Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-602
CWE-602 Client-Side Enforcement of Server-Side Security
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-00218 | Уязвимость микропрограммного обеспечения IP-камеры Cohu 3960HD, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-00543 | Уязвимость веб-интерфейса управления приложений для управления контакт-центром Cisco Unified Contact Center Management Portal (Unified CCMP) и Cisco Unified Contact Center Domain Manager (Unified CCDM), позволяющая нарушителю повысить свои привилегии |
| BDU:2022-05592 | Уязвимость микропрограммного обеспечения cистемы объемного измерения Cognex 3D-A1000 Dimensioning System, связанная с реализацией функций безопасности на стороне клиента, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02755 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю читать произвольные файлы |
| BDU:2023-02756 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю удалять произвольные файлы |
| BDU:2023-02757 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загружать или удалять определенные файлы |
| BDU:2023-03663 | Уязвимость микропрограммного обеспечения маршрутизаторов WAVLINK WL-WN531AX2, связанная с реализацией функций безопасности на стороне клиента, позволяющая нарушителю выполнить произвольные команды |
| BDU:2023-05055 | Уязвимость программного обеспечения для проведения видеоконференций Zoom, связанная с реализацией функций безопасности на стороне клиента, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-06695 | Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager, межсетевого экрана FortiAnalyzer , связанная с реализацией функций безопасности на стороне клиента, позволяющая нарушителю получить привилегированны... |
| BDU:2024-03866 | Уязвимость системы выявления и устранения угроз FortiSandbox, связанная с реализацией функций безопасности на стороне клиента, позволяющая нарушителю изменить конфигурацию устройства |
| BDU:2024-04526 | Уязвимость графического пользовательского интерфейса инструмента аналитики и управления безопасностью Fortinet FortiPortal, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-06485 | Уязвимость системы управления доступом CyberArk Identity Management, связанная с реализацией функций безопасности на стороне клиента, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-07732 | Уязвимость программного обеспечения для контроля доступа пользователей к приложениям и данным Ivanti Workspace Control (IWC), позволяющая нарушителю повысить свои привилегии |
| BDU:2024-09468 | Уязвимость программного средства централизованного управления устройствами Fortinet FortiManager и средств отслеживания и анализа событий безопасности FortiAnalyzer и FortiAnalyzer-BigData, связанная с реализацией функций безопасности на стороне клие... |
| BDU:2024-09471 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загружать произвольные файлы |
| BDU:2024-09740 | Уязвимость сервера Siemens SINEMA Remote Connect, связанная с реализацией функций безопасности на стороне клиента, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00846 | Уязвимость программного средства автоматизации бизнес-процессов IBM Robotic Process Automation, связанная с некорректной проверкой безопасности на стороне клиента, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-02545 | Уязвимость платформы защищённого обмена данными MFlash, связанная с подделкой межсайтовых запросов, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-03633 | Уязвимость компонента GUI системы выявления и устранения угроз FortiSandbox, позволяющая нарушителю выполнять произвольные команды |
| BDU:2025-05547 | Уязвимость утилиты traceroute микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM ROX серий MX (MX5000, MX5000RE) и RX (RX1400, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536 и RX5000), позволяющая нарушителю выполнить произво... |
