Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-613
CWE-613: Insufficient Session Expiration
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2017-02557 | Уязвимость службы BIGIPAuthCookie интерфейса iControl REST линейки продуктов BIG-IP, позволяющая нарушителю получить доступ к интерфейсу |
| BDU:2018-00145 | Уязвимость программного обеспечения Cloud Foundry Runtime cf-release, UAA Standalone и Pivotal Cloud Foundry Elastic Runtime программной платформы Cloud Foundry, позволяющая нарушителю воспользоваться старой сессией после сброса пароля |
| BDU:2018-01306 | Уязвимость операционной системы FortiOS, связанная с прекращением мониторинга активных сетевых сеансов после обновления механизма сканирования, позволяющая нарушителю выполнить обход защиты |
| BDU:2019-01048 | Уязвимость сервера автоматизации Jenkins, позволяющая нарушителю повторно использовать регистрационные данные или идентификаторы сеанса для авторизации |
| BDU:2019-02959 | Уязвимость компонента TokenBasedRememberMeServices2.java (core/src/main/java/hudson/security/TokenBasedRememberMeServices2.java) сервера автоматизации Jenkins, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04244 | Уязвимость компонента HttpFoundation программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-04527 | Уязвимость микропрограммного обеспечения контроллера удаленного управления Intel Baseboard Management Controller (BMC), связанная с неверным сроком действия сеанса, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживани... |
| BDU:2020-00050 | Уязвимость средства управления виртуальной инфраструктурой VMware vCenter Server и гипервизора VMware ESXi, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-02066 | Уязвимость контроллера домена Red Hat IPA, связанная с отсутствием автоматического завершения всех сеансов после смены пароля, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2020-02599 | Уязвимость сервера FreeIPA, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к сеансу |
| BDU:2021-01534 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с отсутствием автоматического завершения всех сеансов после смены пароля, позволяющая нарушителю получить несанкционированный доступ к ограниче... |
| BDU:2021-01542 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с отсутствием автоматического завершения всех сеансов после смены пароля, позволяющая нарушителю получить несанкционированный доступ к ограниче... |
| BDU:2021-02333 | Уязвимость микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance Software (ASA) и Cisco Firepower Threat Defense (FTD), связанная с ошибками срока действия сеанса, позволяющая нарушителю вызвать перезагрузку устройства ил... |
| BDU:2021-03243 | Уязвимость метода SessionListenersessionDestroyed() контейнера сервлетов Eclipse Jetty, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-03963 | Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco Small Business 220 Series Smart, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти процедуру аутентификации, получить несанкционированны... |
| BDU:2021-04667 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2021-04963 | Уязвимость сервера для управления программами Fortinet FortiClient Enterprise Management Server (EMS), связанная с ошибками при управлении сенасом, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-05712 | Уязвимость веб-интерфейса микропрограммного обеспечения коммутаторов Cisco 250/350/350X/550X/ESW2 Series, Cisco Business 250/350 Series, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить несанкционированный доступ к... |
| BDU:2022-00038 | Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt, связанная с ошибками при обработке запросов аутентификации для истекших токенов eauth, позволяющая нарушителю выполнить произвольные команды |
| BDU:2022-00847 | Уязвимость программы CGI коммутатора Zyxel NBG6604, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к устройству |
| BDU:2022-03882 | Уязвимость пакета программ Microsoft Office 365, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04203 | Уязвимость компонента AuthToken микропрограммного обеспечения модулей станций автоматизации Desigo DXR2, PXC3, PXC4, PXC5, позволяющая нарушителю получить доступ к устройству с помощью перехвата токена авторизации |
| BDU:2022-04970 | Уязвимость интерфейса iControl REST API средств защиты приложений BIG-IP, позволяющая нарушителю выполнить произвольные команды, отключить произвольные службы, создавать или удалять произвольные файлы |
| BDU:2022-05233 | Узявиомость интерфейса сервера BigBlueButton greenlight, связанная с неверным сроком действия сеанса, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-05376 | Уязвимость программного средства BD Synapsys, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ, изменить или удалить конфиденциальную информацию |
