Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-522
Insufficiently Protected Credentials
The product transmits or stores authentication credentials, but it uses an insecure method that is susceptible to unauthorized interception and/or retrieval.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2016-01723 | Уязвимость средства контроля и конфигурирования энергоустановок ABB PCM600, позволяющая нарушителю получить доступ к сведениям об учетных данных пользователей |
| BDU:2017-02037 | Уязвимость системы управления базами данных PostgreSQL, вызванная недостатками процедуры авторизации, позволяющая нарушителю получить пароль |
| BDU:2018-01348 | Уязвимость микропрограммного обеспечения маршрутизаторов D-Link, связанная с хранением паролей в незашифрованном виде, позволяющая нарушителю получить полный контроль над устройством |
| BDU:2019-02552 | Уязвимость системы для сбора данных и контроля процессов промышленной автоматизации PowerSCADA Expert, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к учетным данным пользователя |
| BDU:2019-03412 | Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с хранением паролей в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04175 | Уязвимость компонента pg_user_mappings системы управления базами данных PostgreSQL, позволяющая нарушителю получить доступ к учетным данным стороннего сервера |
| BDU:2019-04214 | Уязвимость программного обеспечения SIMATIC IT UADM, связанная с предсказуемым ключом шифрования, позволяющая нарушителю восстановить пароль и получить доступ к станции TeamCenter |
| BDU:2019-04403 | Уязвимость библиотеки libcurl, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04655 | Уязвимость функций fds_sys_passDebugPasswd_ret() и fds_sys_passRecoveryPasswd_ret() (libfds.so.0.0) микропрограммного обеспечения маршрутизаторов Zyxel серии GS1900, позволяющая нарушителю повысить свои привилегии |
| BDU:2019-04657 | Уязвимость хранилища учетных данных программного средства защиты McAfee Advanced Threat Defense, позволяющая нарушителю получить несанкционированный доступ к паролю root |
| BDU:2019-04713 | Уязвимость процедуры создания сертификата управления идентификацией и доступом сервера для поставщиков услуг Juniper Networks SBR Carrier, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04847 | Уязвимость расширения ePolicy Orchestrator программного средства защиты конфиденциальных данных McAfee Data Loss Prevention, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04889 | Уязвимость программных средств для сбора, архивирования и анализа данных предприятий Power Generation Information Manager и Plant Connect, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю обойти процедуру аутентификаци... |
| BDU:2020-00017 | Уязвимость систем управления реляционными базами данных SAP SQL Anywhere, SAP IQ и SAP Dynamic Tiering, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-00051 | Уязвимость средства управления виртуальной инфраструктурой VMware vCenter Server, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к учетным данным пользователя |
| BDU:2020-00053 | Уязвимость в свойствах vAppConfig средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю получить доступ к учетным данным пользователя |
| BDU:2020-00572 | Уязвимость микропрограммного обеспечения межсетевого экрана Huawei USG9500, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2020-00693 | Уязвимость компонента аутентификации NTLMv1 программ сетевого взаимодействия Samba, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным |
| BDU:2020-01070 | Уязвимость микропрограммного обеспечения беспроводных систем ClickShare CS-100, ClickShare CSE-200, ClickShare CSE-200+, ClickShare CSE-800, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-01903 | Уязвимость компонента "credential.helper" распределенной системы управления версиями Git, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-01904 | Уязвимость компонента "credential.helper" распределенной системы управления версиями Git, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2020-01972 | Уязвимость компонента работы с JMX сервера приложений Apache Tomcat, связанная с недостатком механизма защиты регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании и... |
| BDU:2020-02261 | Уязвимость реестра контейнернов Red Hat Quay, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю снять защиту контейнера |
| BDU:2020-02697 | Уязвимость компонента org.jfrog.hudson.ArtifactoryBuilder.xml плагина Jenkins Artifactory Plugin, позволяющая нарушителю получить учетные данные |
| BDU:2020-02702 | Уязвимость компонента org.jfrog.hudson.ArtifactoryBuilder.xml плагина Jenkins Artifactory Plugin, позволяющая нарушителю получить учетные данные |
| BDU:2020-03081 | Уязвимость службы Windows Host Guardian Service операционных систем Microsoft Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-03207 | Уязвимость встроенного программного обеспечения маршрутизаторов NETGEAR RBK752, NETGEAR RBK753, NETGEAR RBK753S, NETGEAR RBR750, NETGEAR RBS750, NETGEAR RBK842, NETGEAR RBR840, NETGEAR RBS840, NETGEAR RBK852, NETGEAR RBK853, NETGEAR RBR850, NETGEAR R... |
| BDU:2020-03208 | Уязвимость встроенного программного обеспечения маршрутизаторов NETGEAR RBK752, NETGEAR RBK753, NETGEAR RBK753S, NETGEAR RBR750, NETGEAR RBS750, NETGEAR RBK842, NETGEAR RBR840, NETGEAR RBS840, NETGEAR RBK852, NETGEAR RBK853, NETGEAR RBR850, NETGEAR R... |
| BDU:2020-03229 | Уязвимость компонента etc/artemis-users.properties асинхронной системы обмена сообщениями Apache ActiveMQ Artemis, связана с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информа... |
| BDU:2020-03300 | Уязвимость межсетевого экрана VM-Series, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию и вызвать отказ в обслуживании |
| BDU:2020-03326 | Уязвимость компонента /var/lib/ovirt-hosted-engine-setup/cockpit/ansibleVarFileXXXXXX.var плагина cockpit-ovirt программного средства управления виртуализацией серверов и рабочих станций Red Hat Virtualization, позволяющая нарушителю раскрыть учетные... |
| BDU:2020-04505 | Уязвимость службы OpenId Connect каркаса для веб-сервисов Apache CXF, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-04565 | Уязвимость реализации технологии Intel Active Management Technology, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-04645 | Уязвимость микропрограммного обеспечения маршрутизатора D-Link DSL-2875AL, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05267 | Уязвимость клиента системы виртуализации рабочих станций VMware Horizon Client for Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05343 | Уязвимость облачного сервиса Intel Endpoint Management Assistant, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05488 | Уязвимость реализации технологии Intel QuickAssist Technology, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-05732 | Уязвимость программного обеспечения удаленного мониторинга Advantech WebAccess, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-05815 | Уязвимость инженерного программного обеспечения EasyBuilder, связанная с хранением защищаемой информации в незашифрованном виде, позволяющая нарушителю получить доступ к устройству |
| BDU:2021-00103 | Уязвимость службы UDP cfm программного обеспечения маршрутизаторов D-Link DSL-2640B, позволяющая нарушителю получить доступ к административным учетным данным |
| BDU:2021-00190 | Уязвимость операционной систем QES, связанная с использованием жёсткого кодирования паролей, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2021-00843 | Уязвимость веб-интерфейса микропрограммного обеспечения сетевого маршрутизатора Advantech BB-ERT351, позволяющая нарушителю раскрыть пароли от сетевых служб |
| BDU:2021-00981 | Уязвимость службы веб-API операционной системы Junos маршрутизаторов NFX Series и SRX Series, позволяющая нарушителю получить закрытый ключ службы веб-API |
| BDU:2021-01181 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров CompactLogix 1768, CompactLogix 1769, CompactLogix 5370, CompactLogix 5380, CompactLogix 5480, ControlLogix 5550,ControlLogix 5560, ControlLogix 5570, ControlLogix 5580,... |
| BDU:2021-01248 | Уязвимость веб-интерфейса vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01339 | Уязвимость файла конфигурации settings.cfg.viw приложения для управления устройствами на базе Mikrotik RouterOS WinBox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01443 | Уязвимость библиотеки HTTP запросов языка программирования Python Requests, связанная с недостатком механизма хранения регистрационных данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-01796 | Уязвимость сервера системы управления корпоративными мобильными устройствами Citrix XenMobile Server, связанная с отсутствием защиты служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01800 | Уязвимость программного средства защиты конфиденциальных данных McAfee Data Loss Prevention Endpoint for Mac, связанная с хранением пароля в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01806 | Уязвимость интерфейса командной строки (CLI) операционных систем Cisco IOS XE и Cisco IOS, позволяющая нарушителю получить пароль для Common Industrial Protocol (CIP) и перенастроить устройство |
| BDU:2021-01894 | Уязвимость среды выполнения контейнеров Containerd, связанная с недостатком механизма хранения регистрационных данных, позволяющая нарушителю получить доступ несанкционированный доступ к защищаемой информации |
| BDU:2021-02147 | Уязвимость оптических линейных терминалов CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD1104SN, FD1108S, FD1204S-R2, FD1204SN, FD1204SN-R2, FD1208S-R2, FD1216S-R1... |
| BDU:2021-02150 | Уязвимость оптических линейных терминалов CDATA 72408A, 9008A, 9016A, 92408A, 92416A, 9288, 97016, 97024P, 97028P, 97042P, 97084P, 97168P, FD1002S, FD1104, FD1104B, FD1104S, FD1104SN, FD1108S, FD1204S-R2, FD1204SN, FD1204SN-R2, FD1208S-R2, FD1216S-R1... |
