Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-552
CWE-552: Files or Directories Accessible to External Parties
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-00870 | Уязвимость панели инструментов браузера Mozilla Firefox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-03467 | Уязвимость браузеров Firefox и Firefox ESR и почтового клиента Thunderbird, связанная с ошибками межпроцессного взаимодействия (IPC), позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-04780 | Уязвимость функции file_copy_fallback() библиотеки Glib, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-03817 | Уязвимость реализации сетевого протокола PPP, связанная с ошибками в коде, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-04070 | Уязвимость менеджера управления пакетами gems проектов Ruby Bundler, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-05711 | Уязвимость командного синтаксического анализатора CLI операционных системы Cisco IOS и Cisco IOS XE, позволяющая нарушителю перезаписать произвольные файлы в базовой файловой системе хоста |
| BDU:2021-01088 | Уязвимость службы внутреннего управления файлами операционной системы Cisco NX-OS маршрутизаторов Cisco Nexus 3000 Series Switches и Cisco Nexus 9000 Series Switches, позволяющая нарушителю перезаписать произвольные файлы |
| BDU:2021-01869 | Уязвимость интерфейса командной строки программного обеспечения Cisco IOS XE SD-WAN, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2021-02337 | Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать перезагрузку устройства или вызвать отказ в обслуживании |
| BDU:2021-02989 | Уязвимость интерфейса командной строки программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю перезаписывать произвольные файлы |
| BDU:2021-04719 | Уязвимость файла index.php инструмента для мониторинга Nagios XI, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-05957 | Уязвимость почтового клиента RoundCube Webmail, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к произвольным файлам в файловой системе хоста |
| BDU:2022-02717 | Уязвимость программного средства синхронизации и совместного использования файлов Hitachi Content Platform Anywhere, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю нарушителю получить несанкционированный доступ к защ... |
| BDU:2022-06202 | Уязвимость приложения для автоматического захвата, обработки, управления и распространения видео Opencast, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищае... |
| BDU:2022-06803 | Уязвимость веб-интерфейса системы автоматизации, отслеживания и анализа коммутационной структуры центра обработки данных Cisco Nexus Insights, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00607 | Уязвимость микропрограммного обеспечения маршрутизаторов Zyxel AX7501-B0, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить доступ к корневой файловой системе |
| BDU:2023-00689 | Уязвимость сервиса блочного хранения данных Openstack Cinder, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-00933 | Уязвимость компонента swift/common/middleware/s3api/etree.py интерфейса S3 API распределенной системы хранения объектов Swift, позволяющая нарушителю получить несанкционированный доступ на чтение произвольных файлов |
| BDU:2023-04974 | Уязвимость функции FileBackedOutputStream набора Java-библиотек Google Guava, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-05552 | Уязвимость компонента CMPapp программных продуктов CODESYS, позволяющая нарушителю загружать произвольные файлы в систему |
| BDU:2023-06309 | Уязвимость микропрограммного обеспечения устройства для измерения мощности, вырабатываемой солнечной энергией, отображения данных и хранения SolarView Compact, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть... |
| BDU:2023-07682 | Уязвимость драйвера виртуальных графических процессоров NVIDIA Virtual GPU, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, повысить свои п... |
| BDU:2023-08534 | Уязвимость функции переименования файлов операционной системы ASUSTOR Data Master (ADM), позволяющая нарушителю перемещать произвольные файлы |
