Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-521
CWE-521: Weak Password Requirements
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-00259 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров Micrologix 1100 и Micrologix 1400, связанная с использованием недостаточно надежных паролей, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2019-03262 | Уязвимость микропрограммного обеспечения коммутаторов Moxa EDS-G516E и Moxa EDS-510E, связанная с отсутствием ограничений для чрезмерных попыток аутентификации, позволяющая нарушителю получить полный доступ к системе |
| BDU:2019-03273 | Уязвимость встроенного веб-сервера микропрограммного обеспечения преобразователей протоколов Moxa MGate MB3170, MB3180, MB3270, MB3280, MB3480 и MB3660, позволяющая нарушителю получить полный доступ к системе |
| BDU:2019-03281 | Уязвимость микропрограммного обеспечения Ethernet-коммутаторов Moxa PT-7528 и Moxa PT-7828, связанная с отсутствием ограничений для чрезмерных попыток аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2020-00880 | Уязвимость веб-интерфейса сервера SINEMA Remote Connect, позволяющая нарушителю получить полный доступ к системе |
| BDU:2020-01340 | Уязвимость контроллера домена Samba Active Directory пакета программ для сетевого взаимодействия Samba, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2020-02736 | Уязвимость программного средства для настройки контроллеров Schneider Electric Easergy Builder и микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 (HU250), связанная со... |
| BDU:2020-04051 | Уязвимость программного обеспечения веб-сервера NPort IAW5000A-I/O Series, связанная со слабыми требованиями к паролям, позволяющая нарушителю скомпрометировать учетные данные пользователя |
| BDU:2020-05816 | Уязвимость приложения для управления программируемыми панелями CmtViewer, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю скомпрометировать учетные данные пользователя |
| BDU:2020-05818 | Уязвимость инженерного программного обеспечения EasyBuilder, связанная с использованием стандартного пароля для удаленного конфигурирования устройства, позволяющая нарушителю повысить свои привилегии в системе |
| BDU:2021-00175 | Уязвимость программного обеспечения TrueConf, связанная с недостаточными требованиями к сложности пароля, позволяет нарушителю получить доступ к учетной записи пользователя |
| BDU:2021-02288 | Уязвимость SCADA системы ОИК Диспетчер НТ, связанная с недостатками механизма ограничения количества попыток авторизации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки методом "грубой силы" (brute force) |
| BDU:2021-05103 | Уязвимость операционной системы Синергия, связанная со слабостями парольной политики, позволяющая нарушителю подобрать пароли пользователей методом "грубой силы" |
| BDU:2021-05519 | Уязвимость реализации алгоритма шифрования Advanced Encryption Standard (AES) программного обеспечения для удалённого управления компьютером TeamViewer, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к за... |
| BDU:2021-05556 | Уязвимость микропрограммного обеспечения программируемого логического контроллера ioLogik, связанная с недостаточными требованиями к сложности пароля, позволяет нарушителю получить доступ к учетной записи пользователя |
| BDU:2021-05557 | Уязвимость микропрограммного обеспечения программируемого логического контроллера ioLogik, связанная с недостаточными требованиями к сложности пароля, позволяющая нарушителю подобрать пароли пользователей методом "грубой силы" |
| BDU:2021-06318 | Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060, Adam-6050 D, Adam.NET Utility, связанная со слабыми требованиями к паролям, позволяющая нарушителю скомпрометировать учетные данные пользователя |
| BDU:2022-00359 | Уязвимость службы Data Communication Network (DCN) микропрограммного обеспечения мультисервисных платформ Hitachi Energy FOX615 и XCM20, связанная со слабыми требованиями к паролям, позволяющая нарушителю получить несанкционированный доступ к защищае... |
| BDU:2022-03250 | Уязвимость SCADA-системы "СКАДА-НЕВА", связанная со слабыми требованиями к паролям, позволяющая нарушителю получить доступ к учетной записи пользователя |