| BDU:2021-02287 | Уязвимость почтового клиента Thunderbird, связанная с ошибками при обработке криптографической подписи OpenPGP, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2021-02436 | Уязвимость реализации протокола Netgear Switch Discovery Protocol (NSDP) микропрограммного обеспечения коммутаторов NETGEAR ProSAFE Plus JGS516PE и ProSAFE Plus GS116Ev2, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-02841 | Уязвимость средства защиты информации IBM Security Guardium, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02950 | Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02965 | Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03049 | Уязвимость операционных систем Belden Hirschmann HiOS и HiSecOS, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03093 | Уязвимость клиента загрузки средства хранения паролей McAfee True Key Windows Client, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03116 | Уязвимость программной платформы Cisco Jabber, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03739 | Уязвимость почтового клиента mutt, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-04005 | Уязвимость интерфейса командной строки микропрограммного обеспечения маршрутизаторов Cisco SD-WAN, позволяющая нарушителю читать произвольные файлы или получить несанкционированный доступ к устройству |
| BDU:2021-04097 | Уязвимость SCADA-систем EcoStruxure Geo SCADA Expert 2020, EcoStruxure Geo SCADA Expert 2019, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04399 | Уязвимость библиотеки Telerik.Web.UI.dll программного средства Telerik UI для ASP.NET AJAX и системы управления веб-контентом Sitefinity, позволяющая нарушителю раскрыть ключи шифрования (Telerik.Web.UI.DialogParametersEncryptionKey и/или MachineKey) |
| BDU:2021-05115 | Уязвимость службы Telnet микропрограммного обеспечения маршрутизатора D-Link DIR-880L, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05125 | Уязвимость службы Telnet микропрограммного обеспечения маршрутизатора D-Link DIR-868L, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05126 | Уязвимость службы Telnet микропрограммного обеспечения маршрутизатора D-link DIR-885L-MFC, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05325 | Уязвимость веб-интерфейса удаленного администрирования IPMI корпоративного межсетевого экрана UserGate D500, позволяющая нарушителю получить актуальное значение имени пользователя (учетной записи) |
| BDU:2021-05336 | Уязвимость микропрограммного обеспечения сетевого устройства D-Link DIR-615 Q1, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05535 | Уязвимость библиотеки libpq системы управления базами данных PostgreSQL, позволяющая нарушителю реализовать атаку типа "человек посередине" |
| BDU:2021-05632 | Уязвимость микропрограммного обеспечения сетевого устройства D-Link DIR-605L B2, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05924 | Уязвимость установщика программного обеспечения для анализа сетей Cisco ThousandEyes Recorder, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-05948 | Уязвимость компонента CLI системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network (EPN) Manager, позволяющая нарушителю получить несанк... |
| BDU:2021-06019 | Уязвимость приложения для ОС Android Mahavitaran, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-06048 | Уязвимость микропрограммного обеспечения маршрутизатора D-Link DIR-2640-US, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2021-06171 | Уязвимость программного обеспечения удаленного мониторинга и управления IT-системами Kaseya VSA (Virtual System Administrator), связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-06216 | Уязвимость функции аварийного восстановления централизованной системой управления сетью Cisco SD-WAN vManage, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2021-06304 | Уязвимость системы хранения данных Ceph, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2021-06319 | Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060 и Adam-6050 D, связанная с использованием слабых алгоритмов шифрования, позволяющая нарушителю получить полный доступ к устройству с привилегии администратора |
| BDU:2021-06320 | Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060, связанная с недостатками процедуры смены паролей через веб-сервер, позволяющая нарушителю получить полный доступ к устройству с привилегии администратора |
| BDU:2022-00255 | Уязвимость подкомпонента userinfo текстового веб-браузера Lynx, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01061 | Уязвимость программного обеспечения Apache ShenYu, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить регистрационные данные пользователя |
| BDU:2022-01414 | Уязвимость средства аварийного восстановления Azure Site Recovery, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-01415 | Уязвимость средства аварийного восстановления Azure Site Recovery, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-01416 | Уязвимость средства аварийного восстановления Azure Site Recovery, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-01417 | Уязвимость средства аварийного восстановления Azure Site Recovery, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-01418 | Уязвимость средства аварийного восстановления Azure Site Recovery, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-02170 | Уязвимость программного средства для взаимодействия с серверами CURL, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-03040 | Уязвимость утилиты командной строки cURL, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-03041 | Уязвимость утилиты командной строки cURL, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-03595 | Уязвимость утилиты сбора данных Intel Setup and Configuration Software (SCS), утилиты конфигурирования режима работы механизма управления Intel Management Engine BIOS Extension, реализации технологии Intel Active Management Technology, связанная с не... |
| BDU:2022-03743 | Уязвимость компонента asyncjobscheduler-manager.log программного обеспечение для управления сетью SAN Brocade SANnav, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03744 | Уязвимость SCP-сервера программного обеспечение для управления сетью SAN Brocade SANnav, позволяющая нарушителю получить доступ к файлам журнала |
| BDU:2022-03751 | Уязвимость реализации протокола S-Bus микропрограммного обеспечения программируемых логических контроллеров PCD controllers, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-04020 | Уязвимость программного средства многофакторной проверки подлинности приложений (MFA) PingID для Windows, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-04256 | Уязвимость микропрограммного обеспечения SEPCOS Single Package реле управления и защиты Secheron SEPCOS, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-04263 | Уязвимость программного средства мониторинга информации об оборудовании Schneider Electric Data Center Expert, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить полный контроль над программным средством |
| BDU:2022-04300 | Уязвимость микропрограммного обеспечения SEPCOS Single Package реле управления и защиты Secheron SEPCOS, позволяющая нарушителю читать конфиденциальные файлы и записывать в удаленно исполняемые каталоги |
| BDU:2022-04301 | Уязвимость программного средства мониторинга информации об оборудовании Schneider Electric Data Center Expert, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить полный контроль над программным средством |
| BDU:2022-04334 | Уязвимость веб-интерфейса межсетевого экрана DA50N, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04700 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров Modicon M241 и Modicon M251, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю перехватить учётные данные и войти в веб-приложение |
| BDU:2022-04761 | Уязвимость решений для управления лекарствами и расходными материалам Becton Dickinson (BD) Pyxis, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к электронной защищенной медицинск... |
| BDU:2022-05011 | Уязвимость программного средства программирования ПЛК EcoStruxure Control Expert, системы автоматизации Process Expert, программного средства конфигурирования SCADAPack RemoteConnect, связанная с недостаточной защитой регистрационных данных, позволяю... |
| BDU:2022-05074 | Уязвимость гипервизора VMware Workstation, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05374 | Уязвимость корпоративных VPN-приложений GlobalProtect Agent for Linux, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05502 | Уязвимость интерфейса командной строки (CLI) средства автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker, позволяющая нарушителю получить произвольные учетные данные |
| BDU:2022-05803 | Уязвимость браузера Mozilla Firefox для iOS, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к паролям пользователей для текущего домена |
| BDU:2022-06063 | Уязвимость программного обеспечения для централизованного управления устройствами в сети Zyxel CloudCNM SecuManager, связанная с недостаточной защитой учетных данных, позволяющая нарушителю получить полный доступ к устройствам в сети |
| BDU:2022-06213 | Уязвимость файла systemd.txt платформы мониторинга и управления приложениями NGINX Controller, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-06232 | Уязвимость плагина Download Monitor системы управления содержимым сайта WordPress, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-06247 | Уязвимость микропрограммного обеспечения программируемых логических контроллеров SIMATIC S7-1200, S7-1500 связана с недостаточной защитой регистрационных данных, позволяющая нарушителю получить полный доступ к устройству |
| BDU:2022-06452 | Уязвимость реализации технологий Intel Active Management Technology и Standard Manageability, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии и раскрыть защищаемую информацию |