| BDU:2022-06502 | Уязвимость средства выявления и принятия мер реагирования на внешние и внутренние угрозы безопасности Fortinet FortiDeceptor, связанная с неверным сроком действия сеанса, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-06943 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с неверным сроком действия сеанса, позволяющая нарушителю повторно использовать учетные данные сеанса для доступа к информации пользователей |
| BDU:2023-01477 | Уязвимость программного обеспечения энергомониторинга EcoStruxure Power Monitoring Expert, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-01836 | Уязвимость интерфейса командной строки операционных систем ArubaOS, позволяющая нарушителю продолжать сеанс на уязвимом устройстве после удаления затронутой учетной записи |
| BDU:2023-02636 | Уязвимость аутентификации сервера службы каталогов 389 Directory Server, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-03845 | Уязвимость DNS-сервера Unbound, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-04299 | Уязвимость интерфейса командной строки операционных систем FortiOS, позволяющая нарушителю выполнить произвольные команды |
| BDU:2023-04605 | Уязвимость приложения для управления членством и контролем доступа Admidio, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к конфиденциальной информации и к произвольным функциям приложения |
| BDU:2023-05702 | Уязвимость веб-приложения для управления проектами и задачами Redmine , связанная с неверным сроком действия сеанса, позволяющая нарушителю продолжать существующие сеансы пользователя после включения двухфакторной аутентификации |
| BDU:2023-05782 | Уязвимость модуля QMS.Mobile программного обеспечения управления качеством для производителей автомобилей QMS Automotive, позволяющая нарушителю перехватить действующий сеанс |
| BDU:2023-06377 | Уязвимость программного обеспечения централизованного сбора, анализа и хранения логов Graylog, связанная с неверным сроком действия сеанса. позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2023-06715 | Уязвимость средства защиты, выявления и реагирования на угрозы безопасности конечных точек FortiEDR, связанная с неверным сроком действия сеанса, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-07113 | Уязвимость средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств, BIG-IP Advanced Firewall Manager, BIG-IP Advanced Web Application Firewall, BIG-IP Analytics, BIG-IP Application Acceleration M... |
| BDU:2024-00190 | Уязвимость менеджера управления ресурсами Slurm, связанная с некорректным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2024-00712 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с неверным сроком действия сеанса, позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2024-00723 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2024-00815 | Уязвимость файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения маршрутизатора Totolink N200RE, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-00858 | Уязвимость файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения маршрутизатора Totolink N350RT, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-00859 | Уязвимость файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения маршрутизатора Totolink T8, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-01397 | Уязвимость интерфейса управления операционных систем PAN-OS, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2024-01592 | Уязвимость системы управления содержимым Joomla!, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-02488 | Уязвимость операционной системы PowerScale OneFS, связанная с неверным сроком действия сеанса, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-02629 | Уязвимость веб-приложения для развёртывания распределённых социальных сетей Mastodon, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03396 | Уязвимость плагина Jenkins WSO2 Oauth Plugin, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-04848 | Уязвимость фреймворка создания конвейеров машинного обучения Zenml, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2024-05082 | Уязвимость программного средства мониторинга и анализа сетевого трафика в промышленных сетях SINEC Traffic Analyzer, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2024-05807 | Уязвимость системы работы с заявками и инцидентами GLPI, связанная c недостаточным истечением срока сеанса, позволяющая нарушителю оказывать воздействие на целостность системы |