| BDU:2022-03265 | Уязвимость операционной системы PowerScale OneFS, связанная с возможностью создания учетной записи пользователя без пароля, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03551 | Уязвимость микропрограммного обеспечения контроллеров автоматизации Schneider Electric C-Bus (LSS5500NAC), Wiser for C-Bus (LSS5500SHAC), Clipsal C-Bus (5500NAC), Clipsal Wiser for C-Bus (5500SHAC), SpaceLogic C-Bus (5500NAC2), SpaceLogic C-Bus (5500... |
| BDU:2022-04257 | Уязвимость микропрограммного обеспечения SEPCOS Single Package реле управления и защиты Secheron SEPCOS, позволяющая нарушителю повысить свои привилегии до уровня суперпользователя |
| BDU:2022-04319 | Уязвимость веб-интерфейса межсетевого экрана DA50N, позволяющая нарушителю получить полный доступ к устройству |
| BDU:2022-04428 | Уязвимость интерфейса командной строки (CLI) средства управления доступом к сети Fortinet FortiNAC, позволяющая нарушителю получить доступ к базам данных MySQL |
| BDU:2022-05302 | Уязвимость веб-системы управления предприятием notrinoserp, связанная со слабыми требованиями к паролям, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02831 | Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DIR-825, связанная с использованием слабых требований к паролям, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2023-02881 | Уязвимость компонента Edge Gateway системы бизнес-телефонии MiVoice Connect VoIP-устройств Mitel, позволяющая нарушителю вносить произвольные изменения в конфигурацию и выполнять произвольные команды |
| BDU:2023-03028 | Уязвимость функционала FTP-сервера микропрограммного обеспечения программируемых логических контроллеров MELSEC RJ71EIP91, SW1DNN-EIPCT-BD, FX5-ENET/IP, SW1DNN-EIPCTFX5-BD, позволяющая нарушителю получить полный доступ к устройству |
| BDU:2023-06395 | Уязвимость платформы интеграции данных Apache InLong, связанная со слабыми требованиями к паролям, позволяющая нарушителю получить доступ к учётной записи пользователя |
| BDU:2023-07069 | Уязвимость микропрограммного обеспечения маршрутизатора Connectize G6 AC2100, позволяющая нарушителю получить права администратора |
| BDU:2023-07194 | Уязвимость компонента admin-center программного средства создания и управления инвентаризационной базой данных i-doit Pro, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-08267 | Уязвимость реализации подключений Secure Connections Pairing и Secure Simple Pairing спецификации Bluetooth Core Specification, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2024-01713 | Уязвимость программного обеспечения управления сменами и учета рабочего времени LaborOfficeFree, связанная со слабыми требованиями к паролям, позволяющая нарушителю получить пароль root базы данных MySQL |
| BDU:2024-01717 | Уязвимость программного обеспечения управления сменами и учета рабочего времени LaborOfficeFree, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-01889 | Уязвимость платформ мониторинга событий, обнаружения угроз, аналитики безопасности IBM QRadar Suite и IBM Cloud Pak for Security, связанная со слабыми требованиями к паролям, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-01943 | Уязвимость программного средства разработки приложений IBM Engineering Requirements Management DOORS, связанная со слабыми требованиями к паролям, позволяющая нарушителю скомпрометировать учетные записи пользователей |
| BDU:2024-03565 | Уязвимость устройства кодирования видео AVerCaster, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-04521 | Уязвимость микропрограммного обеспечения Wi-Fi роутера Netgear WNR614 N300, связанная со слабыми требованиями к паролю, позволяющая нарушителю создавать произвольные пароли |
| BDU:2024-04844 | Уязвимость микропрограммного обеспечения Wi-Fi роутера Netgear WNR614 N300, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить несанкционированный доступ к PIN-коду маршрутизатора |
| BDU:2024-05606 | Уязвимость программного обеспечения "Популяционный раковый регистр" и "Госпитальный раковый регистр", связанная со слабыми требованиями к паролям, позволяющая нарушителю повысить свои привилегии и получить доступ к защищенной информации |
