Каталог уязвимостей - CWE - CWE-521

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

Каталог Справка открывает раздел документации по каталогам.

Уязвимости CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-521

Weak Password Requirements

The product does not require that users should have strong passwords.

Тип уязвимости:	Не зависит от других уязвимостей

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2018-00259	Уязвимость микропрограммного обеспечения программируемых логических контроллеров Micrologix 1100 и Micrologix 1400, связанная с использованием недостаточно надежных паролей, позволяющая нарушителю обойти ограничения безопасности
BDU:2019-03262	Уязвимость микропрограммного обеспечения коммутаторов Moxa EDS-G516E и Moxa EDS-510E, связанная с отсутствием ограничений для чрезмерных попыток аутентификации, позволяющая нарушителю получить полный доступ к системе
BDU:2019-03273	Уязвимость встроенного веб-сервера микропрограммного обеспечения преобразователей протоколов Moxa MGate MB3170, MB3180, MB3270, MB3280, MB3480 и MB3660, позволяющая нарушителю получить полный доступ к системе
BDU:2019-03281	Уязвимость микропрограммного обеспечения Ethernet-коммутаторов Moxa PT-7528 и Moxa PT-7828, связанная с отсутствием ограничений для чрезмерных попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2020-00880	Уязвимость веб-интерфейса сервера SINEMA Remote Connect, позволяющая нарушителю получить полный доступ к системе
BDU:2020-01340	Уязвимость контроллера домена Samba Active Directory пакета программ для сетевого взаимодействия Samba, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force)
BDU:2020-02736	Уязвимость программного средства для настройки контроллеров Schneider Electric Easergy Builder и микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 (HU250), связанная со...
BDU:2020-04051	Уязвимость программного обеспечения веб-сервера NPort IAW5000A-I/O Series, связанная со слабыми требованиями к паролям, позволяющая нарушителю скомпрометировать учетные данные пользователя
BDU:2020-05816	Уязвимость приложения для управления программируемыми панелями CmtViewer, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю скомпрометировать учетные данные пользователя
BDU:2020-05818	Уязвимость инженерного программного обеспечения EasyBuilder, связанная с использованием стандартного пароля для удаленного конфигурирования устройства, позволяющая нарушителю повысить свои привилегии в системе
BDU:2021-00175	Уязвимость программного обеспечения TrueConf, связанная с недостаточными требованиями к сложности пароля, позволяет нарушителю получить доступ к учетной записи пользователя
BDU:2021-02288	Уязвимость SCADA системы ОИК Диспетчер НТ, связанная с недостатками механизма ограничения количества попыток авторизации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force)
BDU:2021-05103	Уязвимость операционной системы Синергия, связанная со слабостями парольной политики, позволяющая нарушителю подобрать пароли пользователей методом "грубой силы"
BDU:2021-05519	Уязвимость реализации алгоритма шифрования Advanced Encryption Standard (AES) программного обеспечения для удалённого управления компьютером TeamViewer, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к за...
BDU:2021-05556	Уязвимость микропрограммного обеспечения программируемого логического контроллера ioLogik, связанная с недостаточными требованиями к сложности пароля, позволяет нарушителю получить доступ к учетной записи пользователя
BDU:2021-05557	Уязвимость микропрограммного обеспечения программируемого логического контроллера ioLogik, связанная с недостаточными требованиями к сложности пароля, позволяющая нарушителю подобрать пароли пользователей методом "грубой силы"
BDU:2021-06318	Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060, Adam-6050 D, Adam.NET Utility, связанная со слабыми требованиями к паролям, позволяющая нарушителю скомпрометировать учетные данные пользователя