| BDU:2022-06592 | Уязвимость компонента Scan Profile (Профиль сканирования) модуля Web Vulnerability Scan (Веб-сканирование уязвимостей) межсетевого экрана веб-приложений FortiWeb, позволяющая нарушителю получить учетные данные пользователя |
| BDU:2023-00733 | Уязвимость программного средства автоматизации бизнес-процессов IBM Robotic Process Automation, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-01586 | Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, программного средства конфигурирования SCADAPack RemoteConnect, системы автоматизации технологических процессов EcoStruxure Pr... |
| BDU:2023-01604 | Уязвимость сервера AD/LDAP сервиса для управления бизнесом Битрикс24, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-01945 | Уязвимость средства управления доступом к сети Fortinet FortiNAC, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю восстановить данные о паролях пользователей |
| BDU:2023-01951 | Уязвимость средства управления виртуальными средами VMware HPE OneView for VMware vCenter, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02088 | Уязвимость программного продукта для мониторинга устройств в реальном времени Delta Electronics InfraSuite Device Master, связанная с недостаточной проверкой входных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02269 | Уязвимость веб-интерфейса микропрограммного обеспечения блока распределения питания (PDU) Aten PE8108, позволяющая нарушителю получить доступ к учетным данным Telnet и SNMP |
| BDU:2023-02602 | Уязвимость средств управления доступом к сети Fortinet FortiNAC и FortiNAC-F, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02717 | Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, системы автоматизации технологических процессов EcoStruxure Process Expert, позволяющяя нарушителю получить несанкционированны... |
| BDU:2023-02924 | Уязвимость структурного компонента системы управления базами данных (СУБД) Redis программного средства для управления производственными процессами ABB eSOMS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02945 | Уязвимость микропрограммного обеспечения маршрутизатора D-Link DIR-809 A1 и D-Link DIR-809 A2, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-02954 | Уязвимость реализации стандарта открытой авторизации (OAuth) фреймворка Expo связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить регистрационные данные пользователя |
| BDU:2023-03021 | Уязвимость плагина Jenkins Cisco Spark Plugin, связанная с хранением пароля в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-03538 | Уязвимость среды разработки приложений для программируемых логических контроллеров ISaGRAF Runtime Rockwell Automation, связанная с хранением паролей в незашифрованном виде, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-04941 | Уязвимость программного обеспечения для управления сервисом Active Directory Zoho ManageEngine ADManager Plus, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-05844 | Уязвимость программного обеспечения OPC-серверов Kepware KEPServerEX и ThingWorkx Kepware Server, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2023-06414 | Уязвимость плагина Jenkins Maven Artifact ChoiceListProvider (Nexus), связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-06433 | Уязвимость аналитической службы SonicWall Analytics и глобальной системы управления межсетевыми экранами SonicWall Global Management System (GMS), связанная с жестким кодированием учетных данных приложения Tomcat в файле конфигурации, позволяющая нар... |
| BDU:2023-06466 | Уязвимость программного обеспечения защиты данных Acronis Cyber Protect 15, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-06538 | Уязвимость программного обеспечения для подключения к удаленным VPN-серверам QVPN Device Client для Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-07572 | Уязвимость SCADA-системы PcVue, связанная с незашифрованным хранением учетных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-08601 | Уязвимость платформы анализа данных Hazelcast, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-00081 | Уязвимость веб-интерфейса операционной системы PAN-OS, позволяющая нарушителю получать учетные данные в виде открытого текста для хранимых внешних системных интеграций, таких как LDAP, SCP, RADIUS, TACACS+ и SNMP |
| BDU:2024-00678 | Уязвимость компонента Device Manager Agent системы управления хранилищем Hitachi Device Manager, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-01302 | Уязвимость компонента /admin/info/properties поискового сервера Apache Solr, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-01512 | Уязвимость реализации BMC для серверов на базе процессоров Intel Server Product OpenBMC, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-01964 | Уязвимость системы резервного копирования и восстановления данных Dell EMC NetWorker, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить регистрационные данные пользователя |
| BDU:2024-02146 | Уязвимость функции WithRoundTripper() библиотеки для интеграции приложений с облачной инфраструктурой CloudEvents sdk-go, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-02620 | Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с раскрытием конфиденциальной информации несанкционированному субъекту, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-02911 | Уязвимость классов DefaultAzureCredential и ManagedIdentityCredential библиотеки аутентификации Azure Identity Library for .NET, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-02950 | Уязвимость программных средств программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert и EcoStruxure Process Expert, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкцио... |
| BDU:2024-03235 | Уязвимость операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю выполнить произвольный |
| BDU:2024-03607 | Уязвимость микропрограммного обеспечения модулей программируемых логических контроллеров MELSEC iQ-R Series Safety CPU и Series SIL2 Process CPU, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить учетные данные |
| BDU:2024-04122 | Уязвимость медицинского программного обеспечения GE HealthCare EchoPAC, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность, доступность защищаемой информации |
| BDU:2024-04477 | Уязвимость плагина JetBrains GitHub интегрированных сред разработки программного обеспечения JetBrains Aqua, CLion, DataGrip, DataSpell, GoLand, IntelliJ IDEA, MPS, PhpStorm, PyCharm, Rider, RubyMine, RustRover, WebStorm, позволяющая нарушителю повыс... |
| BDU:2024-04981 | Уязвимость микропрограммного обеспечения промышленного преобразователя последовательных интерфейсов в Ethernet Westermo EDW-100, связанная с хранением пароля в виде открытого текста, позволяющая нарушителю раскрыть информацию о имени пользователя и п... |
| BDU:2024-05012 | Уязвимость компонента Track Viewer Client программного обеспечения для расчета позиций отдельных RTLS-транспондеров SIMATIC RTLS Locating Manager, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-05015 | Уязвимость компонента Report Clients программного обеспечения для расчета позиций отдельных RTLS-транспондеров SIMATIC RTLS Locating Manager, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-05086 | Уязвимость веб-сервера программного средства мониторинга и анализа сетевого трафика в промышленных сетях SINEC Traffic Analyzer, позволяющая нарушителю получить несанкционированный доступ к паролям и повысить свои привилегии |
| BDU:2024-05089 | Уязвимость микропрограммного обеспечения маршрутизаторов ASUS RT-N12+ B1, связанная с хранением паролей в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05349 | Уязвимость компонента Access Token Handler программного средства управления проектами и задачами JetBrains YouTrack, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05351 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к закрытому ключу |
| BDU:2024-05599 | Уязвимость аудита OpenAPI средства обнаружения и отслеживания сетевой активности Nozomi Guardian и средства централизованного управления безопасностью Nozomi Central Management Console (CMC), позволяющая нарушителю получить доступ к защищаемой информ... |
| BDU:2024-05821 | Уязвимость системы работы с заявками и инцидентами GLPI, связанная c недостаточной защитой учетных данных, позволяющая нарушителю получить несанкционированный доступ к паролю для root dn |
| BDU:2024-06452 | Уязвимость программного обеспечения для проведения видеоконференций Zoom, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-06934 | Уязвимость брокера сообщений RabbitMQ, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-07166 | Уязвимость сервера видео-конференц-связи Yealink Meeting Server, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить доступ к аутентификационным данным пользователя |
| BDU:2024-07373 | Уязвимость SDK-плагина платформы для мониторинга и наблюдения Grafana, связанная с передачей токенов аутентификации некоторым целевым плагинам, позволяющая нарушителю получить доступ к учётным данным репозитория |
| BDU:2024-07481 | Уязвимость реализации протокола OAuth2 инструмента управления базами данных pgAdmin 4, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07785 | Уязвимость программного средства управления проектами и задачами JetBrains YouTrack, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-07802 | Уязвимость модуля EC2 Cloud Profile системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-07898 | Уязвимость микропрограммного обеспечения программируемого логического контроллера (ПЛК) Advantech ADAM-5630, связанная с использованием слабых алгоритмов шифрования, позволяющая нарушителю раскрыть учетные данные пользователя |
| BDU:2024-08600 | Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к учетным данным контроллера домена (AD) |