| BDU:2024-08960 | Уязвимость компонента /etc/defnodes/S30setnode.sh микропрограммного обеспечения маршрутизаторов D-Link DSL- 6740C, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-09080 | Уязвимость программных средств оптимизации производственных процессов Location Intelligence, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-10182 | Уязвимость микропрограммного обеспечения модема D-Link DSL6740C, связанная с отображением пароля WiFi, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2024-10883 | Уязвимость микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, связанная с использованием паролей по умолчанию, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-10885 | Уязвимость микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить несанкционированный доступ адми... |
| BDU:2025-00911 | Уязвимость файла ScadaServer/ScadaServer/ScadaServerEngine/MainLogic.cs SCADA-системы для разработки АСУ ТП Rapid SCADA, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2025-01263 | Уязвимость веб-сервиса для передачи информации через временные ссылки Password Pusher, связанная со слабыми требованиями к паролю, позволяющая нарушителю осуществить атаку методом "грубой силы" (brute force) |
| BDU:2025-02048 | Уязвимость программных продуктов ООО "НПО "МИР", связанная со слабыми требованиями к паролю, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-04972 | Уязвимость микропрограммного обеспечения камеры CHOCO TEI WATCHER mini, связанная со слабыми требованиями к паролю, позволяющая нарушителю выполнить атаку методом перебора и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06128 | Уязвимость программного обеспечения видеоконференцсвязи VideoGrace, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-07195 | Уязвимость программного обеспечения для управления и контроля доступа к корпоративным ресурсам и приложениям IBM Security Verify Governance, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить несанкционированный доступ к учет... |
| BDU:2025-08006 | Уязвимость веб-менеджера для управления файлами и каталогами File Browser, связанная с использованием учетных данных по умолчанию, позволяющая нарушителю реализовать атаку методом "грубой силы" (brute force) |
| BDU:2025-09114 | Уязвимость конфигурации smb.conf (/etc_ro/smb.conf) сервера Samba микропрограммного обеспечения маршрутизаторов Tenda AC18, позволяющая нарушителю обойти существующие ограничения безопасности и получить несанкционированный доступ к защищаемой информа... |
| BDU:2025-11582 | Уязвимость сервера потокового видео Hikvision Streaming Media Management Server, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2025-12670 | Уязвимость программного решения для интеграции данных корпоративного уровня Transformation Extender Advanced, связанная со слабыми требованиями к паролю, позволяющая нарушителю получить доступ к учётным записям пользователей |
| BDU:2025-14511 | Уязвимость веб-интерфейса операционной системы KeeneticOS, позволяющая получить несанкционированный доступ к устройству |
| BDU:2025-16254 | Уязвимость микропрограммного обеспечения монитора фотогальванической системы EcoGuideTAB PV-DR004J и PV-DR004JA, связанная со слабыми требованиями к паролю, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-16289 | Уязвимость микропрограммного обеспечения устройства для интеграции и управления промышленными системами автоматизации General Industrial Controls Lynx+ Gateway, связанная со слабыми требованиями к паролям, позволяющая нарушителю получить несанкционир... |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2017-3186 | ACTi cameras including the D, B, I, and E series using firmware version A1D-500-V6.11.31-AC use non-random default credential... |
| CVE-2017-7903 | A Weak Password Requirements issue was discovered in Rockwell Automation Allen-Bradley MicroLogix 1100 programmable-logic con... |
| CVE-2018-17906 | Philips iSite and IntelliSpace PACS, iSite PACS, all versions, and IntelliSpace PACS, all versions. Default credentials and n... |
| CVE-2019-17444 | JFrog Artifactory does not enforce default admin password change |
| CVE-2019-19093 | ABB eSOMS: Password complexity issue |
| CVE-2019-19145 | Quantum SuperLoader 3 V94.0 005E.0h devices allow attackers to access the hardcoded fa account because there are only 65536 p... |