BDU:2022-00359	Уязвимость службы Data Communication Network (DCN) микропрограммного обеспечения мультисервисных платформ Hitachi Energy FOX615 и XCM20, связанная со слабыми требованиями к паролям, позволяющая нарушителю получить несанкционированный доступ к защищае...
BDU:2022-03250	Уязвимость SCADA-системы "СКАДА-НЕВА", связанная со слабыми требованиями к паролям, позволяющая нарушителю получить доступ к учетной записи пользователя
BDU:2022-03265	Уязвимость операционной системы PowerScale OneFS, связанная с возможностью создания учетной записи пользователя без пароля, позволяющая нарушителю повысить свои привилегии
BDU:2022-03551	Уязвимость микропрограммного обеспечения контроллеров автоматизации Schneider Electric C-Bus (LSS5500NAC), Wiser for C-Bus (LSS5500SHAC), Clipsal C-Bus (5500NAC), Clipsal Wiser for C-Bus (5500SHAC), SpaceLogic C-Bus (5500NAC2), SpaceLogic C-Bus (5500...
BDU:2022-04257	Уязвимость микропрограммного обеспечения SEPCOS Single Package реле управления и защиты Secheron SEPCOS, позволяющая нарушителю повысить свои привилегии до уровня суперпользователя
BDU:2022-04319	Уязвимость веб-интерфейса межсетевого экрана DA50N, позволяющая нарушителю получить полный доступ к устройству
BDU:2022-04428	Уязвимость интерфейса командной строки (CLI) средства управления доступом к сети Fortinet FortiNAC, позволяющая нарушителю получить доступ к базам данных MySQL
BDU:2022-05302	Уязвимость веб-системы управления предприятием notrinoserp, связанная со слабыми требованиями к паролям, позволяющая нарушителю повысить свои привилегии
BDU:2023-02831	Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DIR-825, связанная с использованием слабых требований к паролям, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2023-02881	Уязвимость компонента Edge Gateway системы бизнес-телефонии MiVoice Connect VoIP-устройств Mitel, позволяющая нарушителю вносить произвольные изменения в конфигурацию и выполнять произвольные команды
BDU:2023-03028	Уязвимость функционала FTP-сервера микропрограммного обеспечения программируемых логических контроллеров MELSEC RJ71EIP91, SW1DNN-EIPCT-BD, FX5-ENET/IP, SW1DNN-EIPCTFX5-BD, позволяющая нарушителю получить полный доступ к устройству
BDU:2023-06395	Уязвимость платформы интеграции данных Apache InLong, связанная со слабыми требованиями к паролям, позволяющая нарушителю получить доступ к учётной записи пользователя
BDU:2023-07069	Уязвимость микропрограммного обеспечения маршрутизатора Connectize G6 AC2100, позволяющая нарушителю получить права администратора
BDU:2023-07194	Уязвимость компонента admin-center программного средства создания и управления инвентаризационной базой данных i-doit Pro, позволяющая нарушителю выполнить произвольный код
BDU:2023-08267	Уязвимость реализации подключений Secure Connections Pairing и Secure Simple Pairing спецификации Bluetooth Core Specification, позволяющая нарушителю реализовать атаку типа "человек посередине"
BDU:2024-01713	Уязвимость программного обеспечения управления сменами и учета рабочего времени LaborOfficeFree, связанная со слабыми требованиями к паролям, позволяющая нарушителю получить пароль root базы данных MySQL
BDU:2024-01717	Уязвимость программного обеспечения управления сменами и учета рабочего времени LaborOfficeFree, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force)
BDU:2024-01889	Уязвимость платформ мониторинга событий, обнаружения угроз, аналитики безопасности IBM QRadar Suite и IBM Cloud Pak for Security, связанная со слабыми требованиями к паролям, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2024-01943	Уязвимость программного средства разработки приложений IBM Engineering Requirements Management DOORS, связанная со слабыми требованиями к паролям, позволяющая нарушителю скомпрометировать учетные записи пользователей
BDU:2024-03565	Уязвимость устройства кодирования видео AVerCaster, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force)
BDU:2024-04521	Уязвимость микропрограммного обеспечения Wi-Fi роутера Netgear WNR614 N300, связанная со слабыми требованиями к паролю, позволяющая нарушителю создавать произвольные пароли