| BDU:2023-08547 | Уязвимость программной платформы Apache Struts, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-08603 | Уязвимость микропрограммного обеспечения промышленного принтера Honeywell PM43, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-08982 | Уязвимость плагина Welcart eCommerce системы управления содержимым сайта WordPress, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-09101 | Уязвимость универсальной системы мониторинга Zabbix, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-01370 | Уязвимость инструмента мониторинга виртуальной инфраструктуры VMware Aria Operations, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-01758 | Уязвимость платформы интеграции данных Apache InLong, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01760 | Уязвимость платформы интеграции данных Apache InLong, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01917 | Уязвимость микропрограммного обеспечения устройства дистанционного управления подстанциями Schneider Electric Easergy T200, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-02678 | Уязвимость модуля Pulsar Functions Worker облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03898 | Уязвимость микропрограммного обеспечения модемов Telit Cinterion, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить доступ на чтение и запись произвольных файлов(каталогов) в системе |
| BDU:2024-04748 | Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340 и сетевых модулей Modicon M340 BMXNOE0100, Modicon M340 BMXNOE0110, связанная с использованием файлов и каталогов, доступных внешним сто... |
| BDU:2024-05289 | Уязвимость модуля управления базами данных программного средства соединения, управления и оркестрации приложений Apache Linkis, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-05766 | Уязвимость программного средства создания самоуправляемых Git-репозиториев Gogs, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю удалить или модифицировать произвольные файлы |
| BDU:2024-06014 | Уязвимость серверов Omnivise T3000 Application Server, Omnivise T3000 Terminal Server, Omnivise T3000 Whitelisting Server программно-аппаратного средства управления и мониторинга промышленных процессов Siemens Omnivise T3000, связанная с использовани... |
| BDU:2024-06519 | Уязвимость демона fwupd для управления установкой обновлений прошивки в системах на базе Linux, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-07896 | Уязвимость сценария databasefiledelete.php веб-сервера микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, позволяющая нарушителю получить несанкционированный доступ к ус... |
| BDU:2024-09465 | Уязвимость функции evlReadFile в модуле SysFunction.cpp системы управления базами данных "Ред База Данных", позволяющая нарушителю получить доступ на чтение к файлам с табличными пространствами |
| BDU:2024-09689 | Уязвимость сетевой операционной системы SmartFabric OS10, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-10639 | Уязвимость реализации метода processAtatchmentDataStream программного средства для удаленного мониторинга, управления и поддержки серверов и систем хранения данных HPE Insight Remote Support, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10654 | Уязвимость контроллера доставки приложений Citrix NetScaler Application Delivery Controller (ранее Citrix ADC), системы контроля доступа к виртуальной среде Citrix NetScaler Gateway (ранее Citrix Gateway), связанная с нарушением ожидаемого поведения,... |
| BDU:2024-10824 | Уязвимость расширения использования базы данных PostgreSQL Ash Postgres фреймворка Ash Framework, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10884 | Уязвимость микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить... |
| BDU:2025-02153 | Уязвимость PHP-библиотеки TCPDF, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-02192 | Уязвимость платформы для автоматизации документооборота M-Files Server, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02570 | Уязвимость файлового шлюза IBM Sterling File Gateway, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02769 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02891 | Уязвимость программной среды имитационного моделирования систем и процессов Siemens Tecnomatix Plant Simulation, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю удалить или модифицировать произвольные... |