| BDU:2024-06137 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с неверным сроком действия сеанс, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2024-06238 | Уязвимость графического пользовательского интерфейса программного средства выявления угроз безопасности на основе искусственного интеллекта FortiAIOps, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-06565 | Уязвимость графического интерфейса операционных систем FortiOS, прокси-сервера для защиты от интернет-атак FortiProxy и локальной платформы управления FortiSwitchManager, позволяющая нарушителю позволить получить несанкционированный доступ к устройст... |
| BDU:2024-09312 | Уязвимость алгоритма TOTP (Time-based One-Time Password) клиента VPN-сервиса SINEMA Remote Connect, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2024-10321 | Уязвимость в веб-интерфейса управления программного обеспечения для управления сетевой инфраструктурой SINEC INS (Infrastructure Network Services), связанная с неверным сроком действия сеанса, позволяющая нарушителю сохранить сеанс после удаления уче... |
| BDU:2024-10987 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти процедуру аутентификации и получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11630 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-00953 | Уязвимость графической среды рабочего стола Plasma Workspace, связанная с неверным сроком действия сеанса, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01148 | Уязвимость веб-сервиса для передачи информации через временные ссылки Password Pusher, связанная с неверным ограничением срока действия сеанса, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2025-01217 | Уязвимость модуля Persistent Login CMS-системы Drupal, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-01396 | Уязвимость операционных систем macOS, связанная с неверным сроком действия сеанса, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01580 | Уязвимость веб-сервиса для передачи информации через временные ссылки Password Pusher, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ и раскрыть защищаемую информацию |
| BDU:2025-02199 | Уязвимость программного обеспечения защиты данных Acronis Cyber Protect 16, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03165 | Уязвимость пакета Apache Airflow Fab Provider программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Apache Airflow, связанная с неверным сроком действия сеанса, позволяющая нарушителю сохранять сеанс в системе |
| BDU:2025-04974 | Уязвимость сервера для создания веб-блогов Apache Roller, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2025-05389 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/ CE, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05685 | Уязвимость веб-интерфейса облачной платформы безопасности Prisma Cloud Compute, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05903 | Уязвимость веб-системы управления технологическими процессами SIMATIC PCS neo, среды разработки программного обеспечения TIA Administrator и среды разработки программного обеспечения систем автоматизации технологических процессов Totally Integrated A... |
| BDU:2025-06509 | Уязвимость платформ мониторинга событий, обнаружения угроз, аналитики безопасности IBM QRadar Suite и IBM Cloud Pak for Security, связанная с неверным сроком действия сеанс, позволяющая нарушителю оказать воздействие на конфиденциальность и целостнос... |
| BDU:2025-06604 | Уязвимость веб-системы управления технологическими процессами SIMATIC PCS neo, связанная с неверным сроком действия сеанса, позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2025-06867 | Уязвимость программной платформы интеграции данных IBM InfoSphere Information Server, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07359 | Уязвимость интерфейса модуля Rack интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-07427 | Уязвимость интерфейса модуля Rack интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-09196 | Уязвимость программной платформы мониторинга AutoGRAPH Web, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09495 | Уязвимость приложения для обмена файлами IBM Aspera Faspex, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2025-09545 | Уязвимость платформы изоляции браузеров FortiIsolator и системы выявления и устранения угроз FortiSandbox, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информац... |
| BDU:2025-09701 | Уязвимость программного обеспечения для подключения и управления данными IBM Sterling Connect:Direct Web Services, связанная с неверным сроком действия сеанса, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-09705 | Уязвимость программного обеспечения для управления эффективностью бизнеса IBM Planning Analytics Local, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемо... |