BDU:2024-04844	Уязвимость микропрограммного обеспечения Wi-Fi роутера Netgear WNR614 N300, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить несанкционированный доступ к PIN-коду маршрутизатора
BDU:2024-05606	Уязвимость программного обеспечения "Популяционный раковый регистр" и "Госпитальный раковый регистр", связанная со слабыми требованиями к паролям, позволяющая нарушителю повысить свои привилегии и получить доступ к защищенной информации
BDU:2024-08960	Уязвимость компонента /etc/defnodes/S30setnode.sh микропрограммного обеспечения маршрутизаторов D-Link DSL- 6740C, позволяющая нарушителю повысить свои привилегии
BDU:2024-09080	Уязвимость программных средств оптимизации производственных процессов Location Intelligence, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2024-10182	Уязвимость микропрограммного обеспечения модема D-Link DSL6740C, связанная с отображением пароля WiFi, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force)
BDU:2024-10883	Уязвимость микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, связанная с использованием паролей по умолчанию, позволяющая нарушителю повысить свои привилегии
BDU:2024-10885	Уязвимость микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить несанкционированный доступ адми...
BDU:2025-00911	Уязвимость файла ScadaServer/ScadaServer/ScadaServerEngine/MainLogic.cs SCADA-системы для разработки АСУ ТП Rapid SCADA, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2025-01263	Уязвимость веб-сервиса для передачи информации через временные ссылки Password Pusher, связанная со слабыми требованиями к паролю, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force)
BDU:2025-02048	Уязвимость программных продуктов ООО "НПО "МИР", связанная со слабыми требованиями к паролю, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force)
BDU:2025-04972	Уязвимость микропрограммного обеспечения камеры CHOCO TEI WATCHER mini, связанная со слабыми требованиями к паролю, позволяющая нарушителю выполнить атаку методом перебора и получить несанкционированный доступ к защищаемой информации
BDU:2025-06128	Уязвимость программного обеспечения видеоконференцсвязи VideoGrace, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force)
BDU:2025-07195	Уязвимость программного обеспечения для управления и контроля доступа к корпоративным ресурсам и приложениям IBM Security Verify Governance, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить несанкционированный доступ к учет...
BDU:2025-08006	Уязвимость веб-менеджера для управления файлами и каталогами File Browser, связанная с использованием учетных данных по умолчанию, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force)
BDU:2025-09114	Уязвимость конфигурации smb.conf (/etc_ro/smb.conf) сервера Samba микропрограммного обеспечения маршрутизаторов Tenda AC18, позволяющая нарушителю обойти существующие ограничения безопасности и получить несанкционированный доступ к защищаемой информа...
BDU:2025-11582	Уязвимость сервера потокового видео Hikvision Streaming Media Management Server, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2025-12670	Уязвимость программного решения для интеграции данных корпоративного уровня Transformation Extender Advanced, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить доступ к учётным записям пользователей
BDU:2025-14511	Уязвимость веб-интерфейса операционной системы KeeneticOS, позволяющая получить несанкционированный доступ к устройству
BDU:2025-16254	Уязвимость микропрограммного обеспечения монитора фотогальванической системы EcoGuideTAB PV-DR004J и PV-DR004JA, связанная со слабыми требованиями к паролю, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации
BDU:2025-16289	Уязвимость микропрограммного обеспечения устройства для интеграции и управления промышленными системами автоматизации General Industrial Controls Lynx+ Gateway, связанная со слабыми требованиями к паролям, позволяющая нарушителю получить несанкционир...