| BDU:2024-08610 | Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю злоупотребить настройками SMTP и получить доступ к аутентификационным данным от SMTP-сервера |
| BDU:2024-08611 | Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к аутентификационным данным от сервера Microsoft Exchange Server |
| BDU:2024-08612 | Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к аутентификационным данным от SMTP-сервера |
| BDU:2024-08613 | Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к аутентификационным данным от прокси-сервера |
| BDU:2024-08695 | Уязвимость веб-интерфейса управления микропрограммного обеспечения устройств IP-телефонии Cisco Analog Telephone Adapter (ATA) серии 190, позволяющая нарушителю просматривать пароли произвольных пользователей |
| BDU:2024-09096 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть пароль пользователя |
| BDU:2024-09407 | Уязвимость веб-интерфейса LuCI встраиваемой операционной системы OpenWrt, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2024-09615 | Уязвимость компонента Routed PON Controller Software операционной системы Cisco IOS XR маршрутизаторов Cisco NCS 540 Series Routers, NCS 5500 Series Routers, NCS 5700 Series Routers, позволяющая нарушителю получить несанкционированный доступ к защища... |
| BDU:2024-10526 | Уязвимость менеджера обновлений программного обеспечения SAP NetWeaver Java, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-10872 | Уязвимость микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-11225 | Уязвимость интерфейса удаленного управления средства защиты облачных, виртуальных и физических систем Veeam Backup Replication, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-11275 | Уязвимость виртуальных и физических систем Veeam Backup Replication, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить выполнить произвольный код |
| BDU:2024-11626 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-00182 | Уязвимость компонентов vSphere CPI (Cloud Provider Interface) и vSphere CSI (Container Storage Interface) программной платформы для развертывания контейнеров в производственной среде Rancher, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-00890 | Уязвимость компонента Firebird программного обеспечения "Популяционный раковый регистр" и "Госпитальный раковый регистр", позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-00927 | Уязвимость функции экспорта данных программного средства мониторинга и управления многофункциональными устройствами Kyocera Net Viewer, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01156 | Уязвимость пакетов EventLogAttachmentExtractor, ArchiveExtractor, LogCleanUp или ArchiveLogCleanUp программного средства централизованного управления активами FactoryTalk AssetCentre, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01157 | Уязвимость программного средства централизованного управления активами FactoryTalk AssetCentre, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01312 | Уязвимость микропрограммного обеспечения программируемого логического контроллера Advantech ADAM-5550, связанная с использованием слабых алгоритмов шифрования, позволяющая нарушителю раскрыть учетные данные пользователя |
| BDU:2025-01879 | Уязвимость функции the runas микропрограммного обеспечения цифровой аналитической системы MEAC300, позволяющая нарушителю повысить свои привилегии до уровня администратора |
| BDU:2025-02015 | Уязвимость программного средства для интеграции данных и аналитики Hitachi Vantara Pentaho Data Integration Analytics, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой и... |
| BDU:2025-02155 | Уязвимость программного средства для интеграции данных и аналитики Hitachi Vantara Pentaho Data Integration Analytics, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть конфиденциальную информацию |
| BDU:2025-02537 | Уязвимость платформы защищённого обмена данными MFlash, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю получить несанкционированный доступ к платформе |
| BDU:2025-02786 | Уязвимость компонента cmd/go функции GOAUTH библиотеки go языка программирования Golang, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-04148 | Уязвимость программного средства для развертывания и управления кластерами Kubernetes на локальной инфраструктуре Azure Local Cluster, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный досту... |
| BDU:2025-05344 | Уязвимость программного обеспечения для управления требованиями IBM Engineering Requirements Management DOORS Next, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-05345 | Уязвимость программного обеспечения для управления требованиями IBM Engineering Requirements Management DOORS Next, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-05452 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный дост... |
| BDU:2025-05513 | Уязвимость программного обеспечения для управления трафиком в гибридных и мультиоблачных средах VMware Avi Load Balancer, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-05750 | Уязвимость веб-интерфейся Zabbix UI системы мониторинга ИТ-инфраструктуры Zabbix, позволяющая нарушителю повысить свои привилегии в системе и выполнить произвольный код |
| BDU:2025-08309 | Уязвимость плагина ReadyAPI Functional Testing сервера автоматизации Jenkins, связанная с хранением регистрационных данных в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08310 | Уязвимость плагина Statistics Gatherer сервера автоматизации Jenkins, связанная с хранением секретного ключа AWS в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08314 | Уязвимость плагина QMetry Test Management сервера автоматизации Jenkins, связанная с хранением ключей API Qmetry Automation в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08316 | Уязвимость плагина Testsigma Test Plan run сервера автоматизации Jenkins, связанная с хранением ключей в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08317 | Уязвимость плагина VAddy сервера автоматизации Jenkins, связанная с хранением ключей в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08552 | Уязвимость плагина Dead Man’s Snitch сервера автоматизации Jenkins, связанная с хранением токенов в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08569 | Уязвимость плагина Nouvola DiveCloud сервера автоматизации Jenkins, связанная с хранением ключей в незашифрованном виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08576 | Уязвимость библиотеки HTTP запросов языка программирования Python Requests, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08586 | Уязвимость плагина Applitools Eyes сервера автоматизации Jenkins, связанная с хранением ключей в открытом виде, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08973 | Уязвимость микропрограммного обеспечения принтеров и многофункциональных устройств Canon серии imageRUNNER ADVANCE, imageRUNNER, imagePRESS V, imagePRESS, Satera, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскры... |
| BDU:2025-08974 | Уязвимость микропрограммного обеспечения принтеров и многофункциональных устройств Canon серии imageRUNNER ADVANCE, imageRUNNER, imagePRESS V, imagePRESS, Satera, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскры... |
| BDU:2025-09052 | Уязвимость операционных систем FortiOS, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-09079 | Уязвимость службы аутентификации IAM для Kubernetes MinIO Operator STS, позволяющая нарушителю повысить свои привилегии и раскрыть защищаемую информацию |
| BDU:2025-09104 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-09258 | Уязвимость сетевой операционной системы SmartFabric OS10, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10450 | Уязвимость микропрограммного обеспечения SIP-телефонов CyberData 011209 SIP Emergency Intercom, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10543 | Уязвимость приложения для создания и управления резервными копиями данных Synology Active Backup for Microsoft 365, связана с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информ... |
| BDU:2025-10663 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с утечкой информации о файлах и каталогах, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-11020 | Уязвимость программного инструмента для отладки и диагностики систем NVIDIA NVDebug, связанная с недостатками механизма защиты аутентификационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-12402 | Уязвимость системы управления ресурсами предприятия SAP Business One, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-12944 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к учётным данным пользователя |
| BDU:2025-12969 | Уязвимость функции updateConfig() декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo Workflow, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14348 | Уязвимость конечной точки API программного средства мониторинга и анализа логов Nagios Log Server, позволяющая нарушителю извлечь административные API-ключи в незашифрованном виде |
| BDU:2025-14480 | Уязвимость компонента Server Landscape Directory (SLD) системы управления ресурсами предприятия SAP Business One, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14649 | Уязвимость компонента Junie программного обеспечения управления аккаунтами JetBrains Hub, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15268 | Уязвимость платформы для централизованного и безопасного управления паролями, учетными данными и конфиденциальной информацией Devolutions Server, связанная с недостаточной защитой учетных данных, позволяющая нарушителю получить несанкционированный до... |
