Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-494
CWE-494 Download of Code Without Integrity Check
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-00160 | Уязвимость реализации функции защиты от вредоносных сайтов и фишинга Phishing and Malware Protection браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю проводить фишинг-атаки |
| BDU:2019-04628 | Уязвимость функции автоматического обновления операционной системы RouterOS маршрутизаторов MikroTik, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-02695 | Уязвимость компонента Spring Framework программного продукта Oracle Retail Order Broker, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2020-02722 | Уязвимость микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 (HU250), связанная с некорректной проверкой целостности, позволяющая нарушителю внедрить дополнительный код... |
| BDU:2020-03325 | Уязвимость платформа приложений-контейнеров OpenShift, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2020-04294 | Уязвимость пакетов программ Microsoft Business Productivity Servers, SharePoint Server и SharePoint Enterprise Server, связанная с ошибками механизмов проверки исходной разметки пакета приложения, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-04311 | Уязвимость пакетов программ Microsoft SharePoint Server, SharePoint Foundation и SharePoint Enterprise Server, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-04354 | Уязвимость программного интерфейса API пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Foundation, Microsoft SharePoint Enterprise Server, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-04383 | Уязвимость пакета программ Microsoft SharePoint Server, SharePoint Foundation и SharePoint Enterprise Server, связанная с ошибками механизмов проверки исходной разметки пакета приложения, позволяет нарушителю выполнить произвольный код |
| BDU:2020-04569 | Уязвимость пакета программ Microsoft SharePoint Server, SharePoint Foundation и SharePoint Enterprise Server, связанная с ошибками механизмов проверки исходной разметки пакета приложения, позволяет нарушителю выполнить произвольный код |
| BDU:2021-05410 | Уязвимость программного обеспечения SCADA-системы "КРУГ-2000", связанная с недостаточной проверкой целостности скриптов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-05691 | Уязвимость операционных систем Mac OS, связанная с логической ошибкой, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2022-02441 | Уязвимость реализации команды execute restore src-vis операционных систем FortiOS, позволяющая нарушителю записывать произвольные файлы |
| BDU:2022-03900 | Уязвимость функции проверки обновлений пакета Advanced Updater инструмента для упаковки приложений Caphyon Advanced Installer, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-04712 | Уязвимость микропрограммного обеспечения промышленного программно-аппаратного оборудования General Electric Renewable Energy iNET, iNET II, TD220X, TD220MAX связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю получить неса... |
| BDU:2022-07290 | Уязвимость микропрограммного обеспечения сетевого видеорегистратора IP-камеры D-Link DNR-322L, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-00693 | Уязвимость компонента Live Update Wizard программных продуктов EMCO, связанная с возможностью загрузки кода без проверки его целостности. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код |
| BDU:2023-00904 | Уязвимость системы управления базами данных PostgreSQL, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-04927 | Уязвимость микропрограммного обеспечения веб-панелей для управления и мониторинга процессов в промышленных системах PHOENIX CONTACT WP 6xxx, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к... |
| BDU:2023-08024 | Уязвимость микропрограммного обеспечения измерителей мощности и счетчиков электроэнергии Schneider Electric PowerLogic ION8650, PowerLogic ION8800, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю изменить версию прошив... |
| BDU:2023-08254 | Уязвимость средства защиты Fortinet FortiClient для операционной системы Mac, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю повысить свои привелегии |
| BDU:2023-08890 | Уязвимость микропрограммного обеспечения радиоприемников Ethernet серии Trio Q, Trio E, Trio J, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю внедрить дополнительный код в прошивку устройства |
| BDU:2023-08945 | Уязвимость средства программирования и отладки ПЛК-приложений MULTIPROG, встроенной операционной системы ProConOS/ProConOS eCLR, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю оказать воздействие на целостность защища... |