| BDU:2025-11170 | Уязвимость встроенного программного обеспечения ПЛК Fastwel, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-12657 | Уязвимость сетевого программного средства FortiOS SSL-VPN, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2025-12667 | Уязвимость программного решения для интеграции данных корпоративного уровня Transformation Extender Advanced, связанная с неверным сроком действия сеанса, позволяющая нарушителю перехватить сеанс и получить доступ к учетной записи пользователя |
| BDU:2025-14705 | Уязвимость инструмента для мониторинга ИТ-инфраструктуры Nagios XI, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14720 | Уязвимость дисплея для систем распределительных устройств ABB Lite Panel Pro, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2025-15972 | Уязвимость программного средства визуализации рабочего состояния ИТ-инфраструктуры предприятия Nagios Fusion, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00043 | Уязвимость программной платформы для управления вики Requarks Wiki.js, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2016-6545 | iTrack Easy does not use session cookies to maintain sessions and POSTs the users password over HTTPS for each request |
| CVE-2017-12159 | It was found that the cookie used for CSRF prevention in Keycloak was not unique to each session. An attacker could use this... |
| CVE-2017-14007 | An Insufficient Session Expiration issue was discovered in ProMinent MultiFLEX M10a Controller web interface. The user's sess... |
| CVE-2017-3215 | The Milwaukee ONE-KEY Android mobile application uses bearer tokens with an expiration of one year. This bearer token, in com... |
| CVE-2018-1127 | Tendrl API in Red Hat Gluster Storage before 3.4.0 does not immediately remove session tokens after a user logs out. Session... |
| CVE-2019-14826 | A flaw was found in FreeIPA versions 4.5.0 and later. Session cookies were retained in the cache after logout. An attacker co... |
| CVE-2019-3867 | A vulnerability was found in the Quay web application. Sessions in the Quay web application never expire. An attacker, able t... |
| CVE-2019-5638 | Rapid7 Nexpose Insufficient Session Management |
| CVE-2019-5647 | Rapid7 AppSpider Chrome Plugin Insufficient Session Expiration |
| CVE-2020-15218 | Admin pages are cached and can be embedded |
| CVE-2020-15220 | Session fixation |
| CVE-2020-15269 | Expired token reuse in Spree |
| CVE-2020-1724 | A flaw was found in Keycloak in versions before 9.0.2. This flaw allows a malicious user that is currently logged in, to see... |
| CVE-2020-1762 | An insufficient JWT validation vulnerability was found in Kiali versions 0.4.0 to 1.15.0 and was fixed in Kiali version 1.15.... |
| CVE-2020-1768 | External Interface does not invalidate session |
| CVE-2020-1776 | Invalidating or changing user does not invalidate session |
| CVE-2020-4914 | IBM Cloud Pak System Software Suite session fixation |
| CVE-2020-6292 | Logout mechanism in SAP Disclosure Management, version 10.1, does not invalidate one of the session cookies, leading to Insuf... |
| CVE-2020-8234 | A vulnerability exists in The EdgeMax EdgeSwitch firmware <v1.9.1 where the EdgeSwitch legacy web interface SIDSSL cookie for... |
| CVE-2021-1501 | Cisco Adaptive Security Appliance Software and Cisco Firepower Threat Defense Software SIP Denial of Service Vulnerability |
| CVE-2021-20581 | IBM Security Verify Privilege information disclosure |
| CVE-2021-21031 | Magento Commerce Failure To Invalidate User Session Could Lead To Unauthorized Access |
| CVE-2021-21032 | Magento Commerce Failure To Invalidate User Session Could Lead To Unauthorized Access |
| CVE-2021-22136 | In Kibana versions before 7.12.0 and 6.8.15 a flaw in the session timeout was discovered where the xpack.security.session.idl... |
| CVE-2021-25940 | ArangoDB - Insufficient Session Expiration after Password Change |
| CVE-2021-25966 | Orchard Core CMS - Improper Session Termination after Password Change |
| CVE-2021-25970 | Camaleon CMS - Insufficient Session Expiration after Password Change |
| CVE-2021-25979 | Apostrophe - Insufficient Session Expiration |
| CVE-2021-25981 | Talkyard - Insufficient Session Expiration |
| CVE-2021-25985 | FactorJS - Insufficient Session Expiration Leads to a Local Account Takeover |
| CVE-2021-25992 | ifme - Insufficient Session Expiration |
| CVE-2021-27751 | HCL Commerce is affected by an Insufficient Session Expiration vulnerability. |
| CVE-2021-31408 | Server session is not invalidated when logout() helper method of Authentication module is used in Vaadin 18-19 |