| BDU:2025-15423 | Уязвимость функции импорта пользователей из AD/LDAP программного средства мониторинга и анализа логов Nagios Log Server, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-15571 | Уязвимость программной платформы ColdFusion, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-16348 | Уязвимость конфигурации config.enableHelm: true пользовательского интерфейса Headlamp программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00145 | Уязвимость программного обеспечения для расчета позиций отдельных RTLS-транспондеров SIMATIC RTLS Locating Manager, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2026-00365 | Уязвимость микропрограммного обеспечения релейных плат Dingtian DT-R002, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00367 | Уязвимость микропрограммного обеспечения релейных плат Dingtian DT-R002, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00778 | Уязвимость централизованной системы управления батареей Battery Management System (BMS), связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю осуществить подмену криптографической подписи |
| BDU:2026-00779 | Уязвимость централизованной системы управления Multi-Stack Controller (MSC), связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю осуществить подмену криптографической подписи |
| BDU:2026-02593 | Уязвимость промышленных компьютеров Moxa, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-0755 | Rockwell RSLogix 5000 Insufficiently Protected Credentials |
| CVE-2014-1423 | Online Accounts Signon daemon gives out all oauth tokens to any app |
| CVE-2016-15014 | CESNET theme-cesnet resetpassword.php insufficiently protected credentials |
| CVE-2016-9593 | foreman-debug before version 1.15.0 is vulnerable to a flaw in foreman-debug's logging. An attacker with access to the forema... |
| CVE-2017-0925 | Gitlab Enterprise Edition version 10.1.0 is vulnerable to an insufficiently protected credential issue in the project service... |
| CVE-2017-13998 | An Insufficiently Protected Credentials issue was discovered in LOYTEC LVIS-3ME versions prior to 6.2.0. The application does... |
| CVE-2017-16718 | Beckhoff TwinCAT 3 supports communication over ADS. ADS is a protocol for industrial automation in protected environments. Th... |
| CVE-2017-2665 | The skyring-setup command creates random password for mongodb skyring database but it writes password in plain text to /etc/s... |
| CVE-2017-3192 | D-Link DIR-130 firmware version 1.23 and DIR-330 firmware version 1.12 do not sufficiently protect administrator credentials.... |
| CVE-2017-5189 | private SSL key embedded in JAR file in iManager |
| CVE-2017-6028 | An Insufficiently Protected Credentials issue was discovered in Schneider Electric Modicon PLCs Modicon M241, all firmware ve... |
| CVE-2017-6046 | An Insufficiently Protected Credentials issue was discovered in Sierra Wireless AirLink Raven XE, all versions prior to 4.0.1... |
| CVE-2017-7486 | PostgreSQL versions 8.4 - 9.6 are vulnerable to information leak in pg_user_mappings view which discloses foreign server pass... |
| CVE-2017-7524 | tpm2-tools versions before 1.1.1 are vulnerable to a password leak due to transmitting password in plaintext from client to s... |
| CVE-2017-7547 | PostgreSQL versions before 9.2.22, 9.3.18, 9.4.13, 9.5.8 and 9.6.4 are vulnerable to authorization flaw allowing remote authe... |
| CVE-2017-8446 | The Reporting feature in X-Pack in versions prior to 5.5.2 and standalone Reporting plugin versions versions prior to 2.4.6 h... |
| CVE-2017-9552 | A design flaw in authentication in Synology Photo Station 6.0-2528 through 6.7.1-3419 allows local users to obtain credential... |
| CVE-2018-17900 | Yokogawa STARDOM Controllers FCJ, FCN-100, FCN-RTU, FCN-500, All versions R4.10 and prior, The web application improperly pro... |
| CVE-2018-17922 | Circontrol CirCarLife all versions prior to 4.3.1, the PAP credentials of the device are stored in clear text in a log file t... |
| CVE-2018-3609 | A vulnerability in the Trend Micro InterScan Messaging Security Virtual Appliance 9.0 and 9.1 management portal could allow a... |
| CVE-2018-7518 | In TotalAlert Web Application in BeaconMedaes Scroll Medical Air Systems prior to v4107600010.23, an attacker with network ac... |
| CVE-2018-8858 | If an attacker has access to the firmware from the VGo Robot (Versions 3.0.3.52164 and 3.0.3.53662. Prior versions may also b... |
| CVE-2019-10139 | During HE deployment via cockpit-ovirt, cockpit-ovirt generates an ansible variable file `/var/lib/ovirt-hosted-engine-setup/... |
| CVE-2019-10205 | A flaw was found in the way Red Hat Quay stores robot account tokens in plain text. An attacker able to perform database quer... |
| CVE-2019-10206 | ansible-playbook -k and ansible cli tools, all versions 2.8.x before 2.8.4, all 2.7.x before 2.7.13 and all 2.6.x before 2.6.... |
| CVE-2019-10210 | Postgresql Windows installer before versions 11.5, 10.10, 9.6.15, 9.5.19, 9.4.24 is vulnerable via superuser writing password... |
| CVE-2019-10214 | The containers/image library used by the container tools Podman, Buildah, and Skopeo in Red Hat Enterprise Linux version 8 an... |
| CVE-2019-10224 | A flaw has been found in 389-ds-base versions 1.4.x.x before 1.4.1.3. When executed in verbose mode, the dscreate and dsconf... |
| CVE-2019-10225 | A flaw was found in atomic-openshift of openshift-4.2 where the basic-user RABC role in OpenShift Container Platform doesn't... |
| CVE-2019-10960 | Zebra Industrial Printers All Versions, Zebra printers are shipped with unrestricted end-user access to front panel options.... |
| CVE-2019-10981 | In Vijeo Citect 7.30 and 7.40, and CitectSCADA 7.30 and 7.40, a vulnerability has been identified that may allow an authentic... |
| CVE-2019-11284 | Reactor Netty authentication leak in redirects |
| CVE-2019-11820 | Information exposure through process environment vulnerability in Synology Calendar before 2.3.3-0620 allows local users to o... |
| CVE-2019-13421 | Search Guard versions before 23.1 had an issue that an administrative user is able to retrieve bcrypt password hashes of othe... |
| CVE-2019-14840 | A flaw was found in the RHDM, where sensitive HTML form fields like Password has auto-complete enabled which may lead to leak... |
| CVE-2019-17082 | Insufficiently Protected Credentials vulnerability in OpenText™ AccuRev allows Authentication Bypass. When installed on a Lin... |
| CVE-2019-25030 | In Versa Director, Versa Analytics and VOS, Passwords are not hashed using an adaptive cryptographic hash function or key der... |
| CVE-2019-3782 | CredHub CLI writes environment variable credentials to disk |
| CVE-2019-3800 | CF CLI writes the client id and secret to config file |
| CVE-2019-3938 | Crestron AM-100 with firmware 1.6.0.2 and AM-101 with firmware 2.7.0.2 stores usernames, passwords, and other configuration o... |
| CVE-2019-5648 | LDAP Credential Exposure in Barracuda Load Balancer ADC |
| CVE-2019-6525 | AVEVA Wonderware System Platform 2017 Update 2 and prior uses an ArchestrA network user account for authentication of system... |
| CVE-2019-9533 | The root password of the Cobham EXPLORER 710 is the same for all versions of firmware up to and including v1.08 |
| CVE-2020-10710 | A flaw was found where the Plaintext Candlepin password is disclosed while updating Red Hat Satellite through the satellite-i... |
| CVE-2020-10755 | An insecure-credentials flaw was found in all openstack-cinder versions before openstack-cinder 14.1.0, all openstack-cinder... |
| CVE-2020-14334 | A flaw was found in Red Hat Satellite 6 which allows privileged attacker to read cache files. These cache credentials could h... |
| CVE-2020-14391 | A flaw was found in the GNOME Control Center in Red Hat Enterprise Linux 8 versions prior to 8.2, where it improperly uses Re... |
| CVE-2020-14489 | OpenClinic GA |
| CVE-2020-15157 | containerd can be coerced into leaking credentials during image pull |
| CVE-2020-15791 | A vulnerability has been identified in SIMATIC S7-300 CPU family (incl. related ET200 CPUs and SIPLUS variants) (All versions... |
| CVE-2020-16097 | On controllers running versions of v8.20 prior to vCR8.20.200221b (distributed in v8.20.1093(MR2)), v8.10 prior to vGR8.10.17... |
| CVE-2020-1688 | Junos OS: SRX and NFX Series: Insufficient Web API private key protection |
| CVE-2020-2499 | Hard-coded Password Vulnerability in QES |
| CVE-2020-25235 | A vulnerability has been identified in LOGO! 8 BM (incl. SIPLUS variants) (All versions < V8.3). The password used for authen... |
| CVE-2020-27258 | In SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i and AnyDana-A, an information disclosure vulnerability in the communic... |
| CVE-2020-27781 | User credentials can be manipulated and stolen by Native CephFS consumers of OpenStack Manila, resulting in potential privile... |
| CVE-2020-27839 | A flaw was found in ceph-dashboard. The JSON Web Token (JWT) used for user authentication is stored by the frontend applicati... |
| CVE-2020-28219 | A CWE-522: Insufficiently Protected Credentials vulnerability exists in EcoStruxure Geo SCADA Expert 2019 (Original release a... |
| CVE-2020-28390 | A vulnerability has been identified in Opcenter Execution Core (V8.2), Opcenter Execution Core (V8.3). The application contai... |
| CVE-2020-5263 | Information disclosure through error object |
| CVE-2020-5400 | Cloud Controller logs environment variables from app manifests |
| CVE-2020-5404 | Authentication Leak On Redirect With Reactor Netty HttpClient |
| CVE-2020-5406 | PCF Autoscaling logs its database credentials |
| CVE-2020-6969 | It is possible to unmask credentials and other sensitive information on “unprotected” project files, which may allow an attac... |
| CVE-2020-7030 | IPO Information Disclosure |
| CVE-2020-7299 | Sensitive Data Exposure vulnerability in McAfee True Key Windows Client |
| CVE-2020-7306 | DLP for Mac - Unprotected Storage of Credentials |
| CVE-2020-7307 | DLP for Mac - Unprotected Storage of Credentials |
| CVE-2020-8152 | Insufficient protection of the server-side encryption keys in Nextcloud Server 19.0.1 allowed an attacker to replace the publ... |