| BDU:2023-08946 | Уязвимость микропрограммного обеспечения контроллеров Phoenix AXC 1050, AXC 1050 XC, AXC 3050, FC 350 PCI ETH, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2023-08991 | Уязвимость набора файлов Makefile для операционной системы Linux Buildroot, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-09092 | Уязвимость программной платформы для веб-приложений Django, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2024-01888 | Уязвимость фреймворка разработки веб-приложений на Ruby Sinatra, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-02366 | Уязвимость плагина WP Crontrol системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-02377 | Уязвимость Backend-хранилища и Frontend-обработчика запросов Apache Doris, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04033 | Уязвимость программного обеспечения для расчета позиций отдельных RTLS-транспондеров SIMATIC RTLS Locating Manager, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05051 | Уязвимость интерфейса AirPrint операционной системы для управления сетевыми устройствами Synology Router Manager, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-11032 | Уязвимость веб-интерфейса управления микропрограммного обеспечения Wi‑Fi роутеров TP-Link Archer C50, позволяющая нарушителю выполнить произвольный код и вызвать отказ в обслуживании |
| BDU:2025-00366 | Уязвимость UEFI-загрузчика Howyar Reloader операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-03996 | Уязвимость программного обеспечения для управления требованиями IBM Engineering Requirements Management DOORS Next, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и д... |
| BDU:2025-05736 | Уязвимость функции OTA загрузчика набора инструментов на базе платформы Gecko для разработки программного обеспечения Gecko SDK (GSDK), позволяющая нарушителю обойти ограничения безопасности и выполнить произвольный код |
| BDU:2025-11167 | Уязвимость встроенного программного обеспечения ПЛК Fastwel, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-12530 | Уязвимость микропрограммного обеспечения сетевой камеры для видеонаблюдения D-Link DCS-825L, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2025-12533 | Уязвимость сценария mydlink-watch-dog.sh микропрограммного обеспечения сетевой камеры для видеонаблюдения D-Link DCS-825L, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-14679 | Уязвимость программного обеспечения для безопасности электронной почты SonicWall Email Security, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю получить несанкционированный доступ на изменение системных файлов и выпол... |
| BDU:2025-16177 | Уязвимость реализации режима Org текстового редактора EMACS, позволяющая нарушителю оказать влияние на целостность и доступность защищаемой информации |
| BDU:2026-00198 | Уязвимость лазерного датчика SICK DL100, связанная с загрузкой кода без проверки его целостности, позволяющая нарушителю выполнить произвольный код |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-2378 | Sensys Networks Traffic Sensor Download of Code Without Integrity Check |
| CVE-2016-6564 | Ragentek Android software contains an over-the-air update mechanism that communicates over an unencrypted channel, which can... |
| CVE-2016-6567 | SHDesigns' Resident Download Manager (as well as the Ethernet Download Manager) does not authenticate firmware downloads befo... |
| CVE-2017-12740 | Siemens LOGO! Soft Comfort (All versions before V8.2) lacks integrity verification of software packages downloaded via an unp... |
| CVE-2017-13083 | Akeo Consulting Rufus prior to version 2.17.1187 does not adequately validate the integrity of updates downloaded over HTTP,... |
| CVE-2018-14620 | The OpenStack RabbitMQ container image insecurely retrieves the rabbitmq_clusterer component over HTTP during the build stage... |
| CVE-2018-5409 | PrinterLogic Print Management Software updates and executes the code without origin and code verification |
| CVE-2019-10240 | Eclipse hawkBit versions prior to 0.3.0M2 resolved Maven build artifacts for the Vaadin based UI over HTTP instead of HTTPS.... |
| CVE-2019-10248 | Eclipse Vorto versions prior to 0.11 resolved Maven build artifacts for the Xtext project over HTTP instead of HTTPS. Any of... |
| CVE-2019-10249 | All Xtext & Xtend versions prior to 2.18.0 were built using HTTP instead of HTTPS file transfer and thus the built artifacts... |
| CVE-2019-12809 | Yes24ViewerX ActiveX Control 1.0.327.50126 and earlier versions contains a vulnerability that could allow remote attackers to... |
| CVE-2019-13534 | Philips IntelliVue WLAN, portable patient monitors, WLAN Version A, Firmware A.03.09, WLAN Version A, Firmware A.03.09, Part... |