| BDU:2025-02894 | Уязвимость программной среды имитационного моделирования систем и процессов Siemens Tecnomatix Plant Simulation, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю удалить или модифицировать произвольные... |
| BDU:2025-04903 | Уязвимость реализации протокола HTTPS программного обеспечения для управления сетями ConneXium Network Manager, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2025-05377 | Уязвимость микропрограммного обеспечения межсетевых экранов SonicWall серии SMA 100, связанная с отсутствие контроля доступа к критически важным файлам и директориям, позволяющая нарушителю удалить произвольный файл и произвести сброс до заводских на... |
| BDU:2025-05674 | Уязвимость редактора исходного кода Visual Studio Code, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06281 | Уязвимость функции do_update_vps() средства антивирусной защиты Avast Business Antivirus for Linux, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-07590 | Уязвимость плагина развертывания программного обеспечения и сети GLPI Inventory, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-08363 | Уязвимость функции open() пакета YAML-LibYAML интерпретатора языка программирования Perl языка программирования Go, позволяющая нарушителю получить несанкционированный доступ на изменение произвольных файлов |
| BDU:2025-09248 | Уязвимость фреймворка Sparkle программной платформы Oracle Java SE, связанная с раскрытием файлов или каталогов внешним сторонам, позволяющая нарушителю обойти проверку подписи (Ed)DSA и получить полный контроль над приложением |
| BDU:2025-09389 | Уязвимость программного обеспечения для установки драйверов видеокарт NVIDIA, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2025-09901 | Уязвимость компонента REST Interface платформы для обработки потоковых и пакетных данных Apache Flink, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-10863 | Уязвимость PHP-библиотеки TCPDF, связанная с файлами или каталогами, доступным внешним сторонам, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-11070 | Уязвимость функции parseFileName модуля SysFunction.cpp системы управления базами данных "Ред База Данных", позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-11117 | Уязвимость платформы электронного обучения eLearning Server 5G, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-12608 | Уязвимость интерфейса командной строки (CLI) программно-аппаратного средства управления программно-определяемыми сетями HPE Aruba Networking EdgeConnect SD-WAN, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-13643 | Уязвимость программных платформ для безопасного обмена файлами Gladinet CentreStack и Triofox, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-16366 | Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2009-10005 | ContentKeeper Web Appliance < 125.10 Arbitrary File Access via mimencode |
| CVE-2017-12079 | Files or directories accessible to external parties vulnerability in picasa.php in Synology Photo Station before 6.8.1-3458 a... |
| CVE-2017-15104 | An access flaw was found in Heketi 5, where the heketi.json configuration file was world readable. An attacker having local a... |
| CVE-2017-2621 | An access-control flaw was found in the OpenStack Orchestration (heat) service before 8.0.0, 6.1.0 and 7.0.2 where a service... |
| CVE-2017-2622 | An accessibility flaw was found in the OpenStack Workflow (mistral) service where a service log directory was improperly made... |
| CVE-2018-1079 | pcs before version 0.9.164 and 0.10 is vulnerable to a privilege escalation via authorized user malicious REST call. The REST... |
| CVE-2018-10863 | It was discovered that redhat-certification 7 is not properly configured and it lists all files and directories in the /var/w... |
| CVE-2018-10867 | Files are accessible without restrictions from the /update/results page of redhat-certification 7 package, allowing an attack... |