| CVE-2020-8259 | Insufficient protection of the server-side encryption keys in Nextcloud Server 19.0.1 allowed an attacker to replace the encr... |
| CVE-2020-8339 | A cross-site scripting inclusion (XSSI) vulnerability was reported in the legacy IBM BladeCenter Advanced Management Module (... |
| CVE-2021-1232 | Cisco SD-WAN vManage Information Disclosure Vulnerability |
| CVE-2021-1392 | Cisco IOS and IOS XE Software Common Industrial Protocol Privilege Escalation Vulnerability |
| CVE-2021-1537 | Cisco ThousandEyes Recorder Information Disclosure Vulnerability |
| CVE-2021-20997 | WAGO: Managed Switches: Unauthorized access to password hashes |
| CVE-2021-22132 | Elasticsearch versions 7.7.0 to 7.10.1 contain an information disclosure flaw in the async search API. Users who execute an a... |
| CVE-2021-22681 | Rockwell Automation Studio 5000 Logix Designer Versions 21 and later, and RSLogix 5000 Versions 16 through 20 use a key to ve... |
| CVE-2021-22778 | Insufficiently Protected Credentials vulnerability exists in EcoStruxure Control Expert (all versions prior to V15.0 SP1, inc... |
| CVE-2021-22780 | Insufficiently Protected Credentials vulnerability exists in EcoStruxure Control Expert (all versions prior to V15.0 SP1, inc... |
| CVE-2021-22781 | Insufficiently Protected Credentials vulnerability exists in EcoStruxure Control Expert (all versions prior to V15.0 SP1, inc... |
| CVE-2021-22798 | A CWE-522: Insufficiently Protected Credentials vulnerability exists that could cause Sensitive data such as login credential... |
| CVE-2021-23196 | Fresenius Kabi Agilia Connect Infusion System insufficiently protected credentials |
| CVE-2021-23222 | A man-in-the-middle attacker can inject false responses to the client's first few queries, despite the use of SSL certificate... |
| CVE-2021-27491 | Ypsomed mylife Cloud, mylife Mobile Application:Ypsomed mylife Cloud,All versions prior to 1.7.2,Ypsomed mylife App,All versi... |
| CVE-2021-27495 | Ypsomed mylife Cloud, mylife Mobile Application:Ypsomed mylife Cloud,All versions prior to 1.7.2,Ypsomed mylife App,All versi... |
| CVE-2021-27785 | HCL Commerce could allow a local attacker to obtain sensitive personal information (CVE-2021-27785) |
| CVE-2021-28171 | Vangene deltaFlow E-platform - Broken Authentication |
| CVE-2021-28813 | Insufficiently Protected Credentials Vulnerability in QSW-M2116P-2T2S and QuNetSwitch |
| CVE-2021-29262 | Misapplied Zookeeper ACLs can result in leakage of configured authentication and authorization settings |
| CVE-2021-30167 | MERIT LILIN ENT.CO.,LTD. P2/Z2/P3/Z3 IP camera - Broken Authentication |
| CVE-2021-32039 | MongoDB Extension for VS Code may unexpectedly store credentials locally in clear text |
| CVE-2021-33024 | Philips Vue PACS Insufficiently Protected Credentials |
| CVE-2021-3344 | A privilege escalation flaw was found in OpenShift builder. During build time, credentials outside the build context are auto... |
| CVE-2021-34560 | A vulnerability in WirelessHART-Gateway <= 3.0.9 could lead to information exposure of sensitive information |
| CVE-2021-34700 | Cisco SD-WAN vManage Software Information Disclosure Vulnerability |
| CVE-2021-34733 | Cisco Prime Infrastructure and Cisco Evolved Programmable Network Manager Information Disclosure Vulnerability |
| CVE-2021-3513 | A flaw was found in keycloak where a brute force attack is possible even when the permanent lockout feature is enabled. This... |
| CVE-2021-3528 | A flaw was found in noobaa-operator in versions before 5.7.0, where internal RPC AuthTokens between the noobaa operator and t... |
| CVE-2021-35529 | Password in Memory Vulnerability in Retail Operations Product and Counterparty Settlement and Billing (CSB) |
| CVE-2021-35965 | Learningdigital.com, Inc. Orca HCM - Hard-code password |
| CVE-2021-36204 | Insufficiently Protected Credentials in Metasys |
| CVE-2021-36783 | Rancher: Failure to properly sanitize credentials in cluster template answers |
| CVE-2021-3681 | A flaw was found in Ansible Galaxy Collections. When collections are built manually, any files in the repository directory th... |
| CVE-2021-3789 | An information disclosure vulnerability was reported in some Motorola-branded Binatone Hubble Cameras that could allow an att... |
| CVE-2021-38938 | IBM Host Access Transformation Services information disclosure |
| CVE-2021-40503 | An information disclosure vulnerability exists in SAP GUI for Windows - versions < 7.60 PL13, 7.70 PL4, which allows an attac... |
| CVE-2021-41297 | ECOA BAS controller - Insufficiently Protected Credentials-1 |
| CVE-2021-41300 | ECOA BAS controller - Insufficiently Protected Credentials-2 |
| CVE-2021-41972 | Credentials leak |
| CVE-2021-42023 | A vulnerability has been identified in ModelSim Simulation (All versions), Questa Simulation (All versions). The RSA white-bo... |
| CVE-2021-43767 | Odyssey passes to client unencrypted bytes from man-in-the-middle When Odyssey storage is configured to use the PostgreSQL se... |
| CVE-2021-44451 | API sensitive information leak |
| CVE-2022-0019 | GlobalProtect App: Insufficiently Protected Credentials Vulnerability on Linux |
| CVE-2022-0718 | A flaw was found in python-oslo-utils. Due to improper parsing, passwords with a double quote ( " ) in them cause incorrect m... |
| CVE-2022-0859 | ePO database restoration vulnerability |
| CVE-2022-0862 | ePO password change vulnerability |
| CVE-2022-1026 | Kyocera Net View Address Book Exposure |
| CVE-2022-1666 | Secheron SEPCOS Control and Protection Relay |
| CVE-2022-1766 | Anchore Enterprise anchorectl version 0.1.4 improperly stored credentials when generating a Software Bill of Materials. ancho... |
| CVE-2022-22998 | Protecting AWS credentials stored in plaintext on My Cloud Home |
| CVE-2022-23223 | Apache ShenYu Password leakage |
| CVE-2022-23538 | User credentials leaked to third-party service via HTTP redirect in scs-library-client |
| CVE-2022-23725 | PingID Windows Login prior to 2.8 does not properly set permissions on the Windows Registry entries used to store sensitive A... |
| CVE-2022-26856 | Dell EMC Repository Manager version 3.4.0 contains a plain-text password storage vulnerability. A local attacker could potent... |
| CVE-2022-27179 | ICSA-22-104-03 Red Lion DA50N |
| CVE-2022-27544 | HCL BigFix Web Reports authorized users may see sensitive information in clear text |
| CVE-2022-27560 | An insufficiently protected credential vulnerability affects HCL VersionVault Express |
| CVE-2022-27774 | An insufficiently protected credentials vulnerability exists in curl 4.9 to and include curl 7.82.0 are affected that could a... |
| CVE-2022-27776 | A insufficiently protected credentials vulnerability in fixed in curl 7.83.0 might leak authentication or cookie header data... |
| CVE-2022-28291 | Insufficiently Protected Credentials: An authenticated user with debug privileges can retrieve stored Nessus policy credentia... |
| CVE-2022-29089 | Dell Networking OS10, versions prior to October 2021 with Smart Fabric Services enabled, contains an information disclosure v... |
| CVE-2022-2967 | Prosys OPC UA Simulation Server version prior to v5.3.0-64 and UA Modbus Server versions 1.4.18-5 and prior do not sufficient... |
| CVE-2022-29833 | Insufficiently Protected Credentials vulnerability in Mitsubishi Electric Corporation GX Works3 versions 1.015R and later all... |
| CVE-2022-29839 | Remote Backups Application Discloses Stored Credentials |
| CVE-2022-31044 | Plaintext Storage of Keys and Passwords in Rundeck and PagerDuty Process Automation |
| CVE-2022-3206 | Passster < 3.5.5.5.2 - Insecure Storage of Password |
| CVE-2022-32518 | A CWE-522: Insufficiently Protected Credentials vulnerability exists that could result in unwanted access to a DCE instance w... |
| CVE-2022-32520 | A CWE-522: Insufficiently Protected Credentials vulnerability exists that could result in unwanted access to a DCE instance w... |
| CVE-2022-33954 | IBM Robotic Process Automation information disclosure |
| CVE-2022-34311 | IBM CICS TX session fixation |
| CVE-2022-3474 | Bazel leaks user credentials through the remote assets API |
| CVE-2022-36077 | Electron subject to Exfiltration of hashed SMB credentials on Windows via file:// redirect |
| CVE-2022-36307 | The AirVelocity 1500 prints SNMP credentials on its physically accessible serial port during boot. This was fixed in AirVeloc... |
| CVE-2022-38121 | POWERCOM CO., LTD. UPSMON PRO - Insufficiently Protected Credentials |
| CVE-2022-38465 | A vulnerability has been identified in SIMATIC Drive Controller family (All versions < V2.9.2), SIMATIC ET 200SP Open Control... |
| CVE-2022-40678 | An insufficiently protected credentials in Fortinet FortiNAC versions 9.4.0, 9.2.0 through 9.2.5, 9.1.0 through 9.1.7, 8.8.0... |
| CVE-2022-40685 | Insufficiently protected credentials in the Intel(R) DCM software before version 5.0.1 may allow an authenticated user to pot... |
| CVE-2022-40751 | IBM UrbanCode Deploy information disclosure |
| CVE-2022-45157 | Exposure of vSphere's CPI and CSI credentials in Rancher |
| CVE-2022-45859 | An insufficiently protected credentials vulnerability [CWE-522] in FortiNAC-F 7.2.0, FortiNAC 9.4.1 and below, 9.2.6 and belo... |
| CVE-2022-4612 | Click Studios Passwordstate insufficiently protected credentials |
| CVE-2022-46155 | Airtable.js credentials exposed in browser builds |
| CVE-2023-1518 | CP Plus KVMS Pro versions 2.01.0.T.190521 and prior are vulnerable to sensitive credentials being leaked because they are in... |
| CVE-2023-23370 | QVPN Device Client |
| CVE-2023-23463 | Sunell DVR – Insufficiently Protected Credentials |
| CVE-2023-24498 | Netgear ProSAFE 24 Port 10/100 FS726TP - CWE-522: Insufficiently Protected Credentials. |