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2017-3186	ACTi cameras including the D, B, I, and E series using firmware version A1D-500-V6.11.31-AC use non-random default credential...
CVE-2017-7903	A Weak Password Requirements issue was discovered in Rockwell Automation Allen-Bradley MicroLogix 1100 programmable-logic con...
CVE-2018-17906	Philips iSite and IntelliSpace PACS, iSite PACS, all versions, and IntelliSpace PACS, all versions. Default credentials and n...
CVE-2019-17444	JFrog Artifactory does not enforce default admin password change
CVE-2019-19093	ABB eSOMS: Password complexity issue
CVE-2019-19145	Quantum SuperLoader 3 V94.0 005E.0h devices allow attackers to access the hardcoded fa account because there are only 65536 p...
CVE-2019-6558	In Auto-Maskin RP210E Versions 3.7 and prior, DCU210E Versions 3.7 and prior and Marine Observer Pro (Android App), the softw...
CVE-2020-15115	No minimum password length in etcd
CVE-2020-25153	MOXA NPort IAW5000A-I/O Series
CVE-2020-6991	In Moxa EDS-G516E Series firmware, Version 5.2 or lower, weak password requirements may allow an attacker to gain access usin...
CVE-2020-6995	In Moxa PT-7528 series firmware, Version 4.0 or lower, and PT-7828 series firmware, Version 3.9 or lower, the application uti...
CVE-2020-7492	A CWE-521: Weak Password Requirements vulnerability exists in the GP-Pro EX V1.00 to V4.09.100 which could cause the discover...
CVE-2020-7519	A CWE-521: Weak Password Requirements vulnerability exists in Easergy Builder (Version 1.4.7.2 and older) which could allow a...
CVE-2021-32753	Weak password in API gateway in EdgeX Foundry Edinburgh, Fuji, Geneva, and Hanoi releases allows remote attackers to obtain a...
CVE-2021-38133	Possible Improper authentication Vulnerability in OpenText eDirectory
CVE-2021-38462	InHand Networks IR615 Router
CVE-2021-40333	Weak default credential associated with TCP port 26
CVE-2021-41296	ECOA BAS controller - Weak Password Requirements
CVE-2022-1039	ICSA-22-104-03 Red Lion DA50N
CVE-2022-1236	Weak Password Requirements in weseek/growi
CVE-2022-1668	Secheron SEPCOS Control and Protection Relay
CVE-2022-1775	Weak Password Requirements in polonel/trudesk
CVE-2022-2098	Weak Password Requirements in kromitgmbh/titra
CVE-2022-22110	DayByDay CRM - Weak Password Requirements in Update User
CVE-2022-27558	HCL iNotes is susceptible to a Broken Password Strength Checks vulnerability.
CVE-2022-29098	Dell PowerScale OneFS versions 8.2.0.x through 9.3.0.x, contain a weak password requirement vulnerability. An administrator m...
CVE-2022-2927	Weak Password Requirements in notrinos/notrinoserp
CVE-2022-3179	Weak Password Requirements in ikus060/rdiffweb
CVE-2022-32513	A CWE-521: Weak Password Requirements vulnerability exists that could allow an attacker to gain control of the device when th...
CVE-2022-3268	Weak Password Requirements in ikus060/minarca
CVE-2022-3326	Weak Password Requirements in ikus060/rdiffweb
CVE-2022-3376	Weak Password Requirements in ikus060/rdiffweb
CVE-2022-34333	IBM Sterling Order Management information disclosure
CVE-2022-36301	BF-OS version 3.x up to and including 3.83 do not enforce strong passwords which may allow a remote attacker to brute-force t...
CVE-2022-3754	Weak Password Requirements in thorsten/phpmyfaq
CVE-2022-45482	Lazy Mouse server enforces weak password requirements and doesn't implement rate limiting, allowing remote unauthenticated us...
CVE-2023-0307	Weak Password Requirements in thorsten/phpmyfaq
CVE-2023-0564	Weak Password Requirements in froxlor/froxlor
CVE-2023-0569	Weak Password Requirements in publify/publify
CVE-2023-0641	PHPGurukul Employee Leaves Management System changepassword.php weak password
CVE-2023-0793	Weak Password Requirements in thorsten/phpmyfaq
CVE-2023-1753	Weak Password Requirements in thorsten/phpmyfaq
CVE-2023-2060	Authentication bypass vulnerability in MELSEC iQ-R Series / iQ-F Series EtherNet/IP Modules
CVE-2023-2106	Weak Password Requirements in janeczku/calibre-web
CVE-2023-2160	Weak Password Requirements in modoboa/modoboa
CVE-2023-22451	Weak password requirements in Kiwi TCMS
CVE-2023-27272	IBM Aspera Console weak password requirements
CVE-2023-31098	Apache InLong: Weak Password Implementation in InLong
CVE-2023-3423	Weak Password Requirements in cloudexplorer-dev/cloudexplorer-lite
CVE-2023-34240	Weak passwords allowed in cloudexplorer-lite