| CVE-2019-14845 | A vulnerability was found in OpenShift builds, versions 4.1 up to 4.3. Builds that extract source from a container image, byp... |
| CVE-2019-19165 | AxECM.cab(ActiveX Control) in Inogard Ebiz4u contains a vulnerability that could allow remote files to be downloaded and exec... |
| CVE-2019-19166 | Tobesoft XPlatform Arbitrary File Execution Vulnerability |
| CVE-2019-19167 | Tobesoft Nexacro14 ActiveX File Download Vulnerability |
| CVE-2019-3801 | Java Projects using HTTP to fetch dependencies |
| CVE-2019-3977 | RouterOS 6.45.6 Stable, RouterOS 6.44.5 Long-term, and below insufficiently validate where upgrade packages are download from... |
| CVE-2019-9534 | The Cobham EXPLORER 710, firmware version 1.07, does not validate its firmware image |
| CVE-2020-10926 | This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of NETGEAR R6700 V1.... |
| CVE-2020-28213 | A CWE-494: Download of Code Without Integrity Check vulnerability exists in PLC Simulator on EcoStruxureª Control Expert (now... |
| CVE-2020-29032 | Add integrity check of GateManager firmware |
| CVE-2020-7505 | A CWE-494 Download of Code Without Integrity Check vulnerability exists in Easergy T300 (Firmware version 1.5.2 and older) wh... |
| CVE-2020-7806 | Tobesoft Xplatform ActiveX File Download Vulnerability |
| CVE-2020-7812 | Kaoni ezHTTPTrans Active-X File Download and Execution Vulnerability |
| CVE-2020-7813 | Kaoni ezHTTPTrans Active-X File Download and Execution Vulnerability |
| CVE-2020-7817 | MyBrowserPlus downloads the files needed to run the program through the setup file (Setup.inf). At this time, there is a vuln... |
| CVE-2020-7826 | EyeSurfer BflyInstallerX.ocx v1.0.0.16 and earlier versions contain a vulnerability that could allow remote files to be downl... |
| CVE-2020-7831 | A vulnerability in the web-based contract management service interface Ebiz4u of INOGARD could allow an victim user to downlo... |
| CVE-2020-7873 | Download of code without integrity check vulnerability in ActiveX control of Younglimwon Co., Ltd allows the attacker to caus... |
| CVE-2020-7874 | NEXACRO14 Runtime arbitrary file download and execution vulnerability |
| CVE-2020-7875 | RAONWIZ DEXT5 Upload ActiveX remote file execution vulnerability |
| CVE-2020-7883 | Printchaser v2.2021.804.1 and earlier versions contain a vulnerability, which could allow remote attacker to download and exe... |
| CVE-2020-9751 | Naver Cloud Explorer before 2.2.2.11 allows the system to download an arbitrary file from the attacker's server and execute i... |
| CVE-2021-26639 | WISA Smart Wing CMS File Download Vulnerability |
| CVE-2021-3485 | Improper Input Validation in Bitdefender Endpoint Security Tools for Linux |
| CVE-2021-35532 | Firmware upload verification bypass in TXpert Hub CoreTec 4 |
| CVE-2022-38199 | BUG-000144172 - Remote file download issue in ArcGIS Server |
| CVE-2022-4261 | Rapid7 Nexpose Update Validation Issue |
| CVE-2022-45442 | Sinatra vulnerable to Reflected File Download attack |
| CVE-2023-22635 | A download of code without Integrity check vulnerability [CWE-494] in FortiClientMac version 7.0.0 through 7.0.7, 6.4 all ver... |
| CVE-2023-37220 | Synel Terminals - CWE-494: Download of Code Without Integrity Check |
| CVE-2023-37864 | PHOENIX CONTACT: WP 6xxx Web panels prone to download code without integrity check |
| CVE-2023-39474 | Inductive Automation Ignition downloadLaunchClientJar Remote Code Execution Vulnerability |
| CVE-2023-41921 | Download of Code Without Integrity Check in Kiloview P1/P2 devices |
| CVE-2023-43608 | A data integrity vulnerability exists in the BR_NO_CHECK_HASH_FOR functionality of Buildroot 2023.08.1 and dev commit 622698d... |
| CVE-2023-45799 | MLSoft TCO!stream Remote Code Execution Vulnerability |
| CVE-2023-45821 | Incorrect Docker Hub registry check in Artifact Hub |
| CVE-2023-45838 | Multiple data integrity vulnerabilities exist in the package hash checking functionality of Buildroot 2023.08.1 and Buildroot... |
| CVE-2023-45839 | Multiple data integrity vulnerabilities exist in the package hash checking functionality of Buildroot 2023.08.1 and Buildroot... |
| CVE-2023-45840 | Multiple data integrity vulnerabilities exist in the package hash checking functionality of Buildroot 2023.08.1 and Buildroot... |
| CVE-2023-45841 | Multiple data integrity vulnerabilities exist in the package hash checking functionality of Buildroot 2023.08.1 and Buildroot... |
| CVE-2023-45842 | Multiple data integrity vulnerabilities exist in the package hash checking functionality of Buildroot 2023.08.1 and Buildroot... |
