Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-552
Files or Directories Accessible to External Parties
The product makes files or directories accessible to unauthorized actors, even though they should not be.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-00870 | Уязвимость панели инструментов браузера Mozilla Firefox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-03467 | Уязвимость браузеров Firefox и Firefox ESR и почтового клиента Thunderbird, связанная с ошибками межпроцессного взаимодействия (IPC), позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2019-04780 | Уязвимость функции file_copy_fallback() библиотеки Glib, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-03817 | Уязвимость реализации сетевого протокола PPP, связанная с ошибками в коде, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-04070 | Уязвимость менеджера управления пакетами gems проектов Ruby Bundler, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-05711 | Уязвимость командного синтаксического анализатора CLI операционных системы Cisco IOS и Cisco IOS XE, позволяющая нарушителю перезаписать произвольные файлы в базовой файловой системе хоста |
| BDU:2021-01088 | Уязвимость службы внутреннего управления файлами операционной системы Cisco NX-OS маршрутизаторов Cisco Nexus 3000 Series Switches и Cisco Nexus 9000 Series Switches, позволяющая нарушителю перезаписать произвольные файлы |
| BDU:2021-01869 | Уязвимость интерфейса командной строки программного обеспечения Cisco IOS XE SD-WAN, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2021-02337 | Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать перезагрузку устройства или вызвать отказ в обслуживании |
| BDU:2021-02989 | Уязвимость интерфейса командной строки программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю перезаписывать произвольные файлы |
| BDU:2021-04719 | Уязвимость файла index.php инструмента для мониторинга Nagios XI, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-05957 | Уязвимость почтового клиента RoundCube Webmail, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к произвольным файлам в файловой системе хоста |
| BDU:2022-02717 | Уязвимость программного средства синхронизации и совместного использования файлов Hitachi Content Platform Anywhere, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю нарушителю получить несанкционированный доступ к защ... |
| BDU:2022-06202 | Уязвимость приложения для автоматического захвата, обработки, управления и распространения видео Opencast, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищае... |
| BDU:2022-06803 | Уязвимость веб-интерфейса системы автоматизации, отслеживания и анализа коммутационной структуры центра обработки данных Cisco Nexus Insights, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00607 | Уязвимость микропрограммного обеспечения маршрутизаторов Zyxel AX7501-B0, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить доступ к корневой файловой системе |
| BDU:2023-00689 | Уязвимость сервиса блочного хранения данных Openstack Cinder, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-00933 | Уязвимость компонента swift/common/middleware/s3api/etree.py интерфейса S3 API распределенной системы хранения объектов Swift, позволяющая нарушителю получить несанкционированный доступ на чтение произвольных файлов |
| BDU:2023-04974 | Уязвимость функции FileBackedOutputStream набора Java-библиотек Google Guava, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-05552 | Уязвимость компонента CMPapp программных продуктов CODESYS, позволяющая нарушителю загружать произвольные файлы в систему |
| BDU:2023-06309 | Уязвимость микропрограммного обеспечения устройства для измерения мощности, вырабатываемой солнечной энергией, отображения данных и хранения SolarView Compact, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть... |
| BDU:2023-07682 | Уязвимость драйвера виртуальных графических процессоров NVIDIA Virtual GPU, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, повысить свои п... |
| BDU:2023-08534 | Уязвимость функции переименования файлов операционной системы ASUSTOR Data Master (ADM), позволяющая нарушителю перемещать произвольные файлы |