CVE-2023-34995	PiiGAB M-Bus Weak Password Requirements
CVE-2023-35907	IBM Aspera Faspex information disclosure
CVE-2023-37398	IBM Aspera Faspex information disclosure
CVE-2023-38369	IBM Security Access Manager Container information disclosure
CVE-2023-40707	Weak password requirements in OPTO 22 SNAP PAC S1 Built-in Web Server
CVE-2023-4125	Weak Password Requirements in answerdev/answer
CVE-2023-41353	Chunghwa Telecom NOKIA G-040W-Q - Weak Password Requirements
CVE-2023-41923	Weak Password Requirements in Kiloview P1/P2 devices
CVE-2023-49883	IBM Transformation Extender Advanced information disclosure
CVE-2023-50305	IBM Engineering Requirements Management information disclosure
CVE-2023-7053	PHPGurukul Online Notes Sharing System signup.php weak password
CVE-2024-0188	RRJ Nueva Ecija Engineer Online Portal change_password_teacher.php weak password
CVE-2024-0347	SourceCodester Engineers Online Portal signup_teacher.php weak password
CVE-2024-0676	Weak password requirement vulnerability in Lamassu Bitcoin ATM Douro machines
CVE-2024-1345	Weak MySQL database root password in LaborOfficeFree
CVE-2024-1346	Weak MySQL database root password in LaborOfficeFree
CVE-2024-22330	IBM Security Verify Governance information disclosure
CVE-2024-22355	IBM QRadar Suite information dislosure
CVE-2024-3263	Improper authentication in YMS VIS Pro
CVE-2024-3735	Smart Office Main.aspx weak password
CVE-2024-40697	IBM Common Licensing information disclosure
CVE-2024-41683	A vulnerability has been identified in Location Intelligence family (All versions < V4.4). Affected products do not properly...
CVE-2024-41778	IBM Controller information disclosure
CVE-2024-42173	HCL MyXalytics is affected by an improper password policy implementation vulnerability
CVE-2024-45374	goTenna Pro ATAK Plugin Weak Password Requirements
CVE-2024-47121	Weak Passwords Requirements in goTenna Pro
CVE-2024-48845	Weak Password Rules/Strength
CVE-2024-7293	Password policy for new users is not strong enough
CVE-2025-10320	iteachyou Dreamer CMS updatePwd weak password
CVE-2025-11200	MLflow Weak Password Requirements Authentication Bypass Vulnerability
CVE-2025-11322	Mangati NovoSGA User Creation new weak password
CVE-2025-12364	Weak Password Policy
CVE-2025-12552	Insufficient Password Policy
CVE-2025-1341	PMWeb Setting weak password
CVE-2025-1474	Weak Password Requirements in mlflow/mlflow
CVE-2025-1993	IBM App Connect Enterprise Certified Container information disclosure
CVE-2025-22390	An issue was discovered in Optimizely EPiServer.CMS.Core before 12.32.0. A medium-severity vulnerability exists in the CMS du...
CVE-2025-25211	Weak password requirements issue exists in CHOCO TEI WATCHER mini (IB-MCT001) all versions. If this issue is exploited, a bru...
CVE-2025-34058	Hikvision Streaming Media Management Server Default Credentials and Authenticated Arbitrary File Read
CVE-2025-4534	SunGrow Logger1000 weak password
CVE-2025-46742	Improper Access Control
CVE-2025-48372	Schule Has Insecure OTP Length, is Susceptible to Brute-Force Attacks
CVE-2025-5022	Weak Password Requirements vulnerability in Mitsubishi Electric Corporation photovoltaic system monitor “EcoGuideTAB” PV-DR00...
CVE-2025-52997	File Browser Insecurely Handles Passwords
CVE-2025-55034	General Industrial Controls Lynx+ Gateway Weak Password Requirements
CVE-2025-55252	HCL AION is affected by a Weak Password Policy vulnerability
CVE-2025-55299	VaulTLS has a password-based login exploit in additional user accounts
CVE-2025-65014	LibreNMS has Weak Password Policy
CVE-2025-67513	FreePBX Endpoint Manager's Weak Default Password Allows Unauthenticated Access in Endpoint Module REST API
CVE-2025-68963	Man-in-the-middle attack vulnerability in the Clone module. Impact: Successful exploitation of this vulnerability may affect...
CVE-2025-8182	Tenda AC18 Samba smb.conf weak password
CVE-2025-8549	atjiu pybbs UserAdminController.java update weak password
CVE-2025-9514	macrozheng mall Registration weak password
CVE-2025-9964	Weak Authentication for Root User
CVE-2026-1408	Beetel 777VR1 UART weak password
CVE-2026-25715	Jinan USR IOT Technology Limited (PUSR) USR-W610 Weak Password Requirements
CVE-2026-27575	Vijkunja has Weak Password Policy Combined with Persistent Sessions After Password Change

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.