Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-613
Insufficient Session Expiration
According to WASC, "Insufficient Session Expiration is when a web site permits an attacker to reuse old session credentials or session IDs for authorization."
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2017-02557 | Уязвимость службы BIGIPAuthCookie интерфейса iControl REST линейки продуктов BIG-IP, позволяющая нарушителю получить доступ к интерфейсу |
| BDU:2018-00145 | Уязвимость программного обеспечения Cloud Foundry Runtime cf-release, UAA Standalone и Pivotal Cloud Foundry Elastic Runtime программной платформы Cloud Foundry, позволяющая нарушителю воспользоваться старой сессией после сброса пароля |
| BDU:2018-01306 | Уязвимость операционной системы FortiOS, связанная с прекращением мониторинга активных сетевых сеансов после обновления механизма сканирования, позволяющая нарушителю выполнить обход защиты |
| BDU:2019-01048 | Уязвимость сервера автоматизации Jenkins, позволяющая нарушителю повторно использовать регистрационные данные или идентификаторы сеанса для авторизации |
| BDU:2019-02959 | Уязвимость компонента TokenBasedRememberMeServices2.java (core/src/main/java/hudson/security/TokenBasedRememberMeServices2.java) сервера автоматизации Jenkins, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-04244 | Уязвимость компонента HttpFoundation программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-04527 | Уязвимость микропрограммного обеспечения контроллера удаленного управления Intel Baseboard Management Controller (BMC), связанная с неверным сроком действия сеанса, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживани... |
| BDU:2020-00050 | Уязвимость средства управления виртуальной инфраструктурой VMware vCenter Server и гипервизора VMware ESXi, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-02066 | Уязвимость контроллера домена Red Hat IPA, связанная с отсутствием автоматического завершения всех сеансов после смены пароля, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2020-02599 | Уязвимость сервера FreeIPA, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к сеансу |
| BDU:2021-01534 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с отсутствием автоматического завершения всех сеансов после смены пароля, позволяющая нарушителю получить несанкционированный доступ к ограниче... |
| BDU:2021-01542 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с отсутствием автоматического завершения всех сеансов после смены пароля, позволяющая нарушителю получить несанкционированный доступ к ограниче... |
| BDU:2021-02333 | Уязвимость микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance Software (ASA) и Cisco Firepower Threat Defense (FTD), связанная с ошибками срока действия сеанса, позволяющая нарушителю вызвать перезагрузку устройства ил... |
| BDU:2021-03243 | Уязвимость метода SessionListenersessionDestroyed() контейнера сервлетов Eclipse Jetty, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-03963 | Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco Small Business 220 Series Smart, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти процедуру аутентификации, получить несанкционированны... |
| BDU:2021-04667 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2021-04963 | Уязвимость сервера для управления программами Fortinet FortiClient Enterprise Management Server (EMS), связанная с ошибками при управлении сенасом, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-05712 | Уязвимость веб-интерфейса микропрограммного обеспечения коммутаторов Cisco 250/350/350X/550X/ESW2 Series, Cisco Business 250/350 Series, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить несанкционированный доступ к... |
| BDU:2022-00038 | Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt, связанная с ошибками при обработке запросов аутентификации для истекших токенов eauth, позволяющая нарушителю выполнить произвольные команды |
| BDU:2022-00847 | Уязвимость программы CGI коммутатора Zyxel NBG6604, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к устройству |
| BDU:2022-03882 | Уязвимость пакета программ Microsoft Office 365, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04203 | Уязвимость компонента AuthToken микропрограммного обеспечения модулей станций автоматизации Desigo DXR2, PXC3, PXC4, PXC5, позволяющая нарушителю получить доступ к устройству с помощью перехвата токена авторизации |
| BDU:2022-04970 | Уязвимость интерфейса iControl REST API средств защиты приложений BIG-IP, позволяющая нарушителю выполнить произвольные команды, отключить произвольные службы, создавать или удалять произвольные файлы |
| BDU:2022-05233 | Узявиомость интерфейса сервера BigBlueButton greenlight, связанная с неверным сроком действия сеанса, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-05376 | Уязвимость программного средства BD Synapsys, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ, изменить или удалить конфиденциальную информацию |