| CVE-2021-34428 | For Eclipse Jetty versions <= 9.4.40, <= 10.0.2, <= 11.0.2, if an exception is thrown from the SessionListener#sessionDestroy... |
| CVE-2021-3461 | A flaw was found in keycloak where keycloak may fail to logout user session if the logout request comes from external SAML id... |
| CVE-2021-34739 | Cisco Small Business Series Switches Session Credentials Replay Vulnerability |
| CVE-2021-35034 | An insufficient session expiration vulnerability in the CGI program of the Zyxel NBG6604 firmware could allow a remote attack... |
| CVE-2021-36330 | Dell EMC Streaming Data Platform versions before 1.3 contain an Insufficient Session Expiration Vulnerability. A remote unaut... |
| CVE-2021-37693 | Re-use of email tokens in Discourse |
| CVE-2021-37866 | Session is not invalidated on server-side when user logged out of Boards |
| CVE-2021-3844 | Rapid7 InsightVM Insufficient Session Expiration |
| CVE-2021-41247 | incomplete logout in JupyterHub |
| CVE-2021-42545 | Insufficient Session Expiration in TopEase |
| CVE-2021-43791 | Ineffective expiration validation for invitation links in Zulip |
| CVE-2021-46279 | Session Fixation and Insufficient Session Expiration |
| CVE-2021-47663 | Improper session handling |
| CVE-2022-0991 | Insufficient Session Expiration in admidio/admidio |
| CVE-2022-2064 | Insufficient Session Expiration in nocodb/nocodb |
| CVE-2022-21652 | Insufficient Session Expiration in shopware |
| CVE-2022-22113 | DayByDay CRM - Insufficient Session Expiration after Password Change |
| CVE-2022-22371 | IBM Sterling B2B Integrator Standard Edition session fixation |
| CVE-2022-2306 | Insufficient Session Expiration in heroiclabs/nakama |
| CVE-2022-23063 | Shopizer - Insufficient Session Expiration |
| CVE-2022-23502 | TYPO3 contains Insufficient Session Expiration after Password Reset |
| CVE-2022-24042 | A vulnerability has been identified in Desigo DXR2 (All versions < V01.21.142.5-22), Desigo PXC3 (All versions < V01.21.142.4... |
| CVE-2022-24732 | Maddy Mail Server does not implement account expiry |
| CVE-2022-24743 | Insufficient Session Expiration in Sylius |
| CVE-2022-24744 | Insufficient Session Expiration in shopware |
| CVE-2022-2713 | Insufficient Session Expiration in cockpit-hq/cockpit |
| CVE-2022-2888 | Insufficient Session Expiration in octoprint/octoprint |
| CVE-2022-30277 | BD Synapsys™ – Insufficient Session Expiration |
| CVE-2022-31050 | Insufficient Session Expiration in TYPO3 Admin Tool |
| CVE-2022-31145 | Insufficient AccessToken Expiration Check in FlyteAdmin |
| CVE-2022-32759 | IBM Security Directory Server information disclosure |
| CVE-2022-33137 | A vulnerability has been identified in SIMATIC MV540 H (All versions < V3.3), SIMATIC MV540 S (All versions < V3.3), SIMATIC... |
| CVE-2022-3362 | Insufficient Session Expiration in ikus060/rdiffweb |
| CVE-2022-34392 | SupportAssist for Home PCs (versions 3.11.4 and prior) contain an insufficient session expiration Vulnerability. An authenti... |
| CVE-2022-35728 | iControl REST vulnerability CVE-2022-35728 |
| CVE-2022-38382 | IBM Cloud Pak for Security session fixation |
| CVE-2022-3867 | Nomad Event Stream Subscriber Using a Token with TTL Receives Updates Until Garbage Collected |
| CVE-2022-38707 | IBM Cognos Command Center information disclosure |
| CVE-2022-39234 | user session persists even after permanently deleting account in GLPI |
| CVE-2022-40228 | IBM DataPower Gateway session fixation |
| CVE-2022-4070 | Insufficient Session Expiration in librenms/librenms |
| CVE-2022-41672 | Session still functional after user is deactivated |
| CVE-2022-43844 | IBM Robotic Process Automation for Cloud Pak session fixation |
| CVE-2022-45862 | An insufficient session expiration vulnerability [CWE-613] vulnerability in FortiOS 7.2.5 and below, 7.0 all versions, 6.4 al... |
| CVE-2022-46177 | Discourse password reset link can lead to in account takeover if user changes to a new email |
| CVE-2022-48317 | Insecure Termination of RestAPI Session Tokens |
| CVE-2023-0041 | IBM Security Guardium session fixation |
| CVE-2023-0227 | Insufficient Session Expiration in pyload/pyload |
| CVE-2023-1543 | Insufficient Session Expiration in answerdev/answer |
| CVE-2023-1788 | Insufficient Session Expiration in firefly-iii/firefly-iii |
| CVE-2023-1854 | SourceCodester Online Graduate Tracer System session expiration |
| CVE-2023-22492 | RefreshToken invalidation vulnerability |
| CVE-2023-22591 | IBM Robotic Process Automation session fixation |
| CVE-2023-22732 | Insufficient Session Expiration in Administration in shopware |
| CVE-2023-23614 | Improper session handling of "Remember me for 7 days" functionality |
| CVE-2023-23929 | Refresh tokens do not expire in Vantage6 |