| CVE-2023-24506 | Milesight NCR/Camera CWE-522: Insufficiently Protected Credentials |
| CVE-2023-25495 | A valid, authenticated administrative user can query a web interface API to reveal the configured LDAP client password used b... |
| CVE-2023-25531 | NVIDIA DGX H100 BMC contains a vulnerability in IPMI, where an attacker may cause insufficient protection of credentials. A s... |
| CVE-2023-25532 | NVIDIA DGX H100 BMC contains a vulnerability in IPMI, where an attacker may cause insufficient protection of credentials. A s... |
| CVE-2023-26221 | TIBCO Spotfire Insufficiently Protected Credential vulnerability |
| CVE-2023-27975 | CWE-522: Insufficiently Protected Credentials vulnerability exists that could cause unauthorized access to the project file... |
| CVE-2023-28084 | HPE OneView and HPE OneView Global Dashboard appliance dumps may expose authentication tokens |
| CVE-2023-28764 | Information Disclosure vulnerability in SAP BusinessObjects Platform |
| CVE-2023-29055 | Apache Kylin: Insufficiently protected credentials in config file |
| CVE-2023-29168 | PTC Vuforia Studio Insufficiently Protected Credentials |
| CVE-2023-29447 | Insufficiently Protected Credentials in PTC's Kepware KEPServerEX |
| CVE-2023-30776 | Apache Superset: Database connection password leak |
| CVE-2023-30846 | typed-rest-client vulnerable to potential leak of authentication data to 3rd parties |
| CVE-2023-31136 | PostgresNIO processes unencrypted bytes from man-in-the-middle |
| CVE-2023-31187 | Avaya IX Workforce Engagement - CWE-522: Insufficiently Protected Credentials |
| CVE-2023-32268 | Administrator equivalent Filr user can access proxy administrator credentials |
| CVE-2023-32280 | Insufficiently protected credentials in some Intel(R) Server Product OpenBMC firmware before versions egs-1.05 may allow an u... |
| CVE-2023-3251 | Pass-back vulnerability in Nessus |
| CVE-2023-32687 | Insufficiently Protected ChatBot Credentials in tgstation-server |
| CVE-2023-35348 | Active Directory Federation Service Security Feature Bypass Vulnerability |
| CVE-2023-37362 | Weintek Weincloud Improper Authentication |
| CVE-2023-37400 | IBM Aspera Faspex privilege escalation |
| CVE-2023-40173 | Unsalted passwords in fobybus/social-media-skeleton |
| CVE-2023-41677 | A insufficiently protected credentials in Fortinet FortiProxy 7.4.0, 7.2.0 through 7.2.6, 7.0.0 through 7.0.12, 2.0.0 through... |
| CVE-2023-41926 | Insufficiently protected credentials in Kiloview P1/P2 devices |
| CVE-2023-4327 | Broadcom RAID Controller web interface is vulnerable to exposure of sensitive data and the keys used for encryption are acces... |
| CVE-2023-4328 | Broadcom RAID Controller web interface is vulnerable to exposure of sensitive data and the keys used for encryption are acce... |
| CVE-2023-43630 | Config Partition Not Measured From 2 Fronts |
| CVE-2023-43631 | SSH as Root Unlockable Without Triggering Measured Boot |
| CVE-2023-43633 | Debug Functions Unlockable Without Triggering Measured Boot |
| CVE-2023-43634 | Config Partition Not Protected by Measured Boot |
| CVE-2023-43635 | Vault Key Sealed With SHA1 PCRs |
| CVE-2023-44158 | Sensitive information disclosure due to insufficient token field masking. The following products are affected: Acronis Cyber... |
| CVE-2023-4538 | Shared Key in Comarch ERP XL |
| CVE-2023-46115 | Updater Private Keys Possibly Leaked via Vite Environment Variables in tauri-cli |
| CVE-2023-49280 | Data leak of password hash through xwiki change request |
| CVE-2023-50291 | Apache Solr: System Property redaction logic inconsistency can lead to leaked passwords |
| CVE-2023-50310 | IBM CICS Transaction Gateway for Multiplatforms information disclosure |
| CVE-2023-50311 | IBM CICS Transaction Gateway for Multiplatforms information disclosure |
| CVE-2023-6254 | Password is send back to client |
| CVE-2023-6259 | Local Access to Sensitive Data in Brivo ACS100 and ACS300 |
| CVE-2024-11856 | HPE IceWall Products, Remote Unauthorized Data Modification |
| CVE-2024-12511 | SMB/FTP Address Book Scan Pass-back attack |
| CVE-2024-12799 | Insufficiently Protected Credentials |
| CVE-2024-21815 | Insufficiently protected credentials (CWE-522) for third party DVR integrations to the Command Centre Server are accessible... |
| CVE-2024-22345 | IBM TXSeries for Multiplatforms information disclosure |
| CVE-2024-23306 | BIG-IP Next CNF & SPK vulnerability |
| CVE-2024-23551 | HCL BigFix Compliance is potentially affected by Oracle database credentials stored at endpoint |
| CVE-2024-23583 | HCL BigFix Platform is susceptible to insufficiently protected credentials |
| CVE-2024-24595 | Allegro AI’s open-source version of ClearML stores passwords in plaintext within the MongoDB instance, resulting in a comprom... |
| CVE-2024-27109 | Insufficiently protected credentials in GE HealthCare EchoPAC products |
| CVE-2024-28110 | Go SDK for CloudEvents's use of WithRoundTripper to create a Client leaks credentials |
| CVE-2024-28981 | Hitachi Vantara Pentaho Data Integration & Analytics - Insufficiently Protected Credentials |
| CVE-2024-29992 | Azure Identity Library for .NET Information Disclosure Vulnerability |
| CVE-2024-30119 | HCL DRYiCE Optibot Reset Station is impacted by a missing Strict Transport Security Header |
| CVE-2024-33496 | A vulnerability has been identified in SIMATIC RTLS Locating Manager (6GT2780-0DA00) (All versions < V3.0.1.1), SIMATIC RTLS... |
| CVE-2024-33497 | A vulnerability has been identified in SIMATIC RTLS Locating Manager (6GT2780-0DA00) (All versions < V3.0.1.1), SIMATIC RTLS... |
| CVE-2024-35192 | Trivy possibly leaks registry credential when scanning images from malicious registries |
| CVE-2024-35208 | A vulnerability has been identified in SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (All versions < V1.2). The affected web se... |
| CVE-2024-36127 | apko Exposure of HTTP basic auth credentials in log output |
| CVE-2024-37362 | Hitachi Vantara Pentaho Data Integration & Analytics - Insufficiently Protected Credentials |
| CVE-2024-38282 | Insufficiently Protected Credentials in Motorola Solutions Vigilant Fixed LPR Coms Box (BCAV1F2-C600) |
| CVE-2024-38285 | Insufficiently Protected Credentials in Motorola Solutions Vigilant Fixed LPR Coms Box (BCAV1F2-C600) |
| CVE-2024-39278 | Hughes Network Systems Insufficiently Protected Credentials |
| CVE-2024-39290 | Insufficiently protected credentials issue exists in AIPHONE IX SYSTEM and IXG SYSTEM. A network-adjacent unauthenticated att... |
| CVE-2024-39818 | Zoom Workplace Apps and SDKs - Protection Mechanism Failure |
| CVE-2024-40703 | IBM Cognos Analytics information disclosure |
| CVE-2024-40704 | IBM InfoSphere Information Server information disclosure |
| CVE-2024-41770 | IBM Engineering Requirements Management DOORS Next information disclosure |
| CVE-2024-41771 | IBM Engineering Requirements Management DOORS Next information disclosure |
| CVE-2024-42192 | HCL Traveler for Microsoft Outlook (HTMO) is susceptible to a credential leakage |
| CVE-2024-43812 | Kieback&Peter DDC4000 Series Path Traversal Insufficiently Protected Credentials |
| CVE-2024-44000 | WordPress LiteSpeed Cache plugin < 6.5.0.1 - Unauthenticated Account Takeover via Cookie Leak vulnerability |
| CVE-2024-4536 | Eclipse EDC: OAuth2 Credential Exfiltration Vulnerability |
| CVE-2024-46480 | An NTLM hash leak in Venki Supravizio BPM up to 18.0.1 allows authenticated attackers with Application Administrator access t... |
| CVE-2024-47081 | Requests vulnerable to .netrc credentials leak via malicious URLs |
| CVE-2024-47109 | IBM Sterling File Gateway information disclosure |
| CVE-2024-47142 | AIPHONE IXG SYSTEM IXG-2C7 firmware Ver.2.03 and earlier and IXG-2C7-L firmware Ver.2.03 and earlier contain an issue with in... |
| CVE-2024-47588 | Information Disclosure vulnerability in SAP NetWeaver Java (Software Update Manager) |
| CVE-2024-49364 | tiny-secp256k1 vulnerable to private key extraction when signing a malicious JSON-stringifyable message in bundled environmen... |
| CVE-2024-49396 | Insufficiently Protected Credentials in Elvaco M-Bus Metering Gateway CMe3100 |
| CVE-2024-51545 | Username Enumeration |
| CVE-2024-5176 | Vulnerability in Welch Allyn Configuration Tool Software |
| CVE-2024-51984 | Authenticated disclosure of external service passwords via pass-back attack affecting multiple models from Brother Industries... |
| CVE-2024-53832 | A vulnerability has been identified in CPCI85 Central Processing/Communication (All versions < V05.30). The affected devices... |
| CVE-2024-6749 | Seth Fogie, member of the AXIS Camera Station Pro Bug Bounty Program, has found that the Incident report feature may expose s... |
| CVE-2024-7389 | Forminator <= 1.29.1 - HubSpot Developer API Key Sensitive Information Exposure |
| CVE-2024-7755 | HMS Networks EWON FLEXY 202 Insufficiently Protected Credentials |
| CVE-2024-7813 | SourceCodester Prison Management System Profile Image insufficiently protected credentials |
| CVE-2024-8986 | Information Leakage in grafana-plugin-sdk-go |
| CVE-2024-9418 | Insufficiently Protected Credentials in transformeroptimus/superagi |
| CVE-2024-9677 | The insufficiently protected credentials vulnerability in the CLI command of the USG FLEX H series uOS firmware version V1.21... |
| CVE-2025-0477 | Rockwell Automation FactoryTalk® AssetCentre Data Exposure Vulnerability |
| CVE-2025-0497 | Rockwell Automation FactoryTalk® AssetCentre Data Exposure Vulnerability |
| CVE-2025-0498 | Rockwell Automation FactoryTalk® AssetCentre Data Exposure Vulnerability |
| CVE-2025-0619 | Unsafe stored password recovery |
| CVE-2025-0760 | Stored Credential Disclosure Vulnerability |
| CVE-2025-0867 | Privilege Escalation in MEAC300 |
| CVE-2025-10360 | Insufficiently Protected Credentials in Puppet Enterprise 2025.4 and 2025.5 |