| BDU:2025-06605 | Уязвимость инструмента ping веб-интерйфеса микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM ROX серий MX (MX5000, MX5000RE) и RX (RX1400, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536 и RX5000), позволяющая нарушителю выпо... |
| BDU:2025-06606 | Уязвимость инструмента ping веб-интерйфеса микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM ROX серий MX (MX5000, MX5000RE) и RX (RX1400, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536 и RX5000), позволяющая нарушителю выпо... |
| BDU:2025-06733 | Уязвимость программного средства для создания отчетов Cisco Unified Intelligence Center и программного средства для управления контакт-центрами Unified Contact Center Enterprise (Cisco Unified CCX), связанная с реализацией функций безопасности на сто... |
| BDU:2025-09496 | Уязвимость приложения для обмена файлами IBM Aspera Faspex, связанная с реализацией функций безопасности на стороне клиента, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2025-09718 | Уязвимость платформ управления рисками на предприятии IBM OpenPages и IBM OpenPages with Watson, связанная с реализацией функций безопасности на стороне клиента, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09787 | Уязвимость облачной платформы для совместной работы FileZ, связанная с некорректной проверкой безопасности на стороне клиента, позволяющая нарушителю повысить свои привилегии и раскрыть защищаемую информацию |
| BDU:2025-10420 | Уязвимость веб-интерфейса микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM ROX MX5000, RUGGEDCOM ROX MX5000RE, RUGGEDCOM ROX RX1400, RUGGEDCOM ROX RX1500, RUGGEDCOM ROX RX1501, RUGGEDCOM ROX RX1510, RUGGEDCOM ROX RX1511, RU... |
| BDU:2025-11168 | Уязвимость встроенного программного обеспечения ПЛК Fastwel, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-16492 | Уязвимость программного обеспечения для проверки личности клиентов KYC Solutions, связанная с реализацией функций безопасности на стороне клиента, позволяющие нарушителю обойти существующие ограничения безопасности |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2014-2373 | Accuenergy Accuenergy Acuvim II Client-Side Enforcement of Server-Side Security |
| CVE-2014-2374 | Accuenergy Accuenergy Acuvim II Client-Side Enforcement of Server-Side Security |
| CVE-2017-12161 | It was found that keycloak before 3.4.2 final would permit misuse of a client-side /etc/hosts entry to spoof a URL in a passw... |
| CVE-2017-14013 | A Client-Side Enforcement of Server-Side Security issue was discovered in ProMinent MultiFLEX M10a Controller web interface.... |
| CVE-2020-24683 | Authentication Bypass in Symphony Plus |
| CVE-2020-27268 | In SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i and AnyDana-A, a client-side control vulnerability in the insulin pump... |
| CVE-2020-5345 | Dell EMC Unisphere for PowerMax versions prior to 9.1.0.17, Dell EMC Unisphere for PowerMax Virtual Appliance versions prior... |
| CVE-2020-8162 | A client side enforcement of server side security vulnerability exists in rails < 5.2.4.2 and rails < 6.0.3.1 ActiveStorage's... |
| CVE-2021-21531 | Dell Unisphere for PowerMax versions prior to 9.2.1.6 contain an Authorization Bypass Vulnerability. A local authenticated ma... |
| CVE-2021-21544 | Dell EMC iDRAC9 versions prior to 4.40.00.00 contain an improper authentication vulnerability. A remote authenticated malicio... |
| CVE-2021-36338 | Unisphere for PowerMax versions prior to 9.2.2.2 contains a privilege escalation vulnerability. An adjacent malicious user co... |
| CVE-2022-1525 | Cognex 3D-A1000 Dimensioning System Client-Side Enforcement of Server-Side Security |
| CVE-2022-20658 | Cisco Unified Contact Center Management Portal and Unified Contact Center Domain Manager Privilege Escalation Vulnerability |
| CVE-2022-31233 | Unisphere for PowerMax versions before 9.2.3.15 contain a privilege escalation vulnerability. An adjacent malicious user may... |