| CVE-2019-6558 | In Auto-Maskin RP210E Versions 3.7 and prior, DCU210E Versions 3.7 and prior and Marine Observer Pro (Android App), the softw... |
| CVE-2020-15115 | No minimum password length in etcd |
| CVE-2020-25153 | MOXA NPort IAW5000A-I/O Series |
| CVE-2020-6991 | In Moxa EDS-G516E Series firmware, Version 5.2 or lower, weak password requirements may allow an attacker to gain access usin... |
| CVE-2020-6995 | In Moxa PT-7528 series firmware, Version 4.0 or lower, and PT-7828 series firmware, Version 3.9 or lower, the application uti... |
| CVE-2020-7492 | A CWE-521: Weak Password Requirements vulnerability exists in the GP-Pro EX V1.00 to V4.09.100 which could cause the discover... |
| CVE-2020-7519 | A CWE-521: Weak Password Requirements vulnerability exists in Easergy Builder (Version 1.4.7.2 and older) which could allow a... |
| CVE-2021-32753 | Weak password in API gateway in EdgeX Foundry Edinburgh, Fuji, Geneva, and Hanoi releases allows remote attackers to obtain a... |
| CVE-2021-38133 | Possible Improper authentication Vulnerability in OpenText eDirectory |
| CVE-2021-38462 | InHand Networks IR615 Router |
| CVE-2021-40333 | Weak default credential associated with TCP port 26 |
| CVE-2021-41296 | ECOA BAS controller - Weak Password Requirements |
| CVE-2022-1039 | ICSA-22-104-03 Red Lion DA50N |
| CVE-2022-1236 | Weak Password Requirements in weseek/growi |
| CVE-2022-1668 | Secheron SEPCOS Control and Protection Relay |
| CVE-2022-1775 | Weak Password Requirements in polonel/trudesk |
| CVE-2022-2098 | Weak Password Requirements in kromitgmbh/titra |
| CVE-2022-22110 | DayByDay CRM - Weak Password Requirements in Update User |
| CVE-2022-27558 | HCL iNotes is susceptible to a Broken Password Strength Checks vulnerability. |
| CVE-2022-29098 | Dell PowerScale OneFS versions 8.2.0.x through 9.3.0.x, contain a weak password requirement vulnerability. An administrator m... |
| CVE-2022-2927 | Weak Password Requirements in notrinos/notrinoserp |
| CVE-2022-3179 | Weak Password Requirements in ikus060/rdiffweb |
| CVE-2022-32513 | A CWE-521: Weak Password Requirements vulnerability exists that could allow an attacker to gain control of the device when th... |
| CVE-2022-3268 | Weak Password Requirements in ikus060/minarca |
| CVE-2022-3326 | Weak Password Requirements in ikus060/rdiffweb |
| CVE-2022-3376 | Weak Password Requirements in ikus060/rdiffweb |
| CVE-2022-34333 | IBM Sterling Order Management information disclosure |
| CVE-2022-36301 | BF-OS version 3.x up to and including 3.83 do not enforce strong passwords which may allow a remote attacker to brute-force t... |
| CVE-2022-3754 | Weak Password Requirements in thorsten/phpmyfaq |
| CVE-2022-45482 | Lazy Mouse server enforces weak password requirements and doesn't implement rate limiting, allowing remote unauthenticated us... |
| CVE-2023-0307 | Weak Password Requirements in thorsten/phpmyfaq |
| CVE-2023-0564 | Weak Password Requirements in froxlor/froxlor |
| CVE-2023-0569 | Weak Password Requirements in publify/publify |
| CVE-2023-0641 | PHPGurukul Employee Leaves Management System changepassword.php weak password |
| CVE-2023-0793 | Weak Password Requirements in thorsten/phpmyfaq |
| CVE-2023-1753 | Weak Password Requirements in thorsten/phpmyfaq |
| CVE-2023-2060 | Authentication bypass vulnerability in MELSEC iQ-R Series / iQ-F Series EtherNet/IP Modules |
| CVE-2023-2106 | Weak Password Requirements in janeczku/calibre-web |
| CVE-2023-2160 | Weak Password Requirements in modoboa/modoboa |
| CVE-2023-22451 | Weak password requirements in Kiwi TCMS |
| CVE-2023-27272 | IBM Aspera Console weak password requirements |
| CVE-2023-31098 | Apache InLong: Weak Password Implementation in InLong |
| CVE-2023-3423 | Weak Password Requirements in cloudexplorer-dev/cloudexplorer-lite |
| CVE-2023-34240 | Weak passwords allowed in cloudexplorer-lite |
| CVE-2023-34995 | PiiGAB M-Bus Weak Password Requirements |
| CVE-2023-35907 | IBM Aspera Faspex information disclosure |
| CVE-2023-37398 | IBM Aspera Faspex information disclosure |