| CVE-2023-25562 | Failure to Invalidate Session on Logout in DataHub |
| CVE-2023-26288 | IBM Aspera Orchestrator session fixation |
| CVE-2023-28001 | An insufficient session expiration in Fortinet FortiOS 7.0.0 - 7.0.12 and 7.2.0 - 7.2.4 allows an attacker to execute unautho... |
| CVE-2023-28003 | A CWE-613: Insufficient Session Expiration vulnerability exists that could allow an attacker to maintain unauthorized acce... |
| CVE-2023-31065 | Apache InLong: Insufficient Session Expiration in InLong |
| CVE-2023-31139 | DHIS2 Core unrestricted session cookies with Personal Access Tokens |
| CVE-2023-31140 | OpenProject user sessions not terminated after activation of 2FA |
| CVE-2023-32318 | User session not correctly destroyed on logout |
| CVE-2023-33303 | A insufficient session expiration in Fortinet FortiEDR version 5.0.0 through 5.0.1 allows attacker to execute unauthorized co... |
| CVE-2023-37570 | Insufficient Session Expiration Vulnerability in Emagic Data Center Management Suite |
| CVE-2023-37919 | Cal.com not expiring old sessions after enabling 2FA |
| CVE-2023-38489 | Kirby vulnerable to Insufficient Session Expiration after a password change |
| CVE-2023-40025 | Argo CD web terminal session doesn't expire |
| CVE-2023-4005 | Insufficient Session Expiration in fossbilling/fossbilling |
| CVE-2023-40174 | Insufficient Session Expiration in fobybus/social-media-skeleton |
| CVE-2023-40537 | Multi-blade VIPRION Configuration utility session cookie vulnerability |
| CVE-2023-40695 | IBM Cognos Controller session fixation |
| CVE-2023-40732 | A vulnerability has been identified in QMS Automotive (All versions < V12.39). The QMS.Mobile module of the affected applicat... |
| CVE-2023-41041 | User session is still usable after logout in graylog2-server |
| CVE-2023-4126 | Insufficient Session Expiration in answerdev/answer |
| CVE-2023-4190 | Insufficient Session Expiration in admidio/admidio |
| CVE-2023-42768 | BIG-IP iControl REST vulnerability |
| CVE-2023-4320 | Satellite: arithmetic overflow in satellite |
| CVE-2023-45187 | IBM Engineering Lifecycle Optimization - Publishing session fixation |
| CVE-2023-45600 | A CWE-613 “Insufficient Session Expiration” vulnerability in the web application, due to the session cookie “sessionid” lasti... |
| CVE-2023-45659 | Session is not expiring after password reset in Engelsystem |
| CVE-2023-46158 | IBM WebSphere Application Server session fixation |
| CVE-2023-47628 | Session Expiration Misconfiguration in datahub |
| CVE-2023-49091 | Jwttoken in Cosmos server never expires after password changed and logging out |
| CVE-2023-49881 | IBM Transformation Extender Advanced session fixation |
| CVE-2023-50270 | Apache DolphinScheduler: Session do not expire after password change |
| CVE-2023-50936 | IBM PowerSC session fixation |
| CVE-2023-5838 | Insufficient Session Expiration in linkstackorg/linkstack |
| CVE-2023-5865 | Insufficient Session Expiration in thorsten/phpmyfaq |
| CVE-2023-5889 | Insufficient Session Expiration in pkp/pkp-lib |
| CVE-2024-0008 | PAN-OS: Insufficient Session Expiration Vulnerability in the Web Interface |
| CVE-2024-0260 | SourceCodester Engineers Online Portal Password Change change_password_teacher.php session expiration |
| CVE-2024-0350 | SourceCodester Engineers Online Portal session expiration |
| CVE-2024-0942 | Totolink N200RE V5 cstecgi.cgi session expiration |
| CVE-2024-0943 | Totolink N350RT cstecgi.cgi session expiration |
| CVE-2024-0944 | Totolink T8 cstecgi.cgi session expiration |
| CVE-2024-11208 | Apereo CAS login session expiration |
| CVE-2024-11627 | : Insufficient Session Expiration vulnerability in Progress Sitefinity allows : Session Fixation.This issue affects Sitefinit... |
| CVE-2024-11668 | Insufficient Session Expiration in GitLab |
| CVE-2024-12667 | InvoicePlane view session expiration |
| CVE-2024-13280 | Persistent Login - Moderately critical - Access bypass - SA-CONTRIB-2024-044 |
| CVE-2024-13996 | Nagios XI < 2024R1.1.3 Session Not Invalidated After Password Change |
| CVE-2024-1623 | Insufficient session timeout vulnerability in Sagemcom router |
| CVE-2024-21722 | [20240201] - Core - Insufficient session expiration in MFA management views |
| CVE-2024-22351 | IBM InfoSphere Information Server session fixation |
| CVE-2024-22358 | IBM UrbanCode Deploy session fixation |
| CVE-2024-22389 | BIG-IP iControl REST API Vulnerability |
| CVE-2024-22403 | OAuth2 authorization codes are valid indefinetly in Nextcloud server |
| CVE-2024-23586 | An insufficient session timeout vulnerability affects HCL Nomad server on Domino |
| CVE-2024-25051 | IBM Jazz Reporting Service insufficient session expiration |