| BDU:2023-08547 | Уязвимость программной платформы Apache Struts, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-08603 | Уязвимость микропрограммного обеспечения промышленного принтера Honeywell PM43, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-08982 | Уязвимость плагина Welcart eCommerce системы управления содержимым сайта WordPress, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-09101 | Уязвимость универсальной системы мониторинга Zabbix, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-01370 | Уязвимость инструмента мониторинга виртуальной инфраструктуры VMware Aria Operations, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-01758 | Уязвимость платформы интеграции данных Apache InLong, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01760 | Уязвимость платформы интеграции данных Apache InLong, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01917 | Уязвимость микропрограммного обеспечения устройства дистанционного управления подстанциями Schneider Electric Easergy T200, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-02678 | Уязвимость модуля Pulsar Functions Worker облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03898 | Уязвимость микропрограммного обеспечения модемов Telit Cinterion, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить доступ на чтение и запись произвольных файлов(каталогов) в системе |
| BDU:2024-04748 | Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340 и сетевых модулей Modicon M340 BMXNOE0100, Modicon M340 BMXNOE0110, связанная с использованием файлов и каталогов, доступных внешним сто... |
| BDU:2024-05289 | Уязвимость модуля управления базами данных программного средства соединения, управления и оркестрации приложений Apache Linkis, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-05766 | Уязвимость программного средства создания самоуправляемых Git-репозиториев Gogs, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю удалить или модифицировать произвольные файлы |
| BDU:2024-06014 | Уязвимость серверов Omnivise T3000 Application Server, Omnivise T3000 Terminal Server, Omnivise T3000 Whitelisting Server программно-аппаратного средства управления и мониторинга промышленных процессов Siemens Omnivise T3000, связанная с использовани... |
| BDU:2024-06519 | Уязвимость демона fwupd для управления установкой обновлений прошивки в системах на базе Linux, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-07896 | Уязвимость сценария databasefiledelete.php веб-сервера микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, позволяющая нарушителю получить несанкционированный доступ к ус... |
| BDU:2024-09465 | Уязвимость функции evlReadFile в модуле SysFunction.cpp системы управления базами данных "Ред База Данных", позволяющая нарушителю получить доступ на чтение к файлам с табличными пространствами |
| BDU:2024-09689 | Уязвимость сетевой операционной системы SmartFabric OS10, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-10639 | Уязвимость реализации метода processAtatchmentDataStream программного средства для удаленного мониторинга, управления и поддержки серверов и систем хранения данных HPE Insight Remote Support, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10654 | Уязвимость контроллера доставки приложений Citrix NetScaler Application Delivery Controller (ранее Citrix ADC), системы контроля доступа к виртуальной среде Citrix NetScaler Gateway (ранее Citrix Gateway), связанная с нарушением ожидаемого поведения,... |
| BDU:2024-10824 | Уязвимость расширения использования базы данных PostgreSQL Ash Postgres фреймворка Ash Framework, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10884 | Уязвимость микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить... |
| BDU:2025-02153 | Уязвимость PHP-библиотеки TCPDF, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-02192 | Уязвимость платформы для автоматизации документооборота M-Files Server, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02570 | Уязвимость файлового шлюза IBM Sterling File Gateway, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02769 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02891 | Уязвимость программной среды имитационного моделирования систем и процессов Siemens Tecnomatix Plant Simulation, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю удалить или модифицировать произвольные... |