| CVE-2018-10869 | redhat-certification does not properly restrict files that can be download through the /download page. A remote attacker may... |
| CVE-2019-10930 | A vulnerability has been identified in All other SIPROTEC 5 device types with CPU variants CP300 and CP100 and the respective... |
| CVE-2019-13941 | A vulnerability has been identified in OZW672 (All versions < V10.00), OZW772 (All versions < V10.00). Vulnerable versions of... |
| CVE-2019-3569 | HHVM, when used with FastCGI, would bind by default to all available interfaces. This behavior could allow a malicious indivi... |
| CVE-2019-3622 | DLP Endpoint log file redirection to arbitrary locations |
| CVE-2019-3811 | A vulnerability was found in sssd. If a user was configured with no home directory set, sssd would return '/' (the root direc... |
| CVE-2019-3897 | It has been discovered in redhat-certification that any unauthorized user may download any file under /var/www/rhcert, provid... |
| CVE-2020-11641 | SiteManager Local File Inclusion Vulnerability |
| CVE-2020-11642 | SiteManager Denial of Service via Local File Inclusion Vulnerability |
| CVE-2020-15175 | Unauthenticated File Deletion in GLPI |
| CVE-2020-15224 | Socket syscalls can leak enclave memory contents in Open Enclave |
| CVE-2020-1726 | A flaw was discovered in Podman where it incorrectly allows containers when created to overwrite existing files in volumes, e... |
| CVE-2020-17519 | Apache Flink directory traversal attack: reading remote files through the REST API |
| CVE-2020-25636 | A flaw was found in Ansible Base when using the aws_ssm connection plugin as there is no namespace separation for file transf... |
| CVE-2020-3476 | Cisco IOS XE Software Arbitrary File Overwrite Vulnerability |
| CVE-2020-4075 | Arbitrary file read via window-open IPC in Electron |
| CVE-2021-1256 | Cisco Firepower Threat Defense Software Command File Overwrite Vulnerability |
| CVE-2021-1361 | Cisco NX-OS Software Unauthenticated Arbitrary File Actions Vulnerability |
| CVE-2021-1434 | Cisco IOS XE SD-WAN Software Arbitrary File Corruption Vulnerability |
| CVE-2021-1512 | Cisco SD-WAN Software Arbitrary File Corruption Vulnerability |
| CVE-2021-20182 | A privilege escalation flaw was found in openshift4/ose-docker-builder. The build container runs with high privileges using a... |
| CVE-2021-20253 | A flaw was found in ansible-tower. The default installation is vulnerable to Job Isolation escape allowing an attacker to ele... |
| CVE-2021-21355 | Unrestricted File Upload in Form Framework |
| CVE-2021-21429 | Creation of Temporary File in Directory with Insecure Permissions in the OpenAPI Generator Maven plugin |
| CVE-2021-22769 | A CWE-552: Files or Directories Accessible to External Parties vulnerability exists in Easergy T300 with firmware V2.7.1 and... |
| CVE-2021-24154 | Theme Editor < 2.6 - Authenticated Arbitrary File Download |
| CVE-2021-25004 | SEUR Oficial < 1.7.2 - Admin+ Arbitrary File Download |
| CVE-2021-31831 | Incorrect access to deleted scripts vulnerability in McAfee DBSec |
| CVE-2021-31850 | Denial of Service in Database Security on Windows |
| CVE-2021-32008 | Logged-in Administrator may get unrestricted file system access |
| CVE-2021-32752 | Files or Directories Accessible to External Parties in ether/logs |
| CVE-2021-32833 | Unauthenticated file read in Emby Server |
| CVE-2021-33843 | Fresenius Kabi Agilia Connect Infusion System files or directories accessible to external parties |
| CVE-2021-34765 | Cisco Nexus Insights Authenticated Information Disclosure Vulnerability |
| CVE-2021-3717 | A flaw was found in Wildfly. An incorrect JBOSS_LOCAL_USER challenge location when using the elytron configuration may lead t... |
| CVE-2021-3856 | ClassLoaderTheme and ClasspathThemeResourceProviderFactory allows reading any file available as a resource to the classloader... |
| CVE-2021-39316 | ZoomSounds <= 6.45 Unauthenticated Directory Traversal and Sensitive Information Dislosure |
| CVE-2021-3995 | A logic error was found in the libmount library of util-linux in the function that allows an unprivileged user to unmount a F... |