| CVE-2024-25619 | Destroying OAuth Applications doesn't notify Streaming of Access Tokens being destroyed in mastodon |
| CVE-2024-25628 | Insufficient Session Expiration in alf.io |
| CVE-2024-25954 | Dell PowerScale OneFS, versions 9.5.0.x through 9.7.0.x, contain an insufficient session expiration vulnerability. A remote u... |
| CVE-2024-27779 | An insufficient session expiration vulnerability [CWE-613] in FortiSandbox FortiSandbox version 4.4.4 and below, version 4.2.... |
| CVE-2024-27782 | Multiple insufficient session expiration vulnerabilities [CWE-613] in FortiAIOps version 2.0.0 may allow an attacker to re-u... |
| CVE-2024-29070 | Apache StreamPark: session not invalidated after logout |
| CVE-2024-30262 | Contao's remember-me tokens will not be cleared after a password change |
| CVE-2024-31447 | Shopware has Improper Session Handling in store-api |
| CVE-2024-31995 | zcap has incomplete expiration checks in capability chains. |
| CVE-2024-31999 | @fastify/secure-session: Reuse of destroyed secure session cookie |
| CVE-2024-32006 | A vulnerability has been identified in SINEMA Remote Connect Client (All versions < V3.2 SP2). The affected application does... |
| CVE-2024-33507 | An insufficient session expiration vulnerability [CWE-613] and an incorrect authorization vulnerability [CWE-863] in FortiIso... |
| CVE-2024-34709 | Directus Lacks Session Tokens Invalidation |
| CVE-2024-35160 | IBM Watson Query on Cloud Pak for Data and IBM Db2 Big SQL on Cloud Pak for Data information disclosure |
| CVE-2024-35206 | A vulnerability has been identified in SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (All versions < V1.2). The affected applic... |
| CVE-2024-35220 | @fastify/session reuses destroyed session cookie |
| CVE-2024-38315 | IBM Aspera Shares session fixation |
| CVE-2024-39809 | BIG-IP Next Central Manager vulnerability |
| CVE-2024-41985 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-42447 | Apache Airflow Providers FAB: FAB provider 1.2.1 and 1.2.0 did not let user to logout for Airflow |
| CVE-2024-43685 | Session token fixation in TimeProvider 4100 |
| CVE-2024-45033 | Apache Airflow Fab Provider: Application does not invalidate session after password change via Airflow cli |
| CVE-2024-45187 | Mage AI allows deleted users to use the terminal server with admin access, leading to remote code execution |
| CVE-2024-45386 | A vulnerability has been identified in SIMATIC PCS neo V4.0 (All versions), SIMATIC PCS neo V4.1 (All versions < V4.1 Update... |
| CVE-2024-45462 | Apache CloudStack: Incomplete session invalidation on web interface logout |
| CVE-2024-45651 | IBM Sterling Connect:Direct Web Services session fixation |
| CVE-2024-4680 | Insufficient Session Expiration in zenml-io/zenml |
| CVE-2024-46892 | A vulnerability has been identified in SINEC INS (All versions < V1.0 SP2 Update 3). The affected application does not proper... |
| CVE-2024-48926 | Umbraco CMS logout page displayed before session expiration |
| CVE-2024-49825 | IBM Robotic Process Automation session fixation |
| CVE-2024-50562 | An Insufficient Session Expiration vulnerability [CWE-613] in FortiOS SSL-VPN version 7.6.0, version 7.4.6 and below, version... |
| CVE-2024-52311 | data.all does not invalidate authentication token upon user logout |
| CVE-2024-55603 | Insufficient session invalidation in Kanboard |
| CVE-2024-56413 | Missing session invalidation after user deletion. The following products are affected: Acronis Cyber Protect 16 (Windows) bef... |
| CVE-2024-5995 | Soar Cloud HR Portal - Insufficient Session Expiration |
| CVE-2024-8888 | Insufficient Session Expiration vulnerability on CIRCUTOR Q-SMT |
| CVE-2025-0138 | Prisma Cloud Compute Edition: Insufficient Session Expiration Vulnerability in the Web Interface |
| CVE-2025-10223 | Improper Session Cleanup on Role Removal in Web Admin Panel in AxxonSoft Axxon One (C-Werk) |
| CVE-2025-11429 | Keycloak-server: too long and not settings compliant session |
| CVE-2025-1198 | Insufficient Session Expiration in GitLab |
| CVE-2025-12110 | Keycloak: org.keycloak:keycloak-services: user can refresh offline session even after client's offline_access scope was remov... |
| CVE-2025-1968 | Insufficient Session Expiration vulnerability in Progress Software Corporation Sitefinity under some specific and uncommon ci... |
| CVE-2025-2185 | ALBEDO Telecom Net.Time - PTP/NTP Clock Insufficient Session Expiration |
| CVE-2025-22386 | An issue was discovered in Optimizely Configured Commerce before 5.2.2408. A medium-severity session issue exists in the Comm... |
| CVE-2025-24859 | Apache Roller: Insufficient Session Expiration on Password Change |