| BDU:2025-02894 | Уязвимость программной среды имитационного моделирования систем и процессов Siemens Tecnomatix Plant Simulation, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю удалить или модифицировать произвольные... |
| BDU:2025-04903 | Уязвимость реализации протокола HTTPS программного обеспечения для управления сетями ConneXium Network Manager, позволяющая нарушителю выполнить атаку типа "человек посередине" |
| BDU:2025-05377 | Уязвимость микропрограммного обеспечения межсетевых экранов SonicWall серии SMA 100, связанная с отсутствие контроля доступа к критически важным файлам и директориям, позволяющая нарушителю удалить произвольный файл и произвести сброс до заводских на... |
| BDU:2025-05674 | Уязвимость редактора исходного кода Visual Studio Code, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06281 | Уязвимость функции do_update_vps() средства антивирусной защиты Avast Business Antivirus for Linux, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-07590 | Уязвимость плагина развертывания программного обеспечения и сети GLPI Inventory, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-08363 | Уязвимость функции open() пакета YAML-LibYAML интерпретатора языка программирования Perl языка программирования Go, позволяющая нарушителю получить несанкционированный доступ на изменение произвольных файлов |
| BDU:2025-09248 | Уязвимость фреймворка Sparkle программной платформы Oracle Java SE, связанная с раскрытием файлов или каталогов внешним сторонам, позволяющая нарушителю обойти проверку подписи (Ed)DSA и получить полный контроль над приложением |
| BDU:2025-09389 | Уязвимость программного обеспечения для установки драйверов видеокарт NVIDIA, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2025-09901 | Уязвимость компонента REST Interface платформы для обработки потоковых и пакетных данных Apache Flink, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-10863 | Уязвимость PHP-библиотеки TCPDF, связанная с файлами или каталогами, доступным внешним сторонам, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-11070 | Уязвимость функции parseFileName модуля SysFunction.cpp системы управления базами данных "Ред База Данных", позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-11117 | Уязвимость платформы электронного обучения eLearning Server 5G, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-12608 | Уязвимость интерфейса командной строки (CLI) программно-аппаратного средства управления программно-определяемыми сетями HPE Aruba Networking EdgeConnect SD-WAN, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-13643 | Уязвимость программных платформ для безопасного обмена файлами Gladinet CentreStack и Triofox, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-16366 | Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2009-10005 | ContentKeeper Web Appliance < 125.10 Arbitrary File Access via mimencode |
| CVE-2017-12079 | Files or directories accessible to external parties vulnerability in picasa.php in Synology Photo Station before 6.8.1-3458 a... |
| CVE-2017-15104 | An access flaw was found in Heketi 5, where the heketi.json configuration file was world readable. An attacker having local a... |
| CVE-2017-2621 | An access-control flaw was found in the OpenStack Orchestration (heat) service before 8.0.0, 6.1.0 and 7.0.2 where a service... |
| CVE-2017-2622 | An accessibility flaw was found in the OpenStack Workflow (mistral) service where a service log directory was improperly made... |
| CVE-2018-1079 | pcs before version 0.9.164 and 0.10 is vulnerable to a privilege escalation via authorized user malicious REST call. The REST... |
| CVE-2018-10863 | It was discovered that redhat-certification 7 is not properly configured and it lists all files and directories in the /var/w... |
| CVE-2018-10867 | Files are accessible without restrictions from the /update/results page of redhat-certification 7 package, allowing an attack... |
| CVE-2018-10869 | redhat-certification does not properly restrict files that can be download through the /download page. A remote attacker may... |