| CVE-2023-38369 | IBM Security Access Manager Container information disclosure |
| CVE-2023-40707 | Weak password requirements in OPTO 22 SNAP PAC S1 Built-in Web Server |
| CVE-2023-4125 | Weak Password Requirements in answerdev/answer |
| CVE-2023-41353 | Chunghwa Telecom NOKIA G-040W-Q - Weak Password Requirements |
| CVE-2023-41923 | Weak Password Requirements in Kiloview P1/P2 devices |
| CVE-2023-49883 | IBM Transformation Extender Advanced information disclosure |
| CVE-2023-50305 | IBM Engineering Requirements Management information disclosure |
| CVE-2023-7053 | PHPGurukul Online Notes Sharing System signup.php weak password |
| CVE-2024-0188 | RRJ Nueva Ecija Engineer Online Portal change_password_teacher.php weak password |
| CVE-2024-0347 | SourceCodester Engineers Online Portal signup_teacher.php weak password |
| CVE-2024-0676 | Weak password requirement vulnerability in Lamassu Bitcoin ATM Douro machines |
| CVE-2024-1345 | Weak MySQL database root password in LaborOfficeFree |
| CVE-2024-1346 | Weak MySQL database root password in LaborOfficeFree |
| CVE-2024-22330 | IBM Security Verify Governance information disclosure |
| CVE-2024-22355 | IBM QRadar Suite information dislosure |
| CVE-2024-3263 | Improper authentication in YMS VIS Pro |
| CVE-2024-3735 | Smart Office Main.aspx weak password |
| CVE-2024-40697 | IBM Common Licensing information disclosure |
| CVE-2024-41683 | A vulnerability has been identified in Location Intelligence family (All versions < V4.4). Affected products do not properly... |
| CVE-2024-41778 | IBM Controller information disclosure |
| CVE-2024-42173 | HCL MyXalytics is affected by an improper password policy implementation vulnerability |
| CVE-2024-45374 | goTenna Pro ATAK Plugin Weak Password Requirements |
| CVE-2024-47121 | Weak Passwords Requirements in goTenna Pro |
| CVE-2024-48845 | Weak Password Rules/Strength |
| CVE-2024-7293 | Password policy for new users is not strong enough |
| CVE-2025-10320 | iteachyou Dreamer CMS updatePwd weak password |
| CVE-2025-11200 | MLflow Weak Password Requirements Authentication Bypass Vulnerability |
| CVE-2025-11322 | Mangati NovoSGA User Creation new weak password |
| CVE-2025-12364 | Weak Password Policy |
| CVE-2025-12552 | Insufficient Password Policy |
| CVE-2025-1341 | PMWeb Setting weak password |
| CVE-2025-1474 | Weak Password Requirements in mlflow/mlflow |
| CVE-2025-1993 | IBM App Connect Enterprise Certified Container information disclosure |
| CVE-2025-22390 | An issue was discovered in Optimizely EPiServer.CMS.Core before 12.32.0. A medium-severity vulnerability exists in the CMS du... |
| CVE-2025-25211 | Weak password requirements issue exists in CHOCO TEI WATCHER mini (IB-MCT001) all versions. If this issue is exploited, a bru... |
| CVE-2025-34058 | Hikvision Streaming Media Management Server Default Credentials and Authenticated Arbitrary File Read |
| CVE-2025-4534 | SunGrow Logger1000 weak password |
| CVE-2025-46742 | Improper Access Control |
| CVE-2025-48372 | Schule Has Insecure OTP Length, is Susceptible to Brute-Force Attacks |
| CVE-2025-5022 | Weak Password Requirements vulnerability in Mitsubishi Electric Corporation photovoltaic system monitor “EcoGuideTAB” PV-DR00... |
| CVE-2025-52997 | File Browser Insecurely Handles Passwords |
| CVE-2025-55034 | General Industrial Controls Lynx+ Gateway Weak Password Requirements |
| CVE-2025-55252 | HCL AION is affected by a Weak Password Policy vulnerability |
| CVE-2025-55299 | VaulTLS has a password-based login exploit in additional user accounts |
| CVE-2025-65014 | LibreNMS has Weak Password Policy |
| CVE-2025-67513 | FreePBX Endpoint Manager's Weak Default Password Allows Unauthenticated Access in Endpoint Module REST API |
| CVE-2025-68963 | Man-in-the-middle attack vulnerability in the Clone module. Impact: Successful exploitation of this vulnerability may affect... |
| CVE-2025-8182 | Tenda AC18 Samba smb.conf weak password |
| CVE-2025-8549 | atjiu pybbs UserAdminController.java update weak password |
| CVE-2025-9514 | macrozheng mall Registration weak password |
| CVE-2025-9964 | Weak Authentication for Root User |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.