| CVE-2023-0750 | Yellowbrik PEC-1864 authentication bypass |
| CVE-2023-20106 | Cisco Identity Services Engine Arbitrary File Delete and File Read Vulnerabilities |
| CVE-2023-20171 | Cisco Identity Services Engine Arbitrary File Delete and File Read Vulnerabilities |
| CVE-2023-20172 | Cisco Identity Services Engine Arbitrary File Delete and File Read Vulnerabilities |
| CVE-2023-23570 | Client-Side enforcement of Server-Side security for the Command Centre server could be bypassed and lead to invalid configur... |
| CVE-2023-30955 | Foundry workspace-server Developer Mode Authorization Bypass |
| CVE-2023-3747 | Insufficient Validation on Override Codes for Always-Enabled WARP Mode |
| CVE-2023-39218 | Client-side enforcement of server-side security in Zoom clients before 5.14.10 may allow a privileged user to enable informat... |
| CVE-2023-42787 | A client-side enforcement of server-side security [CWE-602] vulnerability in Fortinet FortiManager version 7.4.0 and before 7... |
| CVE-2023-48789 | A client-side enforcement of server-side security in Fortinet FortiPortal version 6.0.0 through 6.0.14 allows attacker to imp... |
| CVE-2024-12603 | A logic vulnerability in the the mobile application (com.transsion.applock) can lead to bypassing the application password. |
| CVE-2024-20476 | Cisco Identity Services Engine Authorization Bypass Vulnerability |
| CVE-2024-23666 | A client-side enforcement of server-side security in Fortinet FortiAnalyzer-BigData at least version 7.4.0 and 7.2.0 throug... |
| CVE-2024-28029 | Client-Side Enforcement of Server-Side Security in Delta Electronics DIAEnergie |
| CVE-2024-31491 | A client-side enforcement of server-side security in Fortinet FortiSandbox version 4.4.0 through 4.4.4 and 4.2.0 through 4.2.... |
| CVE-2024-32512 | WordPress weForms plugin <= 1.6.20 - Form Submission Restriction Bypass vulnerability |
| CVE-2024-32521 | WordPress Zero Spam for WordPress plugin <= 5.5.6 - Bypass Spam Protection vulnerability |
| CVE-2024-32685 | WordPress WP Ultimate Review plugin <= 2.2.5 - Review Score Manipulation vulnerability |
| CVE-2024-39870 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.2 SP1). The affected applications can... |
| CVE-2024-41750 | IBM SmartCloud Analytics - Log Analysis security bypass |
| CVE-2024-41751 | IBM SmartCloud Analytics - Log Analysis security bypass |
| CVE-2024-42340 | CyberArk - CWE-602: Client-Side Enforcement of Server-Side Security |
| CVE-2024-43188 | IBM Business Automation Workflow improper input validation |
| CVE-2024-44106 | Insufficient server-side controls in the management console of Ivanti Workspace Control before version 2025.2 (10.19.0.0) all... |
| CVE-2024-49824 | IBM Robotic Process Automation security bypass |
| CVE-2024-52008 | Password Policy Bypass Vulnerability in Fides Webserver |
| CVE-2024-52960 | A client-side enforcement of server-side security vulnerability [CWE-602] in Fortinet FortiSandbox version 5.0.0, 4.4.0 throu... |
| CVE-2024-6620 | Honeywell PC42t, PC42tp, and PC42d Printers, T10.19.020016 to T10.20.060398, contain a cross-site scripting vulnerability. A(... |
| CVE-2024-6831 | Seth Fogie, member of AXIS Camera Station Pro Bug Bounty Program has found that it is possible to edit and/or remove views wi... |
| CVE-2024-9844 | Insufficient server-side controls in Secure Application Manager of Ivanti Connect Secure before version 22.7R2.4 allows a rem... |
| CVE-2025-10161 | Authentication Bypass in Turkguven's Perfektive |
| CVE-2025-10622 | Foreman: os command injection via ct_location and fcct_location parameters |
| CVE-2025-10640 | Missing Server-Side Authentication Checks in EfficientLab WorkExaminer Professional |
| CVE-2025-12115 | WPC Name Your Price for WooCommerce <= 2.1.9 - Unauthenticated Price Alteration |
| CVE-2025-12788 | Hydra Booking – All in One Appointment Booking System | Appointment Scheduling, Booking Calendar & WooCommerce Bookings <= 1.... |