| BDU:2022-06502 | Уязвимость средства выявления и принятия мер реагирования на внешние и внутренние угрозы безопасности Fortinet FortiDeceptor, связанная с неверным сроком действия сеанса, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-06943 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с неверным сроком действия сеанса, позволяющая нарушителю повторно использовать учетные данные сеанса для доступа к информации пользователей |
| BDU:2023-01477 | Уязвимость программного обеспечения энергомониторинга EcoStruxure Power Monitoring Expert, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-01836 | Уязвимость интерфейса командной строки операционных систем ArubaOS, позволяющая нарушителю продолжать сеанс на уязвимом устройстве после удаления затронутой учетной записи |
| BDU:2023-02636 | Уязвимость аутентификации сервера службы каталогов 389 Directory Server, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-03845 | Уязвимость DNS-сервера Unbound, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-04299 | Уязвимость интерфейса командной строки операционных систем FortiOS, позволяющая нарушителю выполнить произвольные команды |
| BDU:2023-04605 | Уязвимость приложения для управления членством и контролем доступа Admidio, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к конфиденциальной информации и к произвольным функциям приложения |
| BDU:2023-05702 | Уязвимость веб-приложения для управления проектами и задачами Redmine , связанная с неверным сроком действия сеанса, позволяющая нарушителю продолжать существующие сеансы пользователя после включения двухфакторной аутентификации |
| BDU:2023-05782 | Уязвимость модуля QMS.Mobile программного обеспечения управления качеством для производителей автомобилей QMS Automotive, позволяющая нарушителю перехватить действующий сеанс |
| BDU:2023-06377 | Уязвимость программного обеспечения централизованного сбора, анализа и хранения логов Graylog, связанная с неверным сроком действия сеанса. позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2023-06715 | Уязвимость средства защиты, выявления и реагирования на угрозы безопасности конечных точек FortiEDR, связанная с неверным сроком действия сеанса, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-07113 | Уязвимость средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств, BIG-IP Advanced Firewall Manager, BIG-IP Advanced Web Application Firewall, BIG-IP Analytics, BIG-IP Application Acceleration M... |
| BDU:2024-00190 | Уязвимость менеджера управления ресурсами Slurm, связанная с некорректным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2024-00712 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с неверным сроком действия сеанса, позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2024-00723 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2024-00815 | Уязвимость файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения маршрутизатора Totolink N200RE, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-00858 | Уязвимость файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения маршрутизатора Totolink N350RT, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-00859 | Уязвимость файла /cgi-bin/cstecgi.cgi микропрограммного обеспечения маршрутизатора Totolink T8, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-01397 | Уязвимость интерфейса управления операционных систем PAN-OS, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2024-01592 | Уязвимость системы управления содержимым Joomla!, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-02488 | Уязвимость операционной системы PowerScale OneFS, связанная с неверным сроком действия сеанса, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-02629 | Уязвимость веб-приложения для развёртывания распределённых социальных сетей Mastodon, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03396 | Уязвимость плагина Jenkins WSO2 Oauth Plugin, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-04848 | Уязвимость фреймворка создания конвейеров машинного обучения Zenml, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2024-05082 | Уязвимость программного средства мониторинга и анализа сетевого трафика в промышленных сетях SINEC Traffic Analyzer, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2024-05807 | Уязвимость системы работы с заявками и инцидентами GLPI, связанная c недостаточным истечением срока сеанса, позволяющая нарушителю оказывать воздействие на целостность системы |
| BDU:2024-06137 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с неверным сроком действия сеанс, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2024-06238 | Уязвимость графического пользовательского интерфейса программного средства выявления угроз безопасности на основе искусственного интеллекта FortiAIOps, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-06565 | Уязвимость графического интерфейса операционных систем FortiOS, прокси-сервера для защиты от интернет-атак FortiProxy и