| CVE-2021-3996 | A logic error was found in the libmount library of util-linux in the function that allows an unprivileged user to unmount a F... |
| CVE-2021-4112 | A flaw was found in ansible-tower where the default installation is vulnerable to job isolation escape. This flaw allows an a... |
| CVE-2021-43821 | Files Accessible to External Parties in Opencast |
| CVE-2021-4463 | Longjing Technology BEMS API <= 1.21 Remote Arbitrary File Download |
| CVE-2022-0656 | uDraw < 3.3.3 - Unauthenticated Arbitrary File Access |
| CVE-2022-1117 | A vulnerability was found in fapolicyd. The vulnerability occurs due to an assumption on how glibc names the runtime linker,... |
| CVE-2022-1585 | Project Source Code Download <= 1.0.0 - Unauthenticated Backup Download |
| CVE-2022-2222 | Download Monitor < 4.5.91 - Admin+ Arbitrary File Download |
| CVE-2022-23508 | GitOps Run allows for Kubernetes workload injection |
| CVE-2022-2357 | WSM Downloader <= 1.4.0 - Unauthenticated Arbitrary File Download |
| CVE-2022-2392 | Lana Downloads Manager < 1.8.0 - Contributor+ Arbitrary File Download |
| CVE-2022-24075 | Whale browser before 3.12.129.18 allowed extensions to replace JavaScript files of the HWP viewer website which could access... |
| CVE-2022-2834 | Helpful < 4.5.26 - Information Disclosure |
| CVE-2022-2981 | Download Monitor < 4.5.98 - Admin+ Arbitrary File Download |
| CVE-2022-32143 | CODESYS runtime system prone to directory acces |
| CVE-2022-34464 | A vulnerability has been identified in SICAM GridEdge (Classic) (All versions < V2.7.3). The affected application uses an imp... |
| CVE-2022-3691 | DeepL Pro API Translation < 1.7.5 - API Key Disclosure |
| CVE-2022-39208 | Git Repository Disclosure in Onedev |
| CVE-2022-4106 | Wholesale Market for WooCommerce < 1.0.7 - Unauthenticated Arbitrary File Download |
| CVE-2022-4107 | SMSA Shipping for WooCommerce < 1.0.5 - Subscriber+ Arbitrary File Download |
| CVE-2022-4108 | Wholesale Market for WooCommerce < 1.0.8 - Admin+ Arbitrary File Download |
| CVE-2022-4140 | Welcart e-Commerce < 2.8.5 - Unauthenticated Arbitrary File Access |
| CVE-2022-4236 | Welcart e-Commerce < 2.8.5 - Subscriber+ Arbitrary File Access |
| CVE-2022-4346 | All In One WP Security & Firewall < 5.1.3 - Configuration Leak |
| CVE-2022-45052 | Local File Inclusion in Axiell Iguana CMS |
| CVE-2022-45440 | A vulnerability exists in the FTP server of the Zyxel AX7501-B0 firmware prior to V5.17(ABPC.3)C0, which processes symbolic l... |
| CVE-2023-0331 | Correos Oficial <= 1.2.0.2 - Unauthenticated Arbitrary File Download |
| CVE-2023-1246 | Files or Directories Accessible to External Parties in Saysis Starcities |
| CVE-2023-20039 | Cisco Industrial Network Director File Permissions |
| CVE-2023-20235 | A vulnerability in the on-device application development workflow feature for the Cisco IOx application hosting infrastructur... |
| CVE-2023-2180 | KIWIZ Invoices Certification & PDF System <= 2.1.3 - Unauthenticated Arbitrary File Download |
| CVE-2023-22858 | Stored cross-site scripting in BlogEngine.NET version 3.3.8.0 |
| CVE-2023-23365 | Music Station |
| CVE-2023-23366 | Music Station |
| CVE-2023-2538 | TLS Private Key Accessible to External Parties |
| CVE-2023-26580 | Missing Authentication In IDAttend’s IDWeb Application |
| CVE-2023-2766 | Weaver OA jx2_config.ini file access |
| CVE-2023-29080 | Privilege escalation in InstallShield |
| CVE-2023-29107 | A vulnerability has been identified in SIMATIC Cloud Connect 7 CC712 (All versions >= V2.0 < V2.1), SIMATIC Cloud Connect 7 C... |
| CVE-2023-29450 | Unauthorized limited filesystem access from preprocessing |
| CVE-2023-31017 | CVE |
| CVE-2023-31064 | Apache InLong: Insecurity direct object references cancelling applications |
| CVE-2023-31066 | Apache InLong: Insecure direct object references for inlong sources |
| CVE-2023-3155 | NextGEN Gallery < 3.39 - Admin+ Arbitrary File Read and Delete |
| CVE-2023-32226 | Sysaid - CWE-552: Files or Directories Accessible to External Parties |
| CVE-2023-32684 | In Lima, a malicious disk image could read a single file on the host filesystem as a qcow2/vmdk backing file |
