Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-489
Active Debug Code
The product is released with debugging code still enabled or active.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2020-03796 | Уязвимость компонента Information Manager распределенной системы управления ABB System 800xA, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-01590 | Уязвимость операционных систем Cisco IOS XE, существующая из-за неправильной проверки аргументов функции, передаваемых в сценарий загрузки, позволяющая нарушителю выполнить произвольный код в базовой операционной системе Linux уязвимого устройства |
| BDU:2021-01884 | Уязвимость компонента dragonite операционных систем Cisco IOS XE и Cisco IOS, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2021-01885 | Уязвимость операционных систем Cisco IOS XE, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2022-02500 | Уязвимость операционной системы StarOS, существующая из-за неправильного включения режима отладки для определенных служб, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-03199 | Уязвимость загрузчика операционной системы Cisco IOS микропрограммного обеспечения коммутаторов Cisco Catalyst Digital Building, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-04372 | Уязвимость реализации команды Art2 командной оболочки CLISH (Command Line Interface SHell) микропрограммного обеспечения VPN-маршрутизаторов Robustel R1510, позволяющая нарушителю выполнить произвольные команды |
| BDU:2022-04548 | Уязвимость загрузчика операционных систем Cisco IOS, связанная с недостатками механизмов безопасности, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-06157 | Уязвимость программного комплекса Valmet System 2019 (Metso DNA), связанная с отсутствием аутентификации для критичной функции, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-00473 | Уязвимость консоли микропрограммного обеспечения маршрутизаторов InHand Networks InRouter302, связанная с недостатками механизмов безопасности, позволяющая нарушителю выполнить произвольный код или выполнить произвольные команды |
| BDU:2023-00542 | Уязвимость реализации протокола Factory Interface Network Service (FINS) микропрограммного обеспечения программируемых логических контроллеров OMRON CP1L-EL20DR-D, позволяющая нарушителю получить доступ на чтение, изменение или удаление файлов, выпол... |
| BDU:2023-00671 | Уязвимость микропрограммного обеспечения промышленных роботов Mitsubishi MELFA серии SD/SQ и F, связанная с недостаточной защитой служебных данных при реализации кода отладки, позволяющая нарушителю обойти ограничения безопасности и получить несанкци... |
| BDU:2023-00850 | Уязвимость программных платформ Microsoft .NET Framework и .NET, связанная с недостаточной защитой служебных данных при реализации кода отладки, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-02735 | Уязвимость модуля связи для контроллера безопасности Mitsubishi Electric WS0-GETH00200, связанная с отсутствием аутентификации, позволяющая нарушителю повысить свои привилегии и получит доступ к устройству |
| BDU:2023-03326 | Уязвимость программного обеспечения IBM TXSeries for Multiplatforms, сервера приложений IBM CICS TX Standard, IBM CICS TX Advanced, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации |
| BDU:2023-06966 | Уязвимость компонента httpd (debug credentials) микропрограммного обеспечения промышленных Wi-FI маршрутизаторов Yifan YF325, связанная с недостатками механизмов безопасности, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2023-08079 | Уязвимость микропрограммного обеспечения панелей управления Quantum HD Unity Compressor, Quantum HD Unity AcuAir, Quantum HD Unity, Quantum HD Unity Engine Room, Quantum HD Unity Interface, позволяющая нарушителю выполнять произвольные команды |
| BDU:2024-03464 | Уязвимость системы мониторинга и управления источниками бесперебойного питания PowerPanel Business, связанная с недостаточной защитой служебных данных при реализации кода отладки, позволяющая нарушителю получить несанкционированный доступ к учетным д... |
| BDU:2024-05696 | Уязвимость функцию файла /tmp/out компонента Tesseract набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05900 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров AutomationDirect P3-550E, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2025-00731 | Уязвимость веб-интерфейса микропрограммного обеспечения WI-FI маршрутизаторов Sharp, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды |
| BDU:2025-01310 | Уязвимость веб-сервера микропрограммного обеспечения маршрутизаторов Four-Faith F3x36, связанная с отсутствием проверки подлинности для критически важной функции, позволяющая нарушителю изменять конфигурацию устройства |
| BDU:2025-04730 | Уязвимость микропрограммного обеспечения маршрутизаторов Four-Faith F3x36, связанная с использованием жестко закодированных учетных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06279 | Уязвимость средства межсетевого экранирования SolidWall WAF, связанная с недостатками механизмов безопасности, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-11386 | Уязвимость микропрограммного обеспечения встраиваемых плат Qualcomm, связанная с регистрацией отладочных сообщений eSE во время сбора журнала, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11411 | Уязвимость аппаратного устройства для управления электрическими цепями ABB Switch Actuator 4 DU-83330, связанная с недостаточной защитой служебных данных при реализации кода отладки, позволяющая нарушителю обойти аутентификацию |
| BDU:2025-14870 | Уязвимость средств защиты Fortinet FortiClientWindows, связанная с недостаточной защитой служебных данных при реализации кода отладки, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15896 | Уязвимость программной интеграционной платформы SAP NetWeaver Enterprise Portal (SAP NW EP), связанная с недостаточной защитой служебных данных при реализации кода отладки, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2026-00193 | Уязвимость устройств релейной защиты SIPROTEC, связанная с недостаточной защитой служебных данных при реализации кода отладки, позволяющая нарушителю выполнить произвольный код |
| BDU:2026-00359 | Уязвимость UART-интерфейса микропрограммного обеспечения промышленных серверов NPort 5000 Series, позволяющая нарушителю получить несанкционированный доступ к внутренним функциям отладки |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2017-5259 | In versions 4.3.2-R4 and prior of Cambium Networks cnPilot firmware, an undocumented, root-privilege administration web shell... |
| CVE-2018-5454 | Philips IntelliSpace Portal all versions of 8.0.x, and 7.0.x have a vulnerability where code debugging methods are enabled, w... |
| CVE-2019-10939 | A vulnerability has been identified in TIM 3V-IE (incl. SIPLUS NET variants) (All versions < V2.8), TIM 3V-IE Advanced (incl.... |
| CVE-2020-25156 | B. Braun SpaceCom, Battery Pack SP with Wi-Fi, and Data module compactplus |
| CVE-2020-5756 | Grandstream GWN7000 firmware version 1.0.9.4 and below allows authenticated remote users to modify the system's crontab via u... |
| CVE-2020-5763 | Grandstream HT800 series firmware version 1.0.17.5 and below contain a backdoor in the SSH service. An authenticated remote a... |
| CVE-2020-8320 | An internal shell was included in BIOS image in some ThinkPad models that could allow escalation of privilege. |
| CVE-2020-8477 | ABB System 800xA Information Manager Remote Code Execution |
| CVE-2021-1381 | Cisco IOS XE Software Active Debug Code Vulnerability |
| CVE-2021-1391 | Cisco IOS and IOS XE Software Privilege Escalation Vulnerability |
| CVE-2021-1398 | Cisco IOS XE Software Arbitrary Code Execution Vulnerability |
| CVE-2021-23861 | Possible Access to Debug Functions in Bosch VRM / BVMS |
| CVE-2021-33591 | An exposed remote debugging port in Naver Comic Viewer prior to 1.0.15.0 allowed a remote attacker to execute arbitrary code... |
| CVE-2021-3971 | A potential vulnerability by a driver used during older manufacturing processes on some consumer Lenovo Notebook devices that... |
| CVE-2021-3972 | A potential vulnerability by a driver used during manufacturing process on some consumer Lenovo Notebook devices' BIOS that w... |
| CVE-2021-40419 | A firmware update vulnerability exists in the 'factory' binary of reolink RLC-410W v3.0.0.136_20121102. A specially-crafted s... |
| CVE-2022-20649 | Cisco Redundancy Configuration Manager Debug Remote Code Execution Vulnerability |
| CVE-2022-25995 | A command execution vulnerability exists in the console inhand functionality of InHand Networks InRouter302 V3.5.4. A special... |
| CVE-2022-26023 | A leftover debug code vulnerability exists in the console verify functionality of InHand Networks InRouter302 V3.5.45. A spec... |
| CVE-2022-27597 | QTS, QuTS hero, QuTScloud, QVP (QVR Pro appliances) |
| CVE-2022-28689 | A leftover debug code vulnerability exists in the console support functionality of InHand Networks InRouter302 V3.5.45. A spe... |
| CVE-2022-29481 | A leftover debug code vulnerability exists in the console nvram functionality of InHand Networks InRouter302 V3.5.45. A speci... |
| CVE-2022-29520 | An OS command injection vulnerability exists in the console_main_loop :sys functionality of Abode Systems, Inc. iota All-In-O... |
| CVE-2022-29888 | A leftover debug code vulnerability exists in the httpd port 4444 upload.cgi functionality of InHand Networks InRouter302 V3.... |
| CVE-2022-30543 | A leftover debug code vulnerability exists in the console infct functionality of InHand Networks InRouter302 V3.5.45. A speci... |
| CVE-2022-32585 | A command execution vulnerability exists in the clish art2 functionality of Robustel R1510 3.3.0. A specially-crafted network... |
| CVE-2022-32760 | A denial of service vulnerability exists in the XCMD doDebug functionality of Abode Systems, Inc. iota All-In-One Security Ki... |
| CVE-2022-33323 | Authentication Bypass Vulnerability in Robot Controller of MELFA SD/SQ series and F-series |
| CVE-2022-38453 | Contec Health CMS8000 |
| CVE-2022-38715 | A leftover debug code vulnerability exists in the httpd shell.cgi functionality of Siretta QUARTZ-GOLD G5.0.1.5-210720-141020... |
| CVE-2022-46156 | Grafana's default installation of `synthetic-monitoring-agent` exposes sensitive information |
| CVE-2023-0954 | Debug feature in Sensormatic Electronics Illustra Dome and PTZ cameras |
| CVE-2023-1618 | Authentication Bypass Vulnerability in MELSEC WS Series Ethernet Interface Module |
| CVE-2023-21496 | Active Debug Code vulnerability in ActivityManagerService prior to SMR May-2023 Release 1 allows attacker to use debug functi... |
| CVE-2023-32645 | A leftover debug code vulnerability exists in the httpd debug credentials functionality of Yifan YF325 v1.0_20221108. A speci... |
| CVE-2023-34346 | A stack-based buffer overflow vulnerability exists in the httpd gwcfg.cgi get functionality of Yifan YF325 v1.0_20221108. A s... |
| CVE-2023-4227 | ioLogik 4000 Series: Existence of an Unauthorized Service |
| CVE-2023-4804 | Quantum HD Unity |
| CVE-2023-49593 | Leftover debug code exists in the boa formSysCmd functionality of LevelOne WBR-6013 RER4_A_v3411b_2T2R_LEV_09_170623. A speci... |
| CVE-2024-21785 | A leftover debug code vulnerability exists in the Telnet Diagnostic Interface functionality of AutomationDirect P3-550E 1.2.1... |
| CVE-2024-21827 | A leftover debug code vulnerability exists in the cli_server debug functionality of Tp-Link ER7206 Omada Gigabit VPN Router 1... |
| CVE-2024-28008 | Active Debug Code in NEC Corporation Aterm WG1800HP4, WG1200HS3, WG1900HP2, WG1200HP3, WG1800HP3, WG1200HS2, WG1900HP, WG1200... |
| CVE-2024-29075 | Active debug code vulnerability exists in Mesh Wi-Fi router RP562B firmware version v1.0.2 and earlier. If this vulnerability... |
| CVE-2024-30219 | Active debug code vulnerability exists in PLANEX COMMUNICATIONS wireless LAN routers. If a logged-in user who knows how to us... |
| CVE-2024-32047 | CyberPower PowerPanel business Active Debug Code |
| CVE-2024-41999 | Smart-tab Android app installed April 2023 or earlier contains an active debug code vulnerability. If this vulnerability is e... |
| CVE-2024-46873 | Multiple SHARP routers leave the hidden debug function enabled. An arbitrary OS command may be executed with the root privile... |
| CVE-2024-53648 | A vulnerability has been identified in SIPROTEC 5 6MD84 (CP300) (All versions < V9.90), SIPROTEC 5 6MD85 (CP200) (All version... |
| CVE-2024-7756 | A potential vulnerability was reported in the ThinkPad L390 Yoga and 10w Notebook that could allow a local attacker to escala... |
| CVE-2024-9643 | Four-Faith F3x36 Hidden Debug Credentials |
| CVE-2024-9644 | Four-Faith F3x36 bapply.cgi Auth Bypass |
| CVE-2025-1479 | An open debug interface was reported in the Legion Space software included on certain Legion devices that could allow a local... |
| CVE-2025-21472 | Leftover Debug Code in Secure Element |
| CVE-2025-2919 | Netis WF-2404 UART hardware allows activation of test or debug logic at runtime |
| CVE-2025-30185 | Active debug code for some Intel UEFI reference platforms within Ring 0: Kernel may allow a denial of service and escalation... |
| CVE-2025-4106 | WatchGuard Firebox leftover debug code vulnerability |
| CVE-2025-46674 | NASA CryptoLib before 1.3.2 uses Extended Procedures that are a Work in Progress (not intended for use during flight), potent... |
| CVE-2025-54660 | An active debug code vulnerability in Fortinet FortiClientWindows 7.4.0 through 7.4.3, FortiClientWindows 7.2.0 through 7.2.1... |
| CVE-2025-64983 | Smart Video Doorbell firmware versions prior to 2.01.078 contain an active debug code vulnerability that allows an attacker t... |
| CVE-2025-7705 | Authentication bypass due to compatibility mode enabled by default |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20231018-12 | 18.10.2023 | Обход безопасности в Yifan YF325 |
| VULN:20231110-1 | 10.11.2023 | Внедрение кода в Johnson Controls Quantum HD Unity |
| VULN:20240513-35 | 13.05.2024 | Получение конфиденциальной информации в PowerPanel |
| VULN:20240527-13 | 27.05.2024 | Получение конфиденциальной информации в Productivity 3000 P3-550E CPU |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.