | Уязвимость веб-приложения микропрограммного обеспечения Wi-Fi маршрутизаторов D-Link DIR-X1860, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2022-01015 | Уязвимость программной интеграционной платформы SAP NetWeaver, сервера содержимого SAP Content Server, веб-диспетчера SAP Web Dispatcher, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю внедрить произвольный код |
| BDU:2022-01456 | Уязвимость веб-сервера Apache HTTP Server, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2022-01647 | Уязвимость HTTP-библиотеки для Rust Hyper, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-02206 | Уязвимость реализации протокола Hypertext Transfer Protocol (HTTP/1.1) контейнера сервлетов Eclipse Jetty, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2022-02389 | Уязвимость HTTP-сервера nginx, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю получить несанкционированный доступ к информации |
| BDU:2022-02668 | Уязвимость контейнера сервлетов Jetty, существующая из-за неправильной обработки запросов HTTP/0.9, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2022-04033 | Уязвимость браузера Mozilla Firefox, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности и раскрыть защищаемую информацию |
| BDU:2022-04115 | Уязвимость модуля mod_proxy_ajp веб-сервера Apache HTTP Server, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2022-04279 | Уязвимость микропрограммного обеспечения межсетевых экранов Advanced Secure Gateway (ASG), ProxySG, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2022-04390 | Уязвимость программной платформы Node.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2022-04928 | Уязвимость реализации протокола HTTP/2 веб-сервера Apache Traffic Server, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-04934 | Уязвимость компонента Clientless SSL VPN (WebVPN) микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance Software (ASA), позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2022-05688 | Уязвимость WSGI сервера для python Waitress, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-05754 | Уязвимость сервера DNS BIND, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-05762 | Уязвимость сервера для python Waitress, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-05817 | Уязвимость демона HTTP-сервера HTTP Daemon, связанная с непоследовательной интерпритацией HTTP-запросов, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-05826 | Уязвимость WSGI сервера для python Waitress, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-05828 | Уязвимость WSGI сервера для python Waitress, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-05832 | Уязвимость WSGI сервера для python Waitress, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2022-06319 | Уязвимость библиотеки веб-приложений Pallets Werkzeug, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2022-06921 | Уязвимость сервера Twisted Web HTTP 1.1 модуля twisted.web.http сетевого фреймворка Twisted, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2022-07501 | Уязвимость реализации атрибута rejectIllegalHeader сервера приложений Apache Tomcat, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2023-00348 | Уязвимость анализатора HTTP-кода llhttp программного обеспечения для управления сетевой инфраструктурой SINEC INS (Infrastructure Network Services), позволяющая нарушителю выполнить произвольный код |
| BDU:2023-00495 | Уязвимость модуля mod_proxy_ajp веб-сервера Apache HTTP Server, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2023-00758 | Уязвимость серверного программного обеспечения HAProxy, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2023-01738 | Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2023-02000 | Уязвимость реализации протокола mTLS (mutual TLS) прокси-сервера Envoy, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2023-02021 | Уязвимость компонента mod_proxy_uwsgi веб-сервера Apache HTTP Server связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2023-04420 | Уязвимость веб-диспетчера SAP Web Dispatcher, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-04573 | Уязвимость реализации протокола HTTP-взаимодействия protocol-http1, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти ограничения безопасности и отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2023-04606 | Уязвимость сервера системы виртуализации рабочих станций VMware Horizon Server, связанная с неправильной проверкой HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2023-04893 | Уязвимость программной платформы Node.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2023-05462 | Уязвимость HTTP-клиента aiohttp, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2023-05946 | Уязвимость платформы анализа данных Qlik Sense Enterprise, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю повысить свои привелегии |
| BDU:2023-06847 | Уязвимость HTTP-сервера для Ruby/Rack приложений Puma, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2023-07810 | Уязвимость серверного программного обеспечения HAProxy, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-08063 | Уязвимость декодера chunked прокси-сервера Squid, позволяющая нарушителю взаимодействовать с сервером напрямую |
| BDU:2023-08273 | Уязвимость HTTP-клиента aiohttp, связанная с непринятием мер по нейтрализации последовательностей CRLF, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2023-08648 | Уязвимость сетевого программного средства Netty, связанная с некорректной обработкой управляющих символов, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2024-00328 | Уязвимость HTTP-сервера для Ruby/Rack приложений Puma, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-00996 | Уязвимость HTTP-клиента aiohttp, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2024-01299 | Уязвимость компонента twisted.web сетевого фреймворка Twisted, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2024-01300 | Уязвимость сервера приложений Apache Tomcat, связанная с непоследовательной интерпретацией HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2024-01303 | Уязвимость функции http_parser() RPC-фреймворка Apache bRPC, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2024-01315 | Уязвимость веб-сервера Undertow, связанная с недостатками обработки входящих HTTP-запросов, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2024-02173 | Уязвимость HTTP-клиента aiohttp, связанная с недостатками обработки заголовков HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2024-02174 | Уязвимость HTTP-клиента aiohttp, связанная с недостатками обработки заголовков Content-Length (CL) и Transfer-Encoding (TE), позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2024-02429 | Уязвимость серверного программного обеспечения HAProxy, связанная с пересылкой пустых заголовков Content-Length, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2024-02450 | Уязвимость фреймворка для создания веб-приложений на языке Java Apache Wicket, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку |
| BDU:2024-03125 | Уязвимость программной платформы Node.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2024-03553 | Уязвимость WSGI-сервера gunicorn, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить атаку "контрабанда HTTP-запросов" |
| BDU:2024-05760 | Уязвимость плагинов авторизации (AuthZ) программного обеспечения автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker Engine, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-05788 | Уязвимость функции makeHttpRequest() файла htdocs/js/ajax_functions.js веб-инструмента администрирования LDAP phpLDAPadmin, позволяющая нарушителю вызвать контрабанду http-запросов |
| BDU:2024-06308 | Уязвимость WSGI-сервера gunicorn, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить атаку "контрабанда HTTP-запросов" |
| BDU:2024-06541 | Уязвимость HTTP-клиента aiohttp, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2024-06573 | Уязвимость компонента twisted.web сетевого фреймворка Twisted, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-07772 | Уязвимость HTTP-сервера для Ruby/Rack приложений Puma, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-07776 | Уязвимость HTTP-сервера для Ruby/Rack приложений Puma, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-07777 | Уязвимость HTTP-сервера для Ruby/Rack приложений Puma, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07786 | Уязвимость программного обеспечения аналитики показателей эффективности колл-центра Loway QueueMetrics, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-08282 | Уязвимость декодера HttpObjectDecoder программного средства RESTEasy, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2024-10292 | Уязвимость HTTP-клиента aiohttp, связанная с недостатками обработки заголовков HTTP-запросов, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2024-10555 | Уязвимость конфигурации request_fulluri интерпретатора языка программирования PHP, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2024-10643 | Уязвимость серверного программного обеспечения HAProxy, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти ограничения безопасности и отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2024-10889 | Уязвимость функции channel_request_lookahead() WSGI сервера для python Waitress, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling |
| BDU:2025-02139 | Уязвимость файла user.bin прошивки мобильного телефона Digma A172, связанная с недостатками формирования HTTP-запросов, позволяющая осуществлять сетевую активность без участия пользователя |
| BDU:2025-02197 | Уязвимость компонента Proxy Header Handler программного средства для управления идентификацией и доступом Keycloak, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02430 | Уязвимость веб-сервера Apache Traffic Server, связанная с недостаточной проверкой входных, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2025-02827 | Уязвимость интерпретатора языка программирования PHP, связанная с недостатками обработки заголовков HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2025-02828 | Уязвимость интерпретатора языка программирования PHP, связанная с недостатками обработки заголовков HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2025-03879 | Уязвимость веб-сервера Apache Traffic Server, связанная с недостатками обработки заголовков HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2025-04014 | Уязвимость пакета net/http языка программирования Go, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-04624 | Уязвимость модуля lua-nginx-module веб-сервера NGINX, связанная с непоследовательной интерпретацией HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2025-06251 | Уязвимость библиотеки h11, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю оказать влияние на конфиденциальность и целостность защищаемой информации |
| BDU:2025-06566 | Уязвимость библиотеки libsoup графического интерфейса GNOME, позволяющая нарушителю выполнять атаку "контрабанда HTTP-запросов" |
| BDU:2025-10363 | Уязвимость прокси-сервера Pingora, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-10615 | Уязвимость набора инструментов HTTP-сервера WEBrick, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнить атаку "контрабанда HTTP-запросов" |
| BDU:2025-10618 | Уязвимость модели разрешений программной платформы Node.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности и отправлять несанкционированные запросы |
| BDU:2025-10911 | Уязвимость функции read_headers() набора инструментов HTTP-сервера WEBrick, позволяющая нарушителю осуществлять атаки с подменой HTTP-запросов |
| BDU:2025-12593 | Уязвимость сетевого программного средства Netty, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю осуществлять атаки с подменой HTTP-запросов |
| BDU:2025-12844 | Уязвимость фреймворка создания веб-приложений JetBrains Ktor, связанная с непоследовательной интерпретацией HTTP-запросов, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2025-13247 | Уязвимость программной платформы ASP.NET Core, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-13430 | Уязвимость библиотеки для создания API-шлюзов Spring Cloud Gateway, связанная с недостатками формирования HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling) |
| BDU:2025-14415 | Уязвимость модуля eventlet.wsgi библиотеки Eventlet, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-14636 | Уязвимость библиотеки для разработки сетевых приложений на языке C++ libhv, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-15590 | Уязвимость HTTP-клиента aiohttp, связанная с непоследовательной интерпретацией HTTP-запросов, позволяющая нарушителю осуществлять атаки с подменой HTTP-запросов |
| BDU:2025-15593 | Уязвимость HTTP-акселератора Varnish Cache, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю осуществлять атаки с подменой HTTP-запросов |
| BDU:2025-16096 | Уязвимость кэш-сервера Varnish, связанная с недостатками обработки http-запросов, позволяющая нарушителю отправлять произвольные HTTP-запросы |
| BDU:2025-16399 | Уязвимость адаптера Express библиотеки маршрутизации React Router react-фреймворка Remix, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16414 | Уязвимость программной платформы создания веб-приложений Next.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16415 | Уязвимость маршрутизатора App Router программной платформы создания веб-приложений Next.js и интерфейса командной строки (CLI) платформы Vercel, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2026-00101 | Уязвимость библиотеки cpp-httplib, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить атаку "контрабанда HTTP-запросов" |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2016-15039 | mhuertos phpLDAPadmin ajax_functions.js makeHttpRequest request smuggling |
| CVE-2017-12158 | It was found that Keycloak would accept a HOST header URL in the admin console and use it to determine web resource locations... |
| CVE-2017-12165 | It was discovered that Undertow before 1.4.17, 1.3.31 and 2.0.0 processes http request headers with unusual whitespaces which... |
| CVE-2017-2666 | It was discovered in Undertow that the code that parsed the HTTP request line permitted invalid characters. This could be exp... |
| CVE-2017-7559 | In Undertow 2.x before 2.0.0.Alpha2, 1.4.x before 1.4.17.Final, and 1.3.x before 1.3.31.Final, it was found that the fix for... |
| CVE-2017-7656 | In Eclipse Jetty, versions 9.2.x and older, 9.3.x (all configurations), and 9.4.x (non-default configuration with RFC2616 com... |
| CVE-2017-7657 | In Eclipse Jetty, versions 9.2.x and older, 9.3.x (all configurations), and 9.4.x (non-default configuration with RFC2616 com... |
| CVE-2017-7658 | In Eclipse Jetty Server, versions 9.2.x and older, 9.3.x (all non HTTP/1.x configurations), and 9.4.x (all HTTP/1.x configura... |
| CVE-2019-15605 | HTTP request smuggling in Node.js 10, 12, and 13 causes malicious payload delivery when transfer-encoding is malformed |
| CVE-2019-16785 | HTTP Request Smuggling: LF vs CRLF handling in Waitress |
| CVE-2019-16786 | HTTP Request Smuggling: Invalid Transfer-Encoding in Waitress |
| CVE-2019-16789 | HTTP Request Smuggling in Waitress: Invalid whitespace characters in headers |
| CVE-2019-16792 | HTTP Request Smuggling: Content-Length Sent Twice in Waitress |
| CVE-2020-10687 | A flaw was discovered in all versions of Undertow before Undertow 2.2.0.Final, where HTTP request smuggling related to CVE-20... |
| CVE-2020-10719 | A flaw was found in Undertow in versions before 2.1.1.Final, regarding the processing of invalid HTTP requests with large chu... |
| CVE-2020-11076 | HTTP Smuggling via Transfer-Encoding Header in Puma |
| CVE-2020-11077 | HTTP Smuggling via Transfer-Encoding Header in Puma |
| CVE-2020-26281 | request smuggling in async-h1 |
| CVE-2020-5207 | Request smuggling is possible in Ktor when both chunked TE and content length specified |
| CVE-2020-5218 | Ability in Sylius to switch channels via GET parameter enabled in production environments |
| CVE-2020-5220 | Ability to expose data in Sylius by using an unintended serialisation group |
| CVE-2020-8201 | Node.js < 12.18.4 and < 14.11 can be exploited to perform HTTP desync attacks and deliver malicious payloads to unsuspecting... |
| CVE-2020-8287 | Node.js versions before 10.23.1, 12.20.1, 14.15.4, 15.5.1 allow two copies of a header field in an HTTP request (for example,... |
| CVE-2021-20220 | A flaw was found in Undertow. A regression in the fix for CVE-2020-10687 was found. HTTP request smuggling related to CVE-201... |
| CVE-2021-21295 | Possible request smuggling in HTTP/2 due missing validation |
| CVE-2021-21299 | Multiple Transfer-Encoding headers misinterprets request payload |
| CVE-2021-21409 | Possible request smuggling in HTTP/2 due missing validation of content-length |
| CVE-2021-22959 | The parser in accepts requests with a space (SP) right after the header name before the colon. This can lead to HTTP Request... |
| CVE-2021-22960 | The parse function in llhttp < 2.1.4 and < 6.0.6. ignores chunk extensions when parsing the body of chunked requests. This le... |
| CVE-2021-27577 | Incorrect handling of url fragment leads to cache poisoning |
| CVE-2021-32565 | HTTP Request Smuggling, content length with invalid charters |
| CVE-2021-32715 | Lenient Parsing of Content-Length Header When Prefixed with Plus Sign |
| CVE-2021-33037 | Incorrect Transfer-Encoding handling with HTTP/1.0 |
| CVE-2021-33683 | SAP Web Dispatcher and Internet Communication Manager (ICM), versions - KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21... |
| CVE-2021-34559 | A vulnerability in WirelessHART-Gateway <= 3.0.8 may allow remote attackers to rewrite links and URLs in cached pages to arbi... |
| CVE-2021-37147 | Request Smuggling - LF line ending |
| CVE-2021-38162 | SAP Web Dispatcher versions - 7.49, 7.53, 7.77, 7.81, KRNL64NUC - 7.22, 7.22EXT, 7.49, KRNL64UC -7.22, 7.22EXT, 7.49, 7.53, K... |
| CVE-2021-39214 | Lacking Protection against HTTP Request Smuggling in mitmproxy |
| CVE-2021-41136 | Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling') in puma |
| CVE-2021-41267 | Webcache Poisoning in Symfony |
| CVE-2021-43797 | HTTP fails to validate against control chars in header names which may lead to HTTP request smuggling |
| CVE-2022-0552 | A flaw was found in the original fix for the netty-codec-http CVE-2021-21409, where the OpenShift Logging openshift-logging/e... |
| CVE-2022-20713 | A vulnerability in the VPN web client services component of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepo... |
| CVE-2022-21826 | Pulse Secure version 9.115 and below may be susceptible to client-side http request smuggling, When the application receives... |
| CVE-2022-22532 | In SAP NetWeaver Application Server Java - versions KRNL64NUC 7.22, 7.22EXT, 7.49, KRNL64UC, 7.22, 7.22EXT, 7.49, 7.53, KERNE... |
| CVE-2022-22536 | SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server 7.53 and SAP... |
| CVE-2022-22720 | HTTP request smuggling vulnerability in Apache HTTP Server 2.4.52 and earlier |
| CVE-2022-2466 | It was found that Quarkus 2.10.x does not terminate HTTP requests header context which may lead to unpredictable behavior. |
| CVE-2022-24761 | HTTP Request Smuggling in waitress |
| CVE-2022-24766 | Insufficient Protection against HTTP Request Smuggling in mitmproxy |
| CVE-2022-24790 | HTTP Request Smuggling in puma |
| CVE-2022-24801 | HTTP Request Smuggling in twisted.web |
| CVE-2022-25763 | Improper input validation on HTTP/2 headers |
| CVE-2022-26377 | mod_proxy_ajp: Possible request smuggling |
| CVE-2022-31081 | Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling') in HTTP::Daemon |
| CVE-2022-31109 | HTTP Host Header Attack Vulnerability in laminas-diactoros |
| CVE-2022-32213 | The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not correctly parse and validate Trans... |
| CVE-2022-32214 | The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not strictly use the CRLF sequence to... |
| CVE-2022-32215 | The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not correctly handle multi-line Transf... |
| CVE-2022-35256 | The llhttp parser in the http module in Node v18.7.0 does not correctly handle header fields that are not terminated with CLR... |
| CVE-2022-36760 | Apache HTTP Server: mod_proxy_ajp Possible request smuggling |
| CVE-2022-38114 | Client-Side Desync Vulnerability |
| CVE-2022-39163 | IBM Cognos Controller HTTP response smuggling |
| CVE-2022-42252 | Apache Tomcat request smuggling via malformed content-length |
| CVE-2023-23691 | Dell EMC PV ME5, versions ME5.1.0.0.0 and ME5.1.0.1.0, contains a Client-side desync Vulnerability. An unauthenticated attac... |
| CVE-2023-25690 | Apache HTTP Server: HTTP request splitting with mod_rewrite and mod_proxy |
| CVE-2023-27522 | Apache HTTP Server: mod_proxy_uwsgi HTTP response splitting |
| CVE-2023-30910 | HPE MSA Controller prior to version IN210R004 could be remotely exploited to allow inconsistent interpretation of HTTP reques... |
| CVE-2023-33193 | Emby Server Proxy Header Spoofing Vulnerability |
| CVE-2023-33934 | Apache Traffic Server: Differential fuzzing for HTTP request parsing discrepancies |
| CVE-2023-33987 | Request smuggling and request concatenation in SAP Web Dispatcher |
| CVE-2023-37276 | aiohttp vulnerable to HTTP request smuggling |
| CVE-2023-38522 | Apache Traffic Server: Incomplete field name check allows request smuggling |
| CVE-2023-38697 | protocol-http1 HTTP Request/Response Smuggling vulnerability |
| CVE-2023-40175 | Inconsistent Interpretation of HTTP Requests in puma |
| CVE-2023-46121 | Generic Extractor MITM Vulnerability in yt-dlp |
| CVE-2023-46137 | twisted.web has disordered HTTP pipeline response |
| CVE-2023-4639 | Undertow: cookie smuggling/spoofing |
| CVE-2023-46589 | Apache Tomcat: HTTP request smuggling via malformed trailer headers |
| CVE-2023-46846 | Squid: request/response smuggling in http/1.1 and icap |
| CVE-2023-47627 | Request smuggling in aiohttp |
| CVE-2023-47641 | Inconsistent interpretation of `Content-Length` vs. `Transfer-Encoding` in aiohttp |
| CVE-2023-49584 | Client-Side Desynchronization vulnerability in SAP Fiori Launchpad |
| CVE-2023-51701 | @fastify-reply-from JSON Content-Type parsing confusion |
| CVE-2024-10264 | HTTP Request Smuggling in netease-youdao/qanything |
| CVE-2024-1135 | HTTP Request Smuggling in benoitc/gunicorn |
| CVE-2024-12397 | Io.quarkus.http/quarkus-http-core: quarkus http cookie smuggling |
| CVE-2024-21647 | HTTP Request/Response Smuggling in puma |
| CVE-2024-22279 | GoRouter Denial of Service Attack |
| CVE-2024-23316 | PingAccess HTTP Request Desynchronization Weakness |
| CVE-2024-23452 | Apache bRPC: HTTP request smuggling vulnerability |
| CVE-2024-23829 | aiohttp's HTTP parser (the python one, not llhttp) still overly lenient about separators |
| CVE-2024-27439 | Apache Wicket: Possible bypass of CSRF protection |
| CVE-2024-27922 | HTTP Handling Vulnerability in the Bare server |
| CVE-2024-32638 | Apache APISIX: Forward-Auth Request Smuggling |
| CVE-2024-34350 | Next.js Vulnerable to HTTP Request Smuggling |
| CVE-2024-35161 | Apache Traffic Server: Incomplete check for chunked trailer section allows request smuggling |
| CVE-2024-41110 | Moby authz zero length regression |
| CVE-2024-41671 | twisted.web has disordered HTTP pipeline response |
| CVE-2024-42342 | Loway - CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling') |
| CVE-2024-49768 | Waitress has request processing race condition in HTTP pipelining with invalid first request |
| CVE-2024-52304 | aiohttp vulnerable to request smuggling due to incorrect parsing of chunk extensions |
| CVE-2024-53008 | Inconsistent interpretation of HTTP requests ('HTTP Request/Response Smuggling') issue exists in HAProxy. If this vulnerabili... |
| CVE-2024-53868 | Apache Traffic Server: Malformed chunked message body allows request smuggling |
| CVE-2024-6827 | HTTP Request Smuggling in benoitc/gunicorn |
| CVE-2024-8912 | HTTP Request Smuggling in Looker |
| CVE-2024-9622 | Resteasy-netty4-cdi: resteasy-netty4: resteasy-reactor-netty: http request smuggling leading to client timeouts in resteasy-n... |
| CVE-2024-9666 | Org.keycloak/keycloak-quarkus-server: keycloak proxy header handling denial-of-service (dos) vulnerability |
| CVE-2025-0752 | Envoyproxy: openshift service mesh envoy http header sanitization bypass leading to dos and unauthorized access |
| CVE-2025-11915 | HTTP Desynchronisation in Vertex AI for certain third-party models |
| CVE-2025-12642 | HTTP Header Smuggling via Trailer Merge |
| CVE-2025-1867 | HTTP Response Smuggling Vulnerability in libhv |
| CVE-2025-30346 | Varnish Cache before 7.6.2 and Varnish Enterprise before 6.0.13r10 allow client-side desync via HTTP/1 requests. |
| CVE-2025-31137 | Remix and React Router allow URL manipulation via Host / X-Forwarded-Host headers |
| CVE-2025-32094 | An issue was discovered in Akamai Ghost, as used for the Akamai CDN platform before 2025-03-26. Under certain circumstances,... |
| CVE-2025-4366 | Request Smuggling Vulnerability in Pingora |
| CVE-2025-43859 | h11 accepts some malformed Chunked-Encoding bodies |
| CVE-2025-4600 | HTTP Request Smuggling in Google Cloud Classic Application Load Balancer due to Improper Chunked Encoding Validation |
| CVE-2025-47905 | Varnish Cache before 7.6.3 and 7.7 before 7.7.1, and Varnish Enterprise before 6.0.13r14, allow client-side desync via HTTP/1... |
| CVE-2025-49005 | Next.js cache poisoning due to omission of Vary header |
| CVE-2025-49826 | Next.js DoS vulnerability via cache poisoning |
| CVE-2025-52892 | EspoCRM is vulnerable to access denial through double slash in URI corrupting router cache |
| CVE-2025-53643 | AIOHTTP is vulnerable to HTTP Request/Response Smuggling through incorrect parsing of chunked trailer sections |
| CVE-2025-54142 | Akamai Ghost before 2025-07-21 allows HTTP Request Smuggling via an OPTIONS request that has an entity body, because there ca... |
| CVE-2025-55315 | ASP.NET Security Feature Bypass Vulnerability |
| CVE-2025-58056 | Netty is vulnerable to request smuggling due to incorrect parsing of chunk extensions |
| CVE-2025-58068 | Eventlet affected by HTTP request smuggling in unparsed trailers |
| CVE-2025-59822 | Http4s vulnerable to HTTP Request Smuggling due to improper handling of HTTP trailer section |
| CVE-2025-6442 | Ruby WEBrick read_header HTTP Request Smuggling Vulnerability |
| CVE-2025-69224 | AIOHTTP's Unicode processing of header values could cause parsing discrepancies |
| CVE-2025-69225 | AIOHTTP Regex Mismatch Allows Unicode in ASCII-Only Protocol Fields |
| CVE-2025-6999 | WatchGuard Firebox Authentication Portal Request Smuggling Vulnerability |
| CVE-2026-1002 | Eclipse Vert.x Web static handler file access denial |
| CVE-2026-23527 | Request Smuggling (TE.TE) in h3 v1 |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230426-9 | 26.04.2023 | Получение конфиденциальной информации в Oracle Linux |
| VULN:20231201-8 | 01.12.2023 | Повышение привилегий в Qlik Sense Enterprise for Windows |
| VULN:20231229-10 | 29.12.2023 | Межсайтовый скриптинг в Juniper Secure Analytics (JSA) |
| VULN:20240119-31 | 19.01.2024 | Чтение локальных файлов в Oracle Communications Policy Management |
| VULN:20240617-34 | 17.06.2024 | Потеря целостности в NetWorker |
| VULN:20240805-6 | 05.08.2024 | Межсайтовый скриптинг в Twisted Web |
| VULN:20250425-5 | 25.04.2025 | Межсайтовый скриптинг в Gunicorn |
| VULN:20250618-30 | 18.06.2025 | Выполнение произвольного кода в Dell Storage Resource Manager (SRM) and Dell Storage Monitoring and Reporting (SMR) |
| VULN:20251009-16 | 09.10.2025 | Выполнение произвольного кода в Multicluster Engine for Kubernetes 2.8 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.