| CVE-2019-10930 | A vulnerability has been identified in All other SIPROTEC 5 device types with CPU variants CP300 and CP100 and the respective... |
| CVE-2019-13941 | A vulnerability has been identified in OZW672 (All versions < V10.00), OZW772 (All versions < V10.00). Vulnerable versions of... |
| CVE-2019-3569 | HHVM, when used with FastCGI, would bind by default to all available interfaces. This behavior could allow a malicious indivi... |
| CVE-2019-3622 | DLP Endpoint log file redirection to arbitrary locations |
| CVE-2019-3811 | A vulnerability was found in sssd. If a user was configured with no home directory set, sssd would return '/' (the root direc... |
| CVE-2019-3897 | It has been discovered in redhat-certification that any unauthorized user may download any file under /var/www/rhcert, provid... |
| CVE-2020-11641 | SiteManager Local File Inclusion Vulnerability |
| CVE-2020-11642 | SiteManager Denial of Service via Local File Inclusion Vulnerability |
| CVE-2020-15175 | Unauthenticated File Deletion in GLPI |
| CVE-2020-15224 | Socket syscalls can leak enclave memory contents in Open Enclave |
| CVE-2020-1726 | A flaw was discovered in Podman where it incorrectly allows containers when created to overwrite existing files in volumes, e... |
| CVE-2020-17519 | Apache Flink directory traversal attack: reading remote files through the REST API |
| CVE-2020-25636 | A flaw was found in Ansible Base when using the aws_ssm connection plugin as there is no namespace separation for file transf... |
| CVE-2020-3476 | Cisco IOS XE Software Arbitrary File Overwrite Vulnerability |
| CVE-2020-4075 | Arbitrary file read via window-open IPC in Electron |
| CVE-2021-1256 | Cisco Firepower Threat Defense Software Command File Overwrite Vulnerability |
| CVE-2021-1361 | Cisco NX-OS Software Unauthenticated Arbitrary File Actions Vulnerability |
| CVE-2021-1434 | Cisco IOS XE SD-WAN Software Arbitrary File Corruption Vulnerability |
| CVE-2021-1512 | Cisco SD-WAN Software Arbitrary File Corruption Vulnerability |
| CVE-2021-20182 | A privilege escalation flaw was found in openshift4/ose-docker-builder. The build container runs with high privileges using a... |
| CVE-2021-20253 | A flaw was found in ansible-tower. The default installation is vulnerable to Job Isolation escape allowing an attacker to ele... |
| CVE-2021-21355 | Unrestricted File Upload in Form Framework |
| CVE-2021-21429 | Creation of Temporary File in Directory with Insecure Permissions in the OpenAPI Generator Maven plugin |
| CVE-2021-22769 | A CWE-552: Files or Directories Accessible to External Parties vulnerability exists in Easergy T300 with firmware V2.7.1 and... |
| CVE-2021-24154 | Theme Editor < 2.6 - Authenticated Arbitrary File Download |
| CVE-2021-25004 | SEUR Oficial < 1.7.2 - Admin+ Arbitrary File Download |
| CVE-2021-31831 | Incorrect access to deleted scripts vulnerability in McAfee DBSec |
| CVE-2021-31850 | Denial of Service in Database Security on Windows |
| CVE-2021-32008 | Logged-in Administrator may get unrestricted file system access |
| CVE-2021-32752 | Files or Directories Accessible to External Parties in ether/logs |
| CVE-2021-32833 | Unauthenticated file read in Emby Server |
| CVE-2021-33843 | Fresenius Kabi Agilia Connect Infusion System files or directories accessible to external parties |
| CVE-2021-34765 | Cisco Nexus Insights Authenticated Information Disclosure Vulnerability |
| CVE-2021-3717 | A flaw was found in Wildfly. An incorrect JBOSS_LOCAL_USER challenge location when using the elytron configuration may lead t... |
| CVE-2021-3856 | ClassLoaderTheme and ClasspathThemeResourceProviderFactory allows reading any file available as a resource to the classloader... |
| CVE-2021-39316 | ZoomSounds <= 6.45 Unauthenticated Directory Traversal and Sensitive Information Dislosure |
| CVE-2021-3995 | A logic error was found in the libmount library of util-linux in the function that allows an unprivileged user to unmount a F... |
| CVE-2021-3996 | A logic error was found in the libmount library of util-linux in the function that allows an unprivileged user to unmount a F... |