| CVE-2025-10879 | Insufficiently Protected Credentials in Dingtian DT-R002 |
| CVE-2025-10880 | Insufficiently Protected Credentials in Dingtian DT-R002 |
| CVE-2025-12461 | Unprotected access to parts of the application in Epsilon RH by Grupo Castilla |
| CVE-2025-12636 | Ubia Ubox |
| CVE-2025-13163 | Digiwin|EasyFlow GP - Insufficiently Protected Credentials |
| CVE-2025-13164 | Digiwin|EasyFlow GP - Insufficiently Protected Credentials |
| CVE-2025-1886 | Pass-Back vulnerability in Sage 200 Spain |
| CVE-2025-22372 | Insecure password storage in SicommNet BASEC |
| CVE-2025-23040 | Maliciously crafted remote URLs could lead to credential leak in GitHub Desktop |
| CVE-2025-2311 | Authentication Bypass in Sechard Information Technologies' SecHard |
| CVE-2025-23342 | The NVIDIA NVDebug tool contains a vulnerability that may allow an actor to gain access to a privileged account . A successfu... |
| CVE-2025-2394 | Disclosure of Alibaba (OSS) Keys In Ecovacs Home Android and iOS Mobile Applications |
| CVE-2025-26628 | Azure Local Cluster Information Disclosure Vulnerability |
| CVE-2025-27192 | Adobe Commerce | Insufficiently Protected Credentials (CWE-522) |
| CVE-2025-27231 | LDAP 'Bind password' field value can be leaked by a Zabbix Super Admin |
| CVE-2025-2772 | BEC Technologies Multiple Routers Insufficiently Protected Credentials Information Disclosure Vulnerability |
| CVE-2025-2908 | Insufficiently Protected Credentials vulnerability in MeetMe products |
| CVE-2025-30183 | CyberData 011209 SIP Emergency Intercom Insufficiently Protected Credentials |
| CVE-2025-3078 | A passback vulnerability which relates to production printers and office multifunction printers. |
| CVE-2025-3079 | A passback vulnerability which relates to office/small office multifunction printers and laser printers. |
| CVE-2025-32963 | Minio Operator uses Kubernetes apiserver audience for AssumeRoleWithWebIdentity STS |
| CVE-2025-34062 | OneLogin AD Connector API Credential and Signing Key Exposure |
| CVE-2025-34139 | Sitecore XM/XP/XC and Managed Cloud 8.0 - 10.4 Arbitrary File Read |
| CVE-2025-34196 | Vasion Print (formerly PrinterLogic) Hardcoded PrinterLogic CA Private Key and Hardcoded Password |
| CVE-2025-34207 | Vasion Print (formerly PrinterLogic) Insecure SSH Client Configuration |
| CVE-2025-34270 | Nagios Log Server < 2024R2.0.2 AD/LDAP Import Password Not Obfuscated |
| CVE-2025-3480 | MedDream WEB DICOM Viewer Cleartext Transmission of Credentials Information Disclosure Vulnerability |
| CVE-2025-35054 | Newforma Info Exchange (NIX) insufficiently protected credentials |
| CVE-2025-36096 | AIX Insufficiently Protected Credentials |
| CVE-2025-37728 | Kibana Insufficiently Protected Credentials in the CrowdStrike Connector |
| CVE-2025-38739 | Dell Digital Delivery, versions prior to 5.6.1.0, contains an Insufficiently Protected Credentials vulnerability. A remote un... |
| CVE-2025-40751 | A vulnerability has been identified in SIMATIC RTLS Locating Manager (All versions < V3.3). Affected SIMATIC RTLS Locating Ma... |
| CVE-2025-40838 | Ericsson Indoor Connect 8855 - Insufficiently Protected Credentials Vulnerability |
| CVE-2025-41682 | Credential Disclosure via Insecure Storage on Charge Controller |
| CVE-2025-42897 | Information Disclosure vulnerability in SAP Business One (SLD) |
| CVE-2025-42933 | Insecure Storage of Sensitive Information in SAP Business One (SLD) |
| CVE-2025-4679 | A vulnerability in Synology Active Backup for Microsoft 365 allows remote authenticated attackers to obtain sensitive informa... |
| CVE-2025-46820 | phpgt/Dom exposes the GITHUB_TOKEN in Dom workflow run artifact |
| CVE-2025-52545 | Privilege escalation in the application services |
| CVE-2025-52549 | Predictable root linux password generation |
| CVE-2025-53008 | GLPI's MailCollector Receiver is vulnerable to credential exfiltration |
| CVE-2025-54380 | Opencast still publishes global system account credentials |
| CVE-2025-54422 | Sandboxie exposes encrypted sandbox key during password change |
| CVE-2025-54428 | RevelaCode exposes Sensitive MongoDB Atlas URI in .env (potential credential leak) |
| CVE-2025-54467 | NeuVector process with sensitive arguments lead to leakage |
| CVE-2025-54808 | Oxford Nanopore Technologies MinKNOW Insufficiently Protected Credentials |
| CVE-2025-54863 | Insufficiently Protected Credentials in Radiometrics VizAir |
| CVE-2025-54876 | Jans CLI stores plaintext passwords in the local cli_cmd.log file |
| CVE-2025-54882 | Himmelblau's Kerberos credential cache collection is world readable |
| CVE-2025-55306 | GenX_FX authentication bypass in JWT validation |
| CVE-2025-55739 | api: Shared OAuth Signing Key Between Different Instances |
| CVE-2025-57806 | Local Deep Research's API keys are stored in plain text |
| CVE-2025-58130 | Apache Fineract: Server Key not masked |
| CVE-2025-58366 | Onyxia private helm repository credentials are leaked through unauthenticated API |
| CVE-2025-5922 | Retrievable password hash protecting TSplus admin console |
| CVE-2025-6081 | Pass-back attack in Konica Minolta bizhub 227 multifunctional printers |
| CVE-2025-61776 | Dependency-Track possibly discloses private NuGet repository credentials to api.nuget.org |
| CVE-2025-62157 | Argo Workflows exposes artifact repository credentials in workflow-controller logs |
| CVE-2025-6227 | Invite token is used as part of the secure communication |
| CVE-2025-62327 | HCL DevOps Deploy is susceptible to insufficiently protected credentials |
| CVE-2025-62794 | GitHub Workflow Updater stored the optional Github token in plaintext |
| CVE-2025-64122 | Nuvation Energy Multi-Stack Controller Private Key Stored on Device |
| CVE-2025-64420 | Coolify members can see private key of root user |
| CVE-2025-64898 | ColdFusion | Insufficiently Protected Credentials (CWE-522) |
| CVE-2025-65098 | Typebot Vulnerable to Credential Theft via Client-Side Script Execution and API Authorization Bypass |
| CVE-2025-6519 | Consistent predictable generation of the password for the default admin user "ONEDAY" to the application services |
| CVE-2025-6526 | 70mai M300 HTTP Server insufficiently protected credentials |
| CVE-2025-6571 | A 3rd-party component exposed its password in process arguments, allowing for low-privileged users to access it. |
| CVE-2025-66029 | Open OnDemand affected by Apache proxy passing sensitive headers |
| CVE-2025-67732 | Dify Vulnerable to Plaintext API Key Exposure via Model Provider Configuration Endpoint |
| CVE-2025-67860 | NeuVector scanner insecurely handles passwords as command arguments |
| CVE-2025-69271 | Spectrum basic authentication in use |
| CVE-2025-9521 | Password Confirmation Bypass in Omada Controller |
| CVE-2026-0689 | XIQ‑SE NAC Admin Credential Exposure via HTTP Response |
| CVE-2026-0715 | Moxa Arm-based industrial computers running Moxa Industrial Linux Secure use a device-unique bootloader password provided on... |
| CVE-2026-1223 | BROWAN COMMUNICATIONS |PrismX MX100 AP controller - Insufficiently Protected Credentials |
| CVE-2026-1966 | YugabyteDB Anywhere Exposes LDAP Credentials in Cleartext in Web UI |
| CVE-2026-20435 | In preloader, there is a possible read of device unique identifiers due to a logic error. This could lead to local informatio... |
| CVE-2026-20733 | CloudCharge cloudcharge.se Insufficiently Protected Credentials |
| CVE-2026-20791 | Chargemap chargemap.com Insufficiently Protected Credentials |
| CVE-2026-21852 | Claude Code Leaks Data via Malicious Environment Configuration Before Trust Confirmation |
| CVE-2026-22240 | Plaintext Passwords Vulnerability in BLUVOYIX |
| CVE-2026-22878 | Mobility46 mobility46.se Insufficiently Protected Credentials |
| CVE-2026-22890 | EV2GO ev2go.io Insufficiently Protected Credentials |
| CVE-2026-23742 | Skipper arbitrary code execution through lua filters |
| CVE-2026-23958 | DataEase Vulnerable to Brute-Force Attack on Admin JWT Secret Derived from Password that Enables Full Account Takeover |
| CVE-2026-24845 | malcontent's OCI image scanning could expose registry credentials |
| CVE-2026-25774 | EV Energy ev.energy Insufficiently Protected Credentials |
| CVE-2026-26049 | Jinan USR IOT Technology Limited (PUSR) USR-W610 Insufficiently Protected Credentials |
| CVE-2026-27003 | OpenClaw: Telegram bot token exposure via logs |
| CVE-2026-27027 | Everon api.everon.io Insufficiently Protected Credentials |
| CVE-2026-27167 | Gradio: Mocked OAuth Login Exposes Server Credentials and Uses Hardcoded Session Secret |
| CVE-2026-27770 | ePower epower.ie Insufficiently Protected Credentials |
| CVE-2026-27773 | SWITCH EV swtchenergy.com Insufficiently Protected Credentials |
| CVE-2026-27777 | Mobiliti e-mobi.hu Insufficiently Protected Credentials |
| CVE-2026-28678 | dsa-hub-server: Clear-Text Storage of Sensitive Data |
| CVE-2026-28714 | Unnecessary transmission of sensitive cryptographic material. The following products are affected: Acronis Cyber Protect 17 (... |
| CVE-2026-29128 | IDC SFX2100 Satellite Receiver bgpd/ospfd/ripd/zebra Config Credential Disclosure via World-Readable Files |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230707-16 | 07.07.2023 | Выполнение произвольного кода в FortiSIEM |
| VULN:20240221-17 | 21.02.2024 | Получение конфиденциальной информации в Apache Solr |
| VULN:20240503-19 | 03.05.2024 | Получение конфиденциальной информации в FortiOS |
| VULN:20240617-58 | 17.06.2024 | Получение конфиденциальной информации в EDW-100 |
| VULN:20250210-16 | 10.02.2025 | Получение конфиденциальной информации в Rockwell Automation FactoryTalk AssetCentre |
| VULN:20250618-46 | 18.06.2025 | Чтение локальных файлов в CyberData 011209 SIP Emergency Intercom |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.