| CVE-2025-24896 | Misskey allows token to remain valid in cookie after signing out |
| CVE-2025-24973 | Concorde not removing authentication tokens after logging out |
| CVE-2025-25019 | IBM QRadar Suite Software and IBM Cloud Pak for Security session fixation |
| CVE-2025-25252 | An Insufficient Session Expiration vulnerability [CWE-613] in FortiOS SSL VPN 7.6.0 through 7.6.2, 7.4.0 through 7.4.6, 7.2.0... |
| CVE-2025-2596 | Session logout can be overwritten by long lasting request |
| CVE-2025-30516 | Unauthorized Notification Exposure in Mobile App Under Specific Conditions |
| CVE-2025-31952 | HCL iAutomate is affected by an insufficient session expiration |
| CVE-2025-32441 | Rack session gets restored after deletion |
| CVE-2025-33005 | IBM Planning Analytics Local session fixation |
| CVE-2025-35433 | CISA Thorium does not properly invalidate previously used tokens |
| CVE-2025-36040 | IBM Aspera Faspex session fixation |
| CVE-2025-3930 | Lack of JWT Expiration after Log Out in Strapi |
| CVE-2025-40566 | A vulnerability has been identified in SIMATIC PCS neo V4.1 (All versions < V4.1 Update 3), SIMATIC PCS neo V5.0 (All version... |
| CVE-2025-42602 | Improper Authentication Vulnerability in Meon KYC solutions |
| CVE-2025-43819 | A Insufficient Session Expiration vulnerability in the Liferay Portal 7.4.3.121 through 7.3.3.131, and Liferay DXP 2024.Q4.0... |
| CVE-2025-4407 | Application does not invalidate session after password reset |
| CVE-2025-4528 | Dígitro NGC Explorer session expiration |
| CVE-2025-46336 | Rack session gets restored after deletion |
| CVE-2025-46344 | Auth0 NextJS SDK v4 Missing Session Invalidation |
| CVE-2025-4643 | Lack of JWT Expiration after Log Out in PayloadCMS |
| CVE-2025-46741 | Improper Privilege Management |
| CVE-2025-46815 | ZITADEL Allows IdP Intent Token Reuse |
| CVE-2025-4754 | Missing Session Revocation on Logout in ash_authentication_phoenix |
| CVE-2025-48061 | wire-webapp Has Insufficient Session Invalidation after User Logout |
| CVE-2025-49152 | Insufficient Session Expiration in MICROSENS NMP Web+ |
| CVE-2025-53642 | haxcms-nodejs and haxcms-php Improperly Terminate Sessions |
| CVE-2025-53826 | FileBrowser Has Insecure JWT Handling Which Allows Session Replay Attacks after Logout |
| CVE-2025-53896 | Kiteworks MFT is vulnerable to Insufficient Session Expiration |
| CVE-2025-54547 | On affected platforms, if SSH session multiplexing was configured on the client side, SSH sessions (e.g, scp, sftp) multiplex... |
| CVE-2025-54592 | FreshRSS has Incomplete Session Termination on Logout |
| CVE-2025-55162 | Envoy: oAuth2 Filter Signout route will not clear cookies because of missing "secure;" flag |
| CVE-2025-55278 | HCL DevOps Loop is susceptible to an improper authentication vulnerability |
| CVE-2025-57766 | Fides's Admin UI User Password Change Does Not Invalidate Current Session |
| CVE-2025-58352 | Weblate has long session expiry times during second factor verification |
| CVE-2025-58437 | Coder's privilege escalation vulnerability could lead to a cross workspace compromise |
| CVE-2025-59335 | CubeCart Session Not Invalidated After Password Change |
| CVE-2025-59841 | FlagForgeCTF's Improper Session Handling Allows Access After Logout |
| CVE-2025-61775 | Vickey's unexpired email confirmation link can be reused to send repeated confirmation emails |
| CVE-2025-62174 | Mastodon allows continued access after password reset via CLI |
| CVE-2025-62329 | HCL DevOps Deploy / HCL Launch is susceptible to an insufficient session expiration vulnerability |
| CVE-2025-62631 | An insufficient session expiration vulnerability [CWE-613] vulnerability in Fortinet FortiOS 7.4.0, FortiOS 7.2 all versions,... |
| CVE-2025-62781 | PILOS is missing session regeneration after password change |
| CVE-2025-64386 | HIJACKING OF THE TOKEN AND GAINING ACCESS |
| CVE-2025-64708 | authentik invitation expiry is delayed by at least 5 minutes |
| CVE-2025-66223 | OpenObserve's Invite Token Lifecycle Misconfiguration |
| CVE-2025-66289 | OrangeHRM is Vulnerable to Persistent Session Access Due to Missing Invalidation After User Disable and Password Change |
| CVE-2025-68954 | Pterodactyl does not revoke SFTP access when server is deleted or permissions reduced |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20231227-6 | 27.12.2023 | Получение конфиденциальной информации в Slurm |
| VULN:20250317-79 | 17.03.2025 | Получение конфиденциальной информации в Siemens Products |
| VULN:20250602-13 | 02.06.2025 | Получение конфиденциальной информации в Siemens SIMATIC PCS neo |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.