| CVE-2021-4112 | A flaw was found in ansible-tower where the default installation is vulnerable to job isolation escape. This flaw allows an a... |
| CVE-2021-43821 | Files Accessible to External Parties in Opencast |
| CVE-2021-4463 | Longjing Technology BEMS API <= 1.21 Remote Arbitrary File Download |
| CVE-2022-0656 | uDraw < 3.3.3 - Unauthenticated Arbitrary File Access |
| CVE-2022-1117 | A vulnerability was found in fapolicyd. The vulnerability occurs due to an assumption on how glibc names the runtime linker,... |
| CVE-2022-1585 | Project Source Code Download <= 1.0.0 - Unauthenticated Backup Download |
| CVE-2022-2222 | Download Monitor < 4.5.91 - Admin+ Arbitrary File Download |
| CVE-2022-23508 | GitOps Run allows for Kubernetes workload injection |
| CVE-2022-2357 | WSM Downloader <= 1.4.0 - Unauthenticated Arbitrary File Download |
| CVE-2022-2392 | Lana Downloads Manager < 1.8.0 - Contributor+ Arbitrary File Download |
| CVE-2022-24075 | Whale browser before 3.12.129.18 allowed extensions to replace JavaScript files of the HWP viewer website which could access... |
| CVE-2022-2834 | Helpful < 4.5.26 - Information Disclosure |
| CVE-2022-2981 | Download Monitor < 4.5.98 - Admin+ Arbitrary File Download |
| CVE-2022-32143 | CODESYS runtime system prone to directory acces |
| CVE-2022-34464 | A vulnerability has been identified in SICAM GridEdge (Classic) (All versions < V2.7.3). The affected application uses an imp... |
| CVE-2022-3691 | DeepL Pro API Translation < 1.7.5 - API Key Disclosure |
| CVE-2022-39208 | Git Repository Disclosure in Onedev |
| CVE-2022-4106 | Wholesale Market for WooCommerce < 1.0.7 - Unauthenticated Arbitrary File Download |
| CVE-2022-4107 | SMSA Shipping for WooCommerce < 1.0.5 - Subscriber+ Arbitrary File Download |
| CVE-2022-4108 | Wholesale Market for WooCommerce < 1.0.8 - Admin+ Arbitrary File Download |
| CVE-2022-4140 | Welcart e-Commerce < 2.8.5 - Unauthenticated Arbitrary File Access |
| CVE-2022-4236 | Welcart e-Commerce < 2.8.5 - Subscriber+ Arbitrary File Access |
| CVE-2022-4346 | All In One WP Security & Firewall < 5.1.3 - Configuration Leak |
| CVE-2022-45052 | Local File Inclusion in Axiell Iguana CMS |
| CVE-2022-45440 | A vulnerability exists in the FTP server of the Zyxel AX7501-B0 firmware prior to V5.17(ABPC.3)C0, which processes symbolic l... |
| CVE-2023-0331 | Correos Oficial <= 1.2.0.2 - Unauthenticated Arbitrary File Download |
| CVE-2023-1246 | Files or Directories Accessible to External Parties in Saysis Starcities |
| CVE-2023-20039 | Cisco Industrial Network Director File Permissions |
| CVE-2023-20235 | A vulnerability in the on-device application development workflow feature for the Cisco IOx application hosting infrastructur... |
| CVE-2023-2180 | KIWIZ Invoices Certification & PDF System <= 2.1.3 - Unauthenticated Arbitrary File Download |
| CVE-2023-22858 | Stored cross-site scripting in BlogEngine.NET version 3.3.8.0 |
| CVE-2023-23365 | Music Station |
| CVE-2023-23366 | Music Station |
| CVE-2023-2538 | TLS Private Key Accessible to External Parties |
| CVE-2023-26580 | Missing Authentication In IDAttend’s IDWeb Application |
| CVE-2023-2766 | Weaver OA jx2_config.ini file access |
| CVE-2023-29080 | Privilege escalation in InstallShield |
| CVE-2023-29107 | A vulnerability has been identified in SIMATIC Cloud Connect 7 CC712 (All versions >= V2.0 < V2.1), SIMATIC Cloud Connect 7 C... |
| CVE-2023-29450 | Unauthorized limited filesystem access from preprocessing |
| CVE-2023-31017 | CVE |
| CVE-2023-31064 | Apache InLong: Insecurity direct object references cancelling applications |
| CVE-2023-31066 | Apache InLong: Insecure direct object references for inlong sources |
| CVE-2023-3155 | NextGEN Gallery < 3.39 - Admin+ Arbitrary File Read and Delete |
| CVE-2023-32226 | Sysaid - CWE-552: Files or Directories Accessible to External Parties |
| CVE-2023-32684 | In Lima, a malicious disk image could read a single file on the host filesystem as a qcow2/vmdk backing file |
| CVE-2023-34316 | Delta Electronics InfraSuite Device Master Improper Access Control |
| CVE-2023-3712 | Potential user privilege escalation |