| CVE-2023-34316 | Delta Electronics InfraSuite Device Master Improper Access Control |
| CVE-2023-3712 | Potential user privilege escalation |
| CVE-2023-37551 | CODESYS Files or Directories Accessible to External Parties in CmpApp |
| CVE-2023-39479 | Softing Secure Integration Server OPC UA Gateway Directory Creation Vulnerability |
| CVE-2023-39480 | Softing Secure Integration Server FileDirectory OPC UA Object Arbitrary File Creation Vulnerability |
| CVE-2023-39545 | CLUSTERPRO X Ver5.1 and earlier and EXPRESSCLUSTER X 5.1 and earlier, CLUSTERPRO X SingleServerSafe 5.1 and earlier, EXPRESSC... |
| CVE-2023-41916 | Apache Linkis DataSource: DatasourceManager module has a JDBC parameter judgment logic vulnerability that allows for arbitra... |
| CVE-2023-4475 | An Arbitrary File Movement vulnerability was found on the ADM |
| CVE-2023-45160 | Elevated Temp Directory Execution in 1E Client |
| CVE-2023-4550 | Unauthenticated Arbitrary File Read |
| CVE-2023-45594 | A CWE-552 “Files or Directories Accessible to External Parties” vulnerability in the embedded Chromium browser allows a physi... |
| CVE-2023-4588 | File accessibility vulnerability in Delinea Secret Server |
| CVE-2023-4743 | Dreamer CMS file access |
| CVE-2023-47612 | A CWE-552: Files or Directories Accessible to External Parties vulnerability exists in Telit Cinterion BGS5, Telit Cinterion... |
| CVE-2023-48661 | Dell vApp Manager, versions prior to 9.2.4.x contain an arbitrary file read vulnerability. A remote malicious user with high... |
| CVE-2023-48710 | iTop limit pages/exec.php script to PHP files |
| CVE-2023-49198 | Apache SeaTunnel Web: Arbitrary file read vulnerability |
| CVE-2023-50164 | Apache Struts: File upload component had a directory traversal vulnerability |
| CVE-2023-5101 | Files or Directories Accessible to External Parties in RDT400 in SICK APU allows an unprivileged remote attacker to download... |
| CVE-2023-6375 | Tyler Technologies Magistrate Court Case Management Plus stores backups insecurely |
| CVE-2024-0949 | Improper Access Control in Talya Informatics' Elektraweb |
| CVE-2024-1005 | Shanxi Diankeyun Technology NODERP log file access |
| CVE-2024-10126 | Local file inclusion vulnerability in M-Files Server |
| CVE-2024-10526 | Rapid7 Velociraptor Local Privilege Escalation In Windows Velociraptor Service |
| CVE-2024-11629 | Telerik Document Processing RTF Export of Arbitrary File Path |
| CVE-2024-12917 | Improper Access Control in Agito Computer's Health4All |
| CVE-2024-13126 | Download Manager < 3.3.07 - Unauthenticated Data Exposure |
| CVE-2024-13617 | Downloable by American Osteopathic Association <= 0.1.0 - Unauthenticated Arbitrary File Download |
| CVE-2024-2052 | CWE-552: Files or Directories Accessible to External Parties vulnerability exists that could allow unauthenticated files and... |
| CVE-2024-2055 | Artica Proxy Unauthenticated File Manager Vulnerability |
| CVE-2024-2056 | Artica Proxy Loopback Services Remotely Accessible Unauthenticated |
| CVE-2024-21403 | Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability |
| CVE-2024-27182 | Apache Linkis Basic management services: Engine material management Arbitrary file deletion vulnerability |
| CVE-2024-2759 | Improper access control in Apaczka plugin for PrestaShop |
| CVE-2024-27894 | Apache Pulsar: Pulsar Functions Worker Allows Unauthorized File Access and Unauthorized HTTP/HTTPS Proxying |
| CVE-2024-31141 | Apache Kafka Clients: Privilege escalation to filesystem read-access via automatic ConfigProvider |
| CVE-2024-34066 | Arbitrary File Write/Read in Pterodactyl wings |
| CVE-2024-35183 | wolfictl leaks GitHub tokens to remote non-GitHub git servers |
| CVE-2024-38429 | Matrix - CWE-552: Files or Directories Accessible to External Parties |
| CVE-2024-38876 | A vulnerability has been identified in Omnivise T3000 Application Server R9.2 (All versions), Omnivise T3000 Domain Controlle... |
| CVE-2024-3913 | Phoenix Contact: Start sequence allows attack during the boot process |
| CVE-2024-39581 | Dell PowerScale InsightIQ, versions 5.0 through 5.1, contains a File or Directories Accessible to External Parties vulnerabil... |
| CVE-2024-41699 | Priority – CWE-552: Files or Directories Accessible to External Parties |
| CVE-2024-43660 | Arbitrary file download using <redacted>.sh |
| CVE-2024-45627 | Apache Linkis Metadata Query Service JDBC: JDBC Datasource Module with Mysql has file read vulnerability |
| CVE-2024-47106 | IBM Jazz for Service Management information disclosure |
| CVE-2024-47518 | Specially constructed queries targeting ETM could discover active remote access sessions |
| CVE-2024-48019 | Apache Doris: allows admin users to read arbitrary files through the REST API |
| CVE-2024-4836 | LFI in sites managed by Edito CMS |
| CVE-2024-48838 | Dell SmartFabric OS10 Software, version(s) 10.5.6.x, 10.5.5.x, 10.5.4.x, 10.5.3.x, contain(s) a Files or Directories Accessib... |
| CVE-2024-48864 | File Station 5 |
| CVE-2024-49359 | ZimaOS vulnerable to Directory Listing via Parameter Manipulation |
| CVE-2024-49756 | AshPostgres empty, atomic, non-bulk actions, policy bypass for side-effects vulnerability. |
| CVE-2024-4981 | Pagure: _update_file_in_git() follows symbolic links in temporary clones |
| CVE-2024-5045 | SourceCodester Online Birth Certificate Management System admin file access |
| CVE-2024-5056 | CWE-552: Files or Directories Accessible to External Parties vulnerability exists which may prevent user to update the device... |
| CVE-2024-51542 | Configuration Download |
| CVE-2024-52292 | Craft Allows Attackers to Read Arbitrary System Files |
| CVE-2024-5262 | ProjectDiscovery Interactsh - Files or Directories Accessible to External Parties |
| CVE-2024-53649 | A vulnerability has been identified in SIPROTEC 5 6MD84 (CP300) (All versions < V9.80), SIPROTEC 5 6MD85 (CP300) (All version... |
| CVE-2024-53676 | A directory traversal vulnerability in Hewlett Packard Enterprise Insight Remote Support may allow remote code execution. |
| CVE-2024-54099 | File replacement vulnerability on some devices Impact: Successful exploitation of this vulnerability will affect integrity an... |
| CVE-2024-5587 | Casdoor Configuration File app.conf file access |
| CVE-2024-56731 | Gogs deletion of internal files allows remote command execution |
| CVE-2024-6209 | unauthorized file access |
| CVE-2024-6421 | Pepperl+Fuchs: Incorrectly configured FTP-Server in OIT Products |
| CVE-2024-6878 | Directory Browsing in Eliz Software's Panel |
| CVE-2024-6911 | Unauthenticated Local File Inclusion |
| CVE-2024-7107 | Directory Traversal in National Keep's CyberMath |
| CVE-2024-7729 | CAYIN Technology CMS - Sensitive File Download |
| CVE-2024-8031 | Secure Downloads < 1.2.3 - Admin+ Arbitrary File Download |
| CVE-2024-8655 | Mercury MNVR816 web-static file access |
| CVE-2024-9765 | EKC Tournament Manager < 2.2.2 - Local File Download Vulnerability |
| CVE-2024-9945 | Limited Information Disclosure in GoAnywhere MFT Prior to 7.7.0 |
| CVE-2025-0509 | Signing Checks Bypass |
| CVE-2025-0620 | Samba: smbd doesn't pick up group membership changes when re-authenticating an expired smb session |
| CVE-2025-1042 | Files or Directories Accessible to External Parties in GitLab |
| CVE-2025-11959 | Improper Access Control in Premierturk's Excavation Management Information System |
| CVE-2025-11965 | In Eclipse Vert.x versions [4.0.0, 4.5.21] and [5.0.0, 5.0.4], a StaticHandler configuration for restricting access to hidden... |
| CVE-2025-13200 | SourceCodester Farm Management System exposure of information through directory listing |
| CVE-2025-1982 | Local File Inclusion in Ready_ |
| CVE-2025-2038 | code-projects Blood Bank Management System upload exposure of information through directory listing |
| CVE-2025-21264 | Visual Studio Code Security Feature Bypass Vulnerability |
| CVE-2025-2147 | Beijing Zhide Intelligent Internet Technology Modern Farm Digital Integrated Management System file access |
| CVE-2025-21609 | SiYuan has an arbitrary file deletion vulnerability |
| CVE-2025-2222 | CWE-552: Files or Directories Accessible to External Parties vulnerability over https exists that could leak information and... |
| CVE-2025-22369 | Mennekes smart/premium charges systems, Arbitrary file download using ReadFile endpoint |
| CVE-2025-23276 | NVIDIA Installer for Windows contains a vulnerability where an attacker may be able to escalate privileges. A successful expl... |
| CVE-2025-23421 | Qardio iOS and Android applications Files or Directories Accessible to External Parties |
| CVE-2025-25266 | A vulnerability has been identified in Tecnomatix Plant Simulation V2302 (All versions < V2302.0021), Tecnomatix Plant Simula... |
| CVE-2025-25267 | A vulnerability has been identified in Tecnomatix Plant Simulation V2302 (All versions < V2302.0021), Tecnomatix Plant Simula... |
| CVE-2025-2651 | SourceCodester Online Eyewear Shop admin exposure of information through directory listing |
| CVE-2025-2652 | SourceCodester Employee and Visitor Gate Pass Logging System exposure of information through directory listing |
| CVE-2025-26525 | Arbitrary file read risk through pdfTeX |
| CVE-2025-27147 | GLPI Inventory plugin has Improper Access Control Vulnerability |
| CVE-2025-30103 | Dell SmartFabric OS10 Software, versions prior to 10.6.0.5 contains a Files or Directories Accessible to External Parties vul... |
| CVE-2025-3025 | CCleaner Link Following Local Privilege Escalation Vulnerability |
| CVE-2025-31996 | Unprotected files are impacting HCL Unica Platform |
| CVE-2025-32819 | A vulnerability in SMA100 allows a remote authenticated attacker with SSLVPN user privileges to bypass the path traversal che... |
| CVE-2025-33150 | IBM Cognos Analytics Certified Containers information disclosure |
| CVE-2025-34110 | ColoradoFTP Server <= 1.3 Build 8 Path Traversal Information Disclosure |
| CVE-2025-40908 | YAML-LibYAML prior to 0.903.0 for Perl uses 2-args open, allowing existing files to be modified |
| CVE-2025-4134 | Lack of file validation in Avast Business Antivirus for Linux allows writing untrusted update files |
| CVE-2025-43749 | Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.1, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 t... |
| CVE-2025-43758 | Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.5, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 t... |
| CVE-2025-4634 | Local File Inclusion |
| CVE-2025-4807 | SourceCodester Online Student Clearance System exposure of information through directory listing |
| CVE-2025-4909 | SourceCodester Client Database Management System exposure of information through directory listing |
| CVE-2025-49797 | Multiple Brother driver installers for Windows contain a privilege escalation vulnerability. If exploited, an arbitrary progr... |
| CVE-2025-52460 | Files or directories accessible to external parties issue exists in SS1 Ver.16.0.0.10 and earlier (Media version:16.0.0a and... |
| CVE-2025-53536 | Roo Code allows Potential Remote Code Execution via .vscode/settings.json |
| CVE-2025-58152 | FutureNet MA and IP-K series provided by Century Systems Co., Ltd. put the firmware version and the garbage collection inform... |
| CVE-2025-58753 | copyparty: Sharing a single file does not fully restrict access to other files in source folder |
| CVE-2025-59054 | dstack has insecure LUKS2 persistent storage partitions that may be opened and used |
| CVE-2025-59976 | Junos Space: Arbitrary file download vulnerability in web interface |
| CVE-2025-61734 | Apache Kylin: improper restriction of file read |
| CVE-2025-64185 | Open OnDemand RPM packages create world writable locations |
| CVE-2025-66625 | Umbraco Vulnerable to Improper File Access and Credential Exposure through Dictionary Import Functionality |
| CVE-2025-68109 | ChurchCRM vulnerable to RCE with database restore functionality |
| CVE-2025-9273 | CData API Server MySQL Misconfiguration Information Disclosure Vulnerability |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20240830-47 | 30.08.2024 | Получение конфиденциальной информации в Phoenix Contact CHARX controllers |
| VULN:20250821-72 | 21.08.2025 | Выполнение произвольного кода в NVIDIA Corp. |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.