| CVE-2025-1838 | IBM Cloud Pak for Business Automation denial of service |
| CVE-2025-20113 | Cisco Unified Intelligence Center Privilege Escalation Vulnerability |
| CVE-2025-2138 | IBM Engineering Requirements Management Doors Next data modification |
| CVE-2025-2139 | IBM Engineering Requirements Management Doors Next security bypass |
| CVE-2025-27367 | IBM OpenPages with Watson improper input validation |
| CVE-2025-28168 | The Multiple File Upload add-on component 3.1.0 for OutSystems is vulnerable to Unrestricted File Upload. This occurs because... |
| CVE-2025-32359 | In Zammad 6.4.x before 6.4.2, there is client-side enforcement of server-side security. When changing their two factor authen... |
| CVE-2025-32469 | A vulnerability has been identified in RUGGEDCOM ROX MX5000 (All versions < V2.16.5), RUGGEDCOM ROX MX5000RE (All versions <... |
| CVE-2025-32808 | W. W. Norton InQuizitive through 2025-04-08 allows students to insert arbitrary records of their quiz performance into the ba... |
| CVE-2025-33024 | A vulnerability has been identified in RUGGEDCOM ROX MX5000 (All versions < V2.16.5), RUGGEDCOM ROX MX5000RE (All versions <... |
| CVE-2025-33025 | A vulnerability has been identified in RUGGEDCOM ROX MX5000 (All versions < V2.16.5), RUGGEDCOM ROX MX5000RE (All versions <... |
| CVE-2025-33137 | IBM Aspera Faspex data modification |
| CVE-2025-36039 | IBM Aspera Faspex bypass security |
| CVE-2025-36093 | security vulnerabilities are addressed with IBM Business Automation Insights iFixes for October 2025. |
| CVE-2025-40591 | A vulnerability has been identified in RUGGEDCOM ROX MX5000 (All versions < V2.16.5), RUGGEDCOM ROX MX5000RE (All versions <... |
| CVE-2025-41402 | Client-Side Enforcement of Server-Side Security (CWE-602) in the Command Centre Server allows a privileged operator to enter... |
| CVE-2025-42601 | Captcha Bypass Vulnerability in Meon KYC solutions |
| CVE-2025-43699 | Client-Side Enforcement of Server-Side Security vulnerability in Salesforce OmniStudio (FlexCards) allows bypass of required... |
| CVE-2025-4527 | Dígitro NGC Explorer Password Transmission client-side enforcement of server-side security |
| CVE-2025-46591 | Out-of-bounds data read vulnerability in the authorization module Impact: Successful exploitation of this vulnerability may a... |
| CVE-2025-47697 | Client-side enforcement of server-side security issue exists in wivia 5 all versions. If exploited, an unauthenticated attack... |
| CVE-2025-53969 | Cognex In-Sight Explorer and In-Sight Camera Firmware Client-Side Enforcement of Server-Side Security |
| CVE-2025-5450 | Improper access control in the certificate management component of Ivanti Connect Secure before version 22.7R2.8 and Ivanti P... |
| CVE-2025-54833 | OPEXUS FOIAXpress Public Access Link (PAL) account-lockout and CAPTCHA protection bypass |
| CVE-2025-6025 | Order Tip for WooCommerce <= 1.5.4 - Unauthenticated Tip Manipulation to Negative Value Leading to Unauthorized Discounts |
| CVE-2025-6249 | An authentication bypass vulnerability was reported in FileZ client application that could allow a local attacker with elevat... |
| CVE-2025-66507 | 1Panel – CAPTCHA Bypass via Client-Controlled Flag |
| CVE-2025-7820 | SKT PayPal for WooCommerce <= 1.4 - Unauthenticated Payment Bypass |
| CVE-2025-8792 | LitmusChaos Litmus client-side enforcement of server-side security |
| CVE-2025-9495 | Viessmann Vitogate 300 Authentication Bypass |
| CVE-2026-0808 | Spin Wheel <= 2.1.0 - Unauthenticated Client-Side Prize Manipulation via 'prize_index' Parameter |
| CVE-2026-23478 | Cal.com has an Authentication Bypass via Unvalidated Email in Custom JWT Callback |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20241202-2 | 02.12.2024 | Получение конфиденциальной информации в FortiAnalyzer |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.