| CVE-2023-37551 | CODESYS Files or Directories Accessible to External Parties in CmpApp |
| CVE-2023-39479 | Softing Secure Integration Server OPC UA Gateway Directory Creation Vulnerability |
| CVE-2023-39480 | Softing Secure Integration Server FileDirectory OPC UA Object Arbitrary File Creation Vulnerability |
| CVE-2023-39545 | CLUSTERPRO X Ver5.1 and earlier and EXPRESSCLUSTER X 5.1 and earlier, CLUSTERPRO X SingleServerSafe 5.1 and earlier, EXPRESSC... |
| CVE-2023-41916 | Apache Linkis DataSource: DatasourceManager module has a JDBC parameter judgment logic vulnerability that allows for arbitra... |
| CVE-2023-4475 | An Arbitrary File Movement vulnerability was found on the ADM |
| CVE-2023-45160 | Elevated Temp Directory Execution in 1E Client |
| CVE-2023-4550 | Unauthenticated Arbitrary File Read |
| CVE-2023-45594 | A CWE-552 “Files or Directories Accessible to External Parties” vulnerability in the embedded Chromium browser allows a physi... |
| CVE-2023-4588 | File accessibility vulnerability in Delinea Secret Server |
| CVE-2023-4743 | Dreamer CMS file access |
| CVE-2023-47612 | A CWE-552: Files or Directories Accessible to External Parties vulnerability exists in Telit Cinterion BGS5, Telit Cinterion... |
| CVE-2023-48661 | Dell vApp Manager, versions prior to 9.2.4.x contain an arbitrary file read vulnerability. A remote malicious user with high... |
| CVE-2023-48710 | iTop limit pages/exec.php script to PHP files |
| CVE-2023-49198 | Apache SeaTunnel Web: Arbitrary file read vulnerability |
| CVE-2023-50164 | Apache Struts: File upload component had a directory traversal vulnerability |
| CVE-2023-5101 | Files or Directories Accessible to External Parties in RDT400 in SICK APU allows an unprivileged remote attacker to download... |
| CVE-2023-6375 | Tyler Technologies Magistrate Court Case Management Plus stores backups insecurely |
| CVE-2024-0949 | Improper Access Control in Talya Informatics' Elektraweb |
| CVE-2024-1005 | Shanxi Diankeyun Technology NODERP log file access |
| CVE-2024-10126 | Local file inclusion vulnerability in M-Files Server |
| CVE-2024-10526 | Rapid7 Velociraptor Local Privilege Escalation In Windows Velociraptor Service |
| CVE-2024-11629 | Telerik Document Processing RTF Export of Arbitrary File Path |
| CVE-2024-12917 | Improper Access Control in Agito Computer's Health4All |
| CVE-2024-13126 | Download Manager < 3.3.07 - Unauthenticated Data Exposure |
| CVE-2024-13617 | Downloable by American Osteopathic Association <= 0.1.0 - Unauthenticated Arbitrary File Download |
| CVE-2024-2052 | CWE-552: Files or Directories Accessible to External Parties vulnerability exists that could allow unauthenticated files and... |
| CVE-2024-2055 | Artica Proxy Unauthenticated File Manager Vulnerability |
| CVE-2024-2056 | Artica Proxy Loopback Services Remotely Accessible Unauthenticated |
| CVE-2024-21403 | Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability |
| CVE-2024-27182 | Apache Linkis Basic management services: Engine material management Arbitrary file deletion vulnerability |
| CVE-2024-2759 | Improper access control in Apaczka plugin for PrestaShop |
| CVE-2024-27894 | Apache Pulsar: Pulsar Functions Worker Allows Unauthorized File Access and Unauthorized HTTP/HTTPS Proxying |
| CVE-2024-31141 | Apache Kafka Clients: Privilege escalation to filesystem read-access via automatic ConfigProvider |
| CVE-2024-34066 | Arbitrary File Write/Read in Pterodactyl wings |
| CVE-2024-35183 | wolfictl leaks GitHub tokens to remote non-GitHub git servers |
| CVE-2024-38429 | Matrix - CWE-552: Files or Directories Accessible to External Parties |
| CVE-2024-38876 | A vulnerability has been identified in Omnivise T3000 Application Server R9.2 (All versions), Omnivise T3000 Domain Controlle... |
| CVE-2024-3913 | Phoenix Contact: Start sequence allows attack during the boot process |
| CVE-2024-39581 | Dell PowerScale InsightIQ, versions 5.0 through 5.1, contains a File or Directories Accessible to External Parties vulnerabil... |
| CVE-2024-41699 | Priority – CWE-552: Files or Directories Accessible to External Parties |
| CVE-2024-43660 | Arbitrary file download using <redacted>.sh |
| CVE-2024-45627 | Apache Linkis Metadata Query Service JDBC: JDBC Datasource Module with Mysql has file read vulnerability |
| CVE-2024-47106 | IBM Jazz for Service Management information disclosure |
| CVE-2024-47518 | Specially constructed queries targeting ETM could discover active remote access sessions |
| CVE-2024-48019 | Apache Doris: allows admin users to read arbitrary files through the REST API |
| CVE-2024-4836 | LFI in sites managed by Edito CMS |
| CVE-2024-48838 | Dell SmartFabric OS10 Software, version(s) 10.5.6.x, 10.5.5.x, 10.5.4.x, 10.5.3.x, contain(s) a Files or Directories Accessib... |
| CVE-2024-48864 | File Station 5 |
| CVE-2024-49359 | ZimaOS vulnerable to Directory Listing via Parameter Manipulation |
| CVE-2024-49756 | AshPostgres empty, atomic, non-bulk actions, policy bypass for side-effects vulnerability. |
| CVE-2024-4981 | Pagure: _update_file_in_git() follows symbolic links in temporary clones |
| CVE-2024-5045 | SourceCodester Online Birth Certificate Management System admin file access |
| CVE-2024-5056 | CWE-552: Files or Directories Accessible to External Parties vulnerability exists which may prevent user to update the device... |
| CVE-2024-51542 | Configuration Download |
| CVE-2024-52292 | Craft Allows Attackers to Read Arbitrary System Files |
| CVE-2024-5262 | ProjectDiscovery Interactsh - Files or Directories Accessible to External Parties |
| CVE-2024-53649 | A vulnerability has been identified in SIPROTEC 5 6MD84 (CP300) (All versions < V9.80), SIPROTEC 5 6MD85 (CP300) (All version... |
| CVE-2024-53676 | A directory traversal vulnerability in Hewlett Packard Enterprise Insight Remote Support may allow remote code execution. |
| CVE-2024-54099 | File replacement vulnerability on some devices Impact: Successful exploitation of this vulnerability will affect integrity an... |
| CVE-2024-5587 | Casdoor Configuration File app.conf file access |
| CVE-2024-56731 | Gogs deletion of internal files allows remote command execution |
| CVE-2024-6209 | unauthorized file access |
| CVE-2024-6421 | Pepperl+Fuchs: Incorrectly configured FTP-Server in OIT Products |
| CVE-2024-6878 | Directory Browsing in Eliz Software's Panel |
| CVE-2024-6911 | Unauthenticated Local File Inclusion |
| CVE-2024-7107 | Directory Traversal in National Keep's CyberMath |
| CVE-2024-7729 | CAYIN Technology CMS - Sensitive File Download |
| CVE-2024-8031 | Secure Downloads < 1.2.3 - Admin+ Arbitrary File Download |
| CVE-2024-8655 | Mercury MNVR816 web-static file access |
| CVE-2024-9765 | EKC Tournament Manager < 2.2.2 - Local File Download Vulnerability |
| CVE-2024-9945 | Limited Information Disclosure in GoAnywhere MFT Prior to 7.7.0 |
| CVE-2025-0509 | Signing Checks Bypass |
| CVE-2025-0620 | Samba: smbd doesn't pick up group membership changes when re-authenticating an expired smb session |
| CVE-2025-1042 | Files or Directories Accessible to External Parties in GitLab |
| CVE-2025-11959 | Improper Access Control in Premierturk's Excavation Management Information System |
| CVE-2025-11965 | In Eclipse Vert.x versions [4.0.0, 4.5.21] and [5.0.0, 5.0.4], a StaticHandler configuration for restricting access to hidden... |
| CVE-2025-13200 | SourceCodester Farm Management System exposure of information through directory listing |
| CVE-2025-1982 | Local File Inclusion in Ready_ |
| CVE-2025-2038 | code-projects Blood Bank Management System upload exposure of information through directory listing |
| CVE-2025-21264 | Visual Studio Code Security Feature Bypass Vulnerability |
| CVE-2025-2147 | Beijing Zhide Intelligent Internet Technology Modern Farm Digital Integrated Management System file access |
| CVE-2025-21609 | SiYuan has an arbitrary file deletion vulnerability |
| CVE-2025-2222 | CWE-552: Files or Directories Accessible to External Parties vulnerability over https exists that could leak information and... |
| CVE-2025-22369 | Mennekes smart/premium charges systems, Arbitrary file download using ReadFile endpoint |
| CVE-2025-23276 | NVIDIA Installer for Windows contains a vulnerability where an attacker may be able to escalate privileges. A successful expl... |
| CVE-2025-23421 | Qardio iOS and Android applications Files or Directories Accessible to External Parties |
| CVE-2025-25266 | A vulnerability has been identified in Tecnomatix Plant Simulation V2302 (All versions < V2302.0021), Tecnomatix Plant Simula... |
| CVE-2025-25267 | A vulnerability has been identified in Tecnomatix Plant Simulation V2302 (All versions < V2302.0021), Tecnomatix Plant Simula... |
| CVE-2025-2651 | SourceCodester Online Eyewear Shop admin exposure of information through directory listing |
| CVE-2025-2652 | SourceCodester Employee and Visitor Gate Pass Logging System exposure of information through directory listing |
| CVE-2025-26525 | Arbitrary file read risk through pdfTeX |
| CVE-2025-27147 | GLPI Inventory plugin has Improper Access Control Vulnerability |
| CVE-2025-30103 | Dell SmartFabric OS10 Software, versions prior to 10.6.0.5 contains a Files or Directories Accessible to External Parties vul... |
| CVE-2025-3025 | CCleaner Link Following Local Privilege Escalation Vulnerability |
| CVE-2025-31996 | Unprotected files are impacting HCL Unica Platform |
| CVE-2025-32819 | A vulnerability in SMA100 allows a remote authenticated attacker with SSLVPN user privileges to bypass the path traversal che... |
| CVE-2025-33150 | IBM Cognos Analytics Certified Containers information disclosure |
| CVE-2025-34110 | ColoradoFTP Server <= 1.3 Build 8 Path Traversal Information Disclosure |
| CVE-2025-40908 | YAML-LibYAML prior to 0.903.0 for Perl uses 2-args open, allowing existing files to be modified |
| CVE-2025-4134 | Lack of file validation in Avast Business Antivirus for Linux allows writing untrusted update files |
| CVE-2025-43749 | Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.1, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 t... |
| CVE-2025-43758 | Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.5, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 t... |
| CVE-2025-4634 | Local File Inclusion |
| CVE-2025-4807 | SourceCodester Online Student Clearance System exposure of information through directory listing |
| CVE-2025-4909 | SourceCodester Client Database Management System exposure of information through directory listing |
| CVE-2025-49797 | Multiple Brother driver installers for Windows contain a privilege escalation vulnerability. If exploited, an arbitrary progr... |
| CVE-2025-52460 | Files or directories accessible to external parties issue exists in SS1 Ver.16.0.0.10 and earlier (Media version:16.0.0a and... |
| CVE-2025-53536 | Roo Code allows Potential Remote Code Execution via .vscode/settings.json |
| CVE-2025-58152 | FutureNet MA and IP-K series provided by Century Systems Co., Ltd. put the firmware version and the garbage collection inform... |
| CVE-2025-58753 | copyparty: Sharing a single file does not fully restrict access to other files in source folder |
| CVE-2025-59054 | dstack has insecure LUKS2 persistent storage partitions that may be opened and used |
| CVE-2025-59976 | Junos Space: Arbitrary file download vulnerability in web interface |
| CVE-2025-61734 | Apache Kylin: improper restriction of file read |
| CVE-2025-64185 | Open OnDemand RPM packages create world writable locations |
| CVE-2025-66625 | Umbraco Vulnerable to Improper File Access and Credential Exposure through Dictionary Import Functionality |
| CVE-2025-68109 | ChurchCRM vulnerable to RCE with database restore functionality |
| CVE-2025-9273 | CData API Server MySQL Misconfiguration Information Disclosure Vulnerability |
| CVE-2026-2330 | CVE-2026-2330 |
| CVE-2026-2331 | CVE-2026-2331 |
| CVE-2026-24732 | Improper permission checks in Extension:NSFileRepo |
| CVE-2026-25137 | NixOs Odoo database and filestore publicly accessible with default odoo configuration |
| CVE-2026-25231 | FileRise affected by an Unauthenticated File Read Due to Insufficient Access Control |
| CVE-2026-29066 | Arbitrary File Read via Disabled Vite Filesystem Restriction in TinaCMS CLI |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20240830-47 | 30.08.2024 | Получение конфиденциальной информации в Phoenix Contact CHARX controllers |
| VULN:20250821-72 | 21.08.2025 | Выполнение произвольного кода в NVIDIA Corp. |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.