| CVE-2023-46143 | Phoenix Contact: Classic line industrial controllers prone to inadequate integrity check of PLC |
| CVE-2023-46144 | PHOENIX CONTACT: PLCnext Control prone to download of code without integrity check |
| CVE-2023-5592 | Phoenix Contact: ProConOs prone to Download of Code Without Integrity Check |
| CVE-2023-5630 | A CWE-494: Download of Code Without Integrity Check vulnerability exists that could allow a privileged user to install an... |
| CVE-2023-5984 | A CWE-494 Download of Code Without Integrity Check vulnerability exists that could allow modified firmware to be uploaded wh... |
| CVE-2024-27438 | Apache Doris: Downloading arbitrary remote jar files resulting in remote command execution |
| CVE-2024-28850 | WP Crontrol possible RCE when combined with a pre-condition |
| CVE-2024-28878 | IOSIX IO-1020 Micro ELD Download of Code Without Integrity Check |
| CVE-2024-30206 | A vulnerability has been identified in SIMATIC RTLS Locating Manager (6GT2780-0DA00) (All versions < V3.0.1.1), SIMATIC RTLS... |
| CVE-2024-33660 | Potential Firmware update without integrity check |
| CVE-2024-39348 | Download of code without integrity check vulnerability in AirPrint functionality in Synology Router Manager (SRM) before 1.2.... |
| CVE-2024-39819 | Zoom Workplace Apps and SDK for Windows - Improper Privilege Management |
| CVE-2024-42183 | HCL BigFix Patch Download Plug-ins are affected by an arbitrary file download vulnerability |
| CVE-2024-43169 | IBM Engineering Requirements Management DOORS Next file download |
| CVE-2024-48974 | Life2000 Ventilator does not perform proper file integrity checks when adopting firmware updates |
| CVE-2024-52331 | ECOVACS lawnmowers and vacuums deterministic firmware encryption key |
| CVE-2024-52583 | WesHacks code includes links to Leostop tracking spyware infested files |
| CVE-2024-54126 | Insufficient Integrity Verification Vulnerability in TP-Link Archer C50 |
| CVE-2025-1058 | CWE-494: Download of Code Without Integrity Check vulnerability exists that could render the device inoperable when malicious... |
| CVE-2025-11182 | File Download in GTONE ChangeFlow |
| CVE-2025-11493 | Self-Update Verification Mechanism Process in ConnectWise Automate |
| CVE-2025-27593 | RCE due to Device Driver |
| CVE-2025-30199 | ECOVACS Vacuum and Base Station accept unsigned firmware |
| CVE-2025-31355 | A firmware update vulnerability exists in the Firmware Signature Validation functionality of Tenda AC6 V5.0 V02.03.01.110. A... |
| CVE-2025-34212 | Vasion Print (formerly PrinterLogic) Insecure Build Pipeline |
| CVE-2025-35115 | Agiloft insecure download of system packages |
| CVE-2025-4648 | A user with elevated privileges can inject XSS by altering the content of a SVG media during the submit request. |
| CVE-2025-53520 | EG4 Electronics EG4 Inverters Download of Code Without Integrity Check |
| CVE-2025-53696 | iSTAR Ultra performs a firmware verification on boot, however the verification does not inspect certain portions of the firmw... |
| CVE-2025-66331 | Denial of service (DoS) vulnerability in the office service. Impact: Successful exploitation of this vulnerability may affect... |
| CVE-2025-66332 | Denial of service (DoS) vulnerability in the office service. Impact: Successful exploitation of this vulnerability may affect... |
| CVE-2025-66333 | Denial of service (DoS) vulnerability in the office service. Impact: Successful exploitation of this vulnerability may affect... |
| CVE-2025-66334 | Denial of service (DoS) vulnerability in the office service. Impact: Successful exploitation of this vulnerability may affect... |
| CVE-2025-68109 | ChurchCRM vulnerable to RCE with database restore functionality |
| CVE-2025-69263 | pnpm Lockfile Integrity Bypass Allows Remote Dynamic Dependencies |
| CVE-2025-7620 | DSIC|Cross-browser Components for Official Document Creation - Remote Code Execution |
| CVE-2025-9319 | A potential vulnerability was reported in the Lenovo Wallpaper Client that could allow arbitrary code execution under certain... |
| CVE-2026-22816 | Gradle fails to disable repositories which can expose builds to malicious artifacts |
| CVE-2026-22865 | Gradle's failure to disable repositories failing to answer can expose builds to malicious artifacts |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20241202-123 | 02.12.2024 | Выполнение произвольного кода в Baxter Life2000 Ventilation System |
| VULN:20250317-5 | 17.03.2025 | Получение конфиденциальной информации в Sungrow WiNet Firmware |
| VULN:20250326-19 | 26.03.2025 | Получение конфиденциальной информации в Schneider Electric ASCO 5310/5350 Remote Annunciator |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.