Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-457
Use of Uninitialized Variable
The code uses a variable that has not been initialized, leading to unpredictable or unintended results.
| Тип уязвимости: | Не зависит от других уязвимостей |
| Вероятность эксплойта: |
High
|
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-01166 | Уязвимость обработчика Office Open XML текстового процессора Atlantis Word Processor, позволяющая нарушителю выполнить произвольный код |
| BDU:2018-01169 | Уязвимость обработчика RTF текстового процессора Atlantis Word Processor, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-05504 | Уязвимость модуля SSL/TLS микропрограммного обеспечения межсетевого экрана Cisco Adaptive Security Appliance, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03106 | Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с использованием неинициализированной переменной, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-03580 | Уязвимость функции sscanf() библиотеки libcurl программного средства для взаимодействия с серверами CURL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-02301 | Уязвимость функции psf_binheader_readf() библиотеки для чтения и записи аудиофайлов libsndfile, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-04429 | Уязвимость браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с ошибками при инициализации переменных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-04697 | Уязвимость функции TestEmail IP микропрограммного обеспечения камеры Reolink RLC-410W, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2022-04913 | Уязвимость функции memcpy() пакета программ сетевого взаимодействия Samba, позволяющая нарушителю оказать влияние на конфиденциальность защищаемой информации или вызвать отказ в обслуживании |
| BDU:2022-05921 | Уязвимость функции spell_iswordp() компонента spell.c текстового редактора Vim, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2023-00622 | Уязвимость функции pp_select () интерпретатора Perl, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-00667 | Уязвимость функции nft_osf_eval() ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-01052 | Уязвимость микропрограммного обеспечения BIOS ноутбуков Dell, связанная с использованием неинициализированного ресурса, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-01274 | Уязвимость функции cifs_put_tcp_session() (fs/cifs/connect.c) подсистемы SMB ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01278 | Уязвимость функции parse_lease_state() (fs/ksmbd/oplock.c) подсистемы SMB ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01726 | Уязвимость функции kvm_vcpu_ioctl_x86_get_debugregs() (arch/x86/kvm/x86.c) подсистемы виртуализации KVM ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2023-08370 | Уязвимость пакета офисных программ WPS Office, связанная с использованием неинициализированного ресурса, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-09059 | Уязвимость режима инкогнито браузеров Mozilla Firefox, Firefox ESR, связанная с использованием неинициализированных переменных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-02609 | Уязвимость функций LoadIndexFile() и DownloadIndexFile() пакета repo и функции LoadDir() пакета plugin пакетного менеджера для Kubernetes Helm, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03538 | Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-03651 | Уязвимость функции __ip6_tnl_rcv() в модуле net/ipv6/ip6_tunnel.c реализации протокола IPv6 ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании |
| BDU:2024-03652 | Уязвимость функции ip6_tnl_parse_tlv_enc_lim() в модуле net/ipv6/ip6_tunnel.c реализации протокола IPv6 ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2024-03659 | Уязвимость функции llc_conn_handler() в модуле net/llc/llc_conn.c реализации протокола LLC ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-05594 | Уязвимость прораммного пакета для интеграции облачных услуг и функций связи в устройствах IoT Kalay SDK микропрограммного обеспечения камер видеонаблюдения Owlet Cam v1, Owlet Cam v2, Wyze Cam v3 и Roku Indoor Camera SE, связанная с использованием не... |
| BDU:2024-06132 | Уязвимость компонента Dawn браузеров Google Chrome и Microsoft Edge операционных систем Android, позволяющая нарушителю обойти защитный механизм песочницы и выполнить произвольный код |
| BDU:2024-06732 | Уязвимость функции gtp_dev_xmit() модуля drivers/net/gtp.c ядра операционных систем Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2024-07137 | Уязвимость функции H5A__attr_release_table() в файле H5Aint.c библиотеки HDF5, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2024-07515 | Уязвимость программы просмотра и редактирования PDF документов PDF-XChange, связанная с использованием неинициализированных переменных, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07567 | Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-08404 | Уязвимость компонента asix ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-08415 | Уязвимость компонента rawmidi ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-09252 | Уязвимость библиотеки stp_aim_x64_vc15d.dll программного обеспечения для моделирования, проектирования и черчения AutoCAD, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-09364 | Уязвимость библиотеки Windows DWM операционных систем Windows, связанная с разыменованием недоверенного указателя, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-09568 | Уязвимость библиотеки ASMkern229A.dll программного обеспечения для моделирования, проектирования и черчения AutoCAD, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-11086 | Уязвимость утилиты персонализации смарт-карт pkcs15-init и библиотеки libopensc набора программных инструментов и библиотек для работы со смарт-картами OpenSC, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой... |
| BDU:2024-11091 | Уязвимость утилиты персонализации смарт-карт pkcs15-init набора программных инструментов и библиотек для работы со смарт-картами OpenSC, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2024-11092 | Уязвимость утилиты персонализации смарт-карт pkcs15-init и библиотеки libopensc набора программных инструментов и библиотек для работы со смарт-картами OpenSC, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступност... |
| BDU:2024-11093 | Уязвимость утилиты персонализации смарт-карт pkcs15-init и библиотеки libopensc набора программных инструментов и библиотек для работы со смарт-картами OpenSC, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступност... |
| BDU:2024-11292 | Уязвимость функции gst_matroska_demux_add_wvpk_header мультимедийного фреймворка Gstreamer, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2025-02616 | Уязвимость программного обеспечения параметрического автоматизированного проектирования и 3D-моделирования Cobalt Ashlar-Vellum, связанная с использованием неинициализированной переменной, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-02992 | Уязвимость функции nfsd_net_init() модуля fs/nfsd/nfsctl.c сетевой файловой системы NFS ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03017 | Уязвимость функции vfio_pci_ioctl_get_pci_hot_reset_info() модуля drivers/vfio/pci/vfio_pci_core.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03762 | Уязвимость функции nfsd4_encode_fattr4() сетевой файловой системы NFS ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03774 | Уязвимость программного обеспечения для моделирования, проектирования и черчения AutoCAD, связанная с ошибками при инициализации переменных, позволяющая нарушителю вызвать отказ в обслуживании, получить несанкционированный доступ к защищаемой информа... |
| BDU:2025-03781 | Уязвимость программного обеспечения для моделирования, проектирования и черчения AutoCAD, связанная с ошибками при инициализации переменных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03784 | Уязвимость программного обеспечения для моделирования, проектирования и черчения AutoCAD, связанная с ошибками при инициализации переменных, позволяющая нарушителю вызвать отказ в обслуживании, получить несанкционированный доступ к защищаемой информа... |
| BDU:2025-03878 | Уязвимость VPN-сервера Cisco AnyConnect сетевых устройств Cisco Meraki MX и Cisco Meraki Z Series Teleworker Gateway, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03957 | Уязвимость функции bfd_mach_o_get_synthetic_symtab() компонента bfd/mach-o.c программного средства разработки GNU Binutils, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-04779 | Уязвимость программного обеспечения для дискретного моделирования событий и автоматизации Rockwell Automation Arena, связанная с ошибками при инициализации переменных, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-04780 | Уязвимость программного обеспечения для дискретного моделирования событий и автоматизации Rockwell Automation Arena, связанная с ошибками при инициализации переменных, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-04782 | Уязвимость программного обеспечения для дискретного моделирования событий и автоматизации Rockwell Automation Arena, связанная с ошибками при инициализации переменных, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-06087 | Уязвимость службы dcpd микропрограммного обеспечения промышленных коммутаторов Siemens Scalance LPE9403, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-07132 | Уязвимость функции gsf_base64_encode_simple библиотеки структурированных файлов The GNOME Project libgsf, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-07148 | Уязвимость VPN-сервера Cisco AnyConnect микропрограммного обеспечения сетевых устройств Cisco Meraki MX и Cisco Meraki Z серии Teleworker Gateway, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-07642 | Уязвимость функции privatekey_from_file() библиотеки libssh, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании |
| BDU:2025-08037 | Уязвимость компонента xe_pat.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08073 | Уязвимость компонентов hclge_main.c, hclgevf_main.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08074 | Уязвимость компонента gpiolib-cdev.c ядра операционной системы Linux, позволяющая нарушителю а также вызвать отказ в обслуживании |
| BDU:2025-08555 | Уязвимость компонента Epic Platform Analyzer (EPA) микропрограммного обеспечения программируемых логических контроллеров Honeywell Experion PKS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-10792 | Уязвимость функции vmci_transport_packet() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12518 | Уязвимость модуля struct программного средства разработки GNU Binutils, связанная с ошибками при инициализации переменных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-13203 | Уязвимость функции opj_jp2_read_header библиотеки для кодирования и декодирования изображений OpenJPEG, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-13639 | Уязвимость функции open_by_handle_at() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14236 | Уязвимость функции idletimer_tg_create() модуля net/netfilter/xt_IDLETIMER.c компонента netfilter ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15172 | Уязвимость компонента pptp ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2026-00747 | Уязвимость функции ocfs2_find_victim_chain() компонента fs/ocfs2/suballoc.c поддержки файловой системы OCFS2 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-01200 | Уязвимость функции __ip6_make_skb() модуля net/ipv6/ip6_output.c реализации протокола IPv6 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-01306 | Уязвимость функций hfs_find_init() и hfs_brec_find() модуля fs/hfsplus/bfind.c поддержки расширенной файловой системы Apple HFS ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступнос... |
| BDU:2026-01368 | Уязвимость функции setup_arch() модуля arch/nios2/kernel/setup.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-01877 | Уязвимость модуля Trust Domain Extensions (TDX) микропрограммного обеспечения процессоров Intel, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-02407 | Уязвимость функции __unix_walk_scc() модуля net/unix/garbage.c реализации сетевых функций ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2019-1010317 | WavPack 5.1.0 and earlier is affected by: CWE-457: Use of Uninitialized Variable. The impact is: Unexpected control flow, cra... |
| CVE-2019-1010319 | WavPack 5.1.0 and earlier is affected by: CWE-457: Use of Uninitialized Variable. The impact is: Unexpected control flow, cra... |
| CVE-2019-11038 | Uninitialized read in gdImageCreateFromXbm |
| CVE-2020-27124 | Cisco Adaptive Security Appliance Software SSL/TLS Denial of Service Vulnerability |
| CVE-2021-21966 | An information disclosure vulnerability exists in the HTTP Server /ping.html functionality of Texas Instruments CC3200 Simple... |
| CVE-2021-31435 | This vulnerability allows remote attackers to execute arbitrary code on affected installations of Foxit Studio Photo 3.6.6.93... |
| CVE-2021-34951 | Foxit PDF Reader Annotation Use of Uninitialized Variable Information Disclosure Vulnerability |
| CVE-2021-34953 | Foxit PDF Reader Annotation Use of Uninitialized Variable Remote Code Execution Vulnerability |
| CVE-2021-3928 | Use of Uninitialized Variable in vim/vim |
| CVE-2021-40418 | When parsing a file that is submitted to the DPDecoder service as a job, the R3D SDK will mistakenly skip over the assignment... |
| CVE-2021-41253 | Possible heap buffer overflow when using zycore string functions in formatter hooks |
| CVE-2021-44003 | A vulnerability has been identified in JT2Go (All versions < V13.2.0.5), Teamcenter Visualization (All versions < V13.2.0.5).... |
| CVE-2021-46566 | This vulnerability allows remote attackers to execute arbitrary code on affected installations of Bentley MicroStation CONNEC... |
| CVE-2021-46570 | This vulnerability allows remote attackers to disclose sensitive information on affected installations of Bentley View 10.16.... |
| CVE-2021-46617 | This vulnerability allows remote attackers to execute arbitrary code on affected installations of Bentley MicroStation CONNEC... |
| CVE-2021-46631 | This vulnerability allows remote attackers to execute arbitrary code on affected installations of Bentley View 10.15.0.75. Us... |
| CVE-2022-21217 | An out-of-bounds write vulnerability exists in the device TestEmail functionality of reolink RLC-410W v3.0.0.136_20121102. A... |
| CVE-2022-2308 | A flaw was found in vDPA with VDUSE backend. There are currently no checks in VDUSE kernel driver to ensure the size of the d... |
| CVE-2022-25737 | Use of Uninitialized Variable in MODEM |
| CVE-2022-28317 | This vulnerability allows remote attackers to execute arbitrary code on affected installations of Bentley MicroStation CONNEC... |
| CVE-2022-28319 | This vulnerability allows remote attackers to execute arbitrary code on affected installations of Bentley MicroStation CONNEC... |
| CVE-2022-28320 | This vulnerability allows remote attackers to execute arbitrary code on affected installations of Bentley View 10.16.02.022.... |
| CVE-2022-33716 | An absence of variable initialization in ICCC TA prior to SMR Aug-2022 Release 1 allows local attacker to read uninitialized... |
| CVE-2022-34390 | Dell BIOS contains a use of uninitialized variable vulnerability. A local authenticated malicious user may potentially exploi... |
| CVE-2022-34655 | TMM vulnerability CVE-2022-34655 |
| CVE-2022-40510 | Buffer copy without checking size of input in Audio. |
| CVE-2022-42432 | This vulnerability allows local attackers to disclose sensitive information on affected installations of the Linux Kernel 6.0... |
| CVE-2023-25585 | Field `file_table` of `struct module *module` is uninitialized |
| CVE-2023-25586 | Local variable `ch_type` in function `bfd_init_section_decompress_status` can be uninitialized |
| CVE-2023-25588 | Field `the_bfd` of `asymbol` is uninitialized in function `bfd_mach_o_get_synthetic_symtab` |
| CVE-2023-31192 | An information disclosure vulnerability exists in the ClientConnect() functionality of SoftEther VPN 5.01.9674. A specially c... |
| CVE-2023-31275 | An uninitialized pointer use vulnerability exists in the functionality of WPS Office 11.2.0.11537 that handles Data elements... |
| CVE-2023-31326 | Use of an uninitialized variable in the ASP could allow an attacker to access leftover data from a trusted execution environm... |
| CVE-2023-34310 | Ashlar-Vellum Cobalt Uninitialized Memory Remote Code Execution Vulnerability |
| CVE-2023-38088 | Kofax Power PDF printf Uninitialized Variable Remote Code Execution Vulnerability |
| CVE-2023-39484 | PDF-XChange Editor PDF File Parsing Uninitialized Variable Information Disclosure Vulnerability |
| CVE-2023-42046 | PDF-XChange Editor J2K File Parsing Uninitialized Variable Information Disclosure Vulnerability |
| CVE-2023-42048 | PDF-XChange Editor J2K File Parsing Uninitialized Variable Information Disclosure Vulnerability |
| CVE-2023-42056 | PDF-XChange Editor U3D File Parsing Uninitialized Variable Information Disclosure Vulnerability |
| CVE-2023-42062 | PDF-XChange Editor U3D File Parsing Uninitialized Variable Remote Code Execution Vulnerability |
| CVE-2023-42079 | PDF-XChange Editor J2K File Parsing Uninitialized Variable Information Disclosure Vulnerability |
| CVE-2023-50188 | Trimble SketchUp Viewer SKP File Parsing Uninitialized Variable Remote Code Execution Vulnerability |
| CVE-2023-6324 | ThroughTek Kalay SDK error in handling the PSK identity |
| CVE-2024-10204 | Heap-based Buffer Overflow and Uninitialized Variable vulnerabilities exist in eDrawings from Release SOLIDWORKS 2024 through... |
| CVE-2024-10934 | OpenBSD NFS double-free vulnerability |
| CVE-2024-1847 | Multiple vulnerabilities exist in file reading procedure in eDrawings from Release SOLIDWORKS 2023 through Release SOLIDWORKS... |
| CVE-2024-1848 | Multiple vulnerabilities exist in file reading procedure in SOLIDWORKS Desktop on Release SOLIDWORKS 2024 |
| CVE-2024-23137 | Multiple Vulnerabilities in the Autodesk AutoCAD Desktop Software |
| CVE-2024-23159 | Multiple ZDI Vulnerabilities in Autodesk AutoCAD and certain AutoCAD-based products |
| CVE-2024-26147 | Helm's Missing YAML Content Leads To Panic |
| CVE-2024-29838 | Unsanitised variable on DAL_ADD in Evolution Controller causes application level denial of service and crash |
| CVE-2024-31874 | IBM Security Verify Access Appliance denial of service |
| CVE-2024-32625 | Uninitialized scalar field |
| CVE-2024-33021 | Use of Uninitialized Variable in Automotive GPU |
| CVE-2024-37002 | Multiple Vulnerabilities in the Autodesk AutoCAD Desktop Software |
| CVE-2024-45615 | Libopensc: pkcs15init: usage of uninitialized values in libopensc and pkcs15init |
| CVE-2024-45616 | Libopensc: uninitialized values after incorrect check or usage of apdu response values in libopensc |
| CVE-2024-45617 | Libopensc: uninitialized values after incorrect or missing checking return values of functions in libopensc |
| CVE-2024-45618 | Libopensc: uninitialized values after incorrect or missing checking return values of functions in pkcs15init |
| CVE-2024-47540 | GHSL-2024-197: GStreamer uses uninitialized stack memory in Matroska/WebM demuxer |
| CVE-2024-47966 | Use of Uninitialized Variable vulnerability in Delta Electronics CNCSoft-G2 |
| CVE-2024-56446 | Vulnerability of variables not being initialized in the notification module Impact: Successful exploitation of this vulnerabi... |
| CVE-2024-7540 | oFono AT CMGL Command Uninitialized Variable Information Disclosure Vulnerability |
| CVE-2024-7541 | oFono AT CMT Command Uninitialized Variable Information Disclosure Vulnerability |
| CVE-2024-7542 | oFono AT CMGR Command Uninitialized Variable Information Disclosure Vulnerability |
| CVE-2024-7868 | Uninitialized variable in Xpdf 4.05 due to invalid JPEG header |
| CVE-2024-8842 | PDF-XChange Editor RTF File Parsing Uninitialized Variable Remote Code Execution Vulnerability |
| CVE-2024-9355 | Golang-fips: golang fips zeroed buffer |
| CVE-2024-9717 | Trimble SketchUp Viewer SKP File Parsing Uninitialized Variable Remote Code Execution Vulnerability |
| CVE-2025-1427 | CATPRODUCT File Parsing Uninitialized Variable Vulnerability |
| CVE-2025-1649 | CATPRODUCT File Parsing Uninitialized Variable Vulnerability |
| CVE-2025-1650 | CATPRODUCT File Parsing Uninitialized Variable Vulnerability |
| CVE-2025-2014 | Ashlar-Vellum Cobalt VS File Parsing Use of Uninitialized Variable Remote Code Execution Vulnerability |
| CVE-2025-20212 | A vulnerability in the Cisco AnyConnect VPN server of Cisco Meraki MX and Cisco Meraki Z Series devices could allow an authen... |
| CVE-2025-2024 | Trimble SketchUp SKP File Parsing Uninitialized Variable Remote Code Execution Vulnerability |
| CVE-2025-20271 | Cisco Meraki MX and Z Series AnyConnect VPN with Client Certificate Authentication Denial of Service Vulnerability |
| CVE-2025-20638 | In DA, there is a possible read of uninitialized heap data due to uninitialized data. This could lead to local information di... |
| CVE-2025-2285 | Local Code Execution Vulnerability in Arena® |
| CVE-2025-2286 | Local Code Execution Vulnerability in Arena® |
| CVE-2025-2287 | Local Code Execution Vulnerability in Arena® |
| CVE-2025-2520 | Dereferencing of an uninitialized pointer leads to denial of service. |
| CVE-2025-26383 | The iSTAR Configuration Utility (ICU) tool leaks memory, which could result in the unintended exposure of unauthorized data f... |
| CVE-2025-40575 | A vulnerability has been identified in SCALANCE LPE9403 (6GK5998-3GS00-2AC2) (All versions < V4.0 HF0). Affected devices do n... |
| CVE-2025-5047 | DGN File Parsing Uninitialized Variable Vulnerability |
| CVE-2025-53644 | OpenCV contains a use after free buffer write due to an uninitialized pointer |
| CVE-2025-54874 | OpenJPEG allows OOB heap memory write in opj_jp2_read_header |
| CVE-2025-5749 | WOLFBOX Level 2 EV Charger BLE Encryption Keys Uninitialized Variable Authentication Bypass Vulnerability |
| CVE-2025-58071 | BIG-IP IPSec vulnerability |
| CVE-2025-59348 | Dragonfly incorrectly handles a task structure’s usedTraffic field |
| CVE-2025-64181 | OpenEXR Makes Use of Uninitialized Memory |
| CVE-2025-6974 | Use of Uninitialized Variable vulnerability exists in the JT file reading procedure in SOLIDWORKS eDrawings on Release SOLIDW... |
| CVE-2025-7978 | Ashlar-Vellum Graphite VC6 File Parsing Uninitialized Variable Remote Code Execution Vulnerability |
| CVE-2025-7981 | Ashlar-Vellum Graphite VC6 File Parsing Uninitialized Variable Remote Code Execution Vulnerability |
| CVE-2025-7984 | Ashlar-Vellum Cobalt AR File Parsing Uninitialized Variable Remote Code Execution Vulnerability |
| CVE-2025-9450 | Use of Uninitialized Variable vulnerability affecting the JT file reading procedure in SOLIDWORKS eDrawings on Release SOLIDW... |
| CVE-2026-1333 | Use of Uninitialized Variable vulnerability affecting the EPRT file reading procedure in SOLIDWORKS eDrawings from Release SO... |
| CVE-2026-20051 | Cisco Nexus 3600-R and 9500-R Series Switching Platforms Layer 2 Loop Denial of Service Vulnerability |
| CVE-2026-21690 | iccDEV has Type Confusion in CIccTagXmlTagData::ToXml() |
| CVE-2026-22188 | Panda3D <= 1.10.16 Deploy-Stub Stack Exhaustion via Unbounded alloca() |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20231129-9 | 29.11.2023 | Выполнение произвольного кода в WPS Office |
| VULN:20240626-28 | 26.06.2024 | Выполнение произвольного кода в Autodesk AutoCAD |
| VULN:20240923-13 | 23.09.2024 | Выполнение произвольного кода в PDF-XChange Editor, PDF-Tools and PDF-XChange PRO |
| VULN:20241021-17 | 21.10.2024 | Выполнение произвольного кода в Delta Electronics CNCSoft-G2 |
| VULN:20250117-135 | 17.01.2025 | Получение конфиденциальной информации в Rsync |
| VULN:20250210-32 | 10.02.2025 | Получение конфиденциальной информации в Ansible Automation Platform 2.4 packages |
| VULN:20250317-78 | 17.03.2025 | Выполнение произвольного кода в Trimble SketchUp |
| VULN:20250326-34 | 26.03.2025 | Выполнение произвольного кода в Autodesk AutoCAD and AutoCAD-based products |
| VULN:20250326-35 | 26.03.2025 | Выполнение произвольного кода в Autodesk AutoCAD and AutoCAD-based products |
| VULN:20250326-36 | 26.03.2025 | Выполнение произвольного кода в Autodesk AutoCAD and AutoCAD-based products |
| VULN:20250416-35 | 16.04.2025 | Выполнение произвольного кода в Rockwell Automation Arena |
| VULN:20250416-36 | 16.04.2025 | Выполнение произвольного кода в Rockwell Automation Arena |
| VULN:20250416-37 | 16.04.2025 | Выполнение произвольного кода в Rockwell Automation Arena |
| VULN:20250602-61 | 02.06.2025 | Получение конфиденциальной информации в Dell Secure Connect Gateway |
| VULN:20250707-4 | 07.07.2025 | Отказ в обслуживании в Cisco Meraki MX and Z Series AnyConnect VPN |
| VULN:20250730-29 | 30.07.2025 | Отказ в обслуживании в Honeywell Experion PKS |
| VULN:20250929-18 | 29.09.2025 | Выполнение произвольного кода в Dassault Systmes eDrawings |
| VULN:20251001-18 | 01.10.2025 | Выполнение произвольного кода в Dassault Systmes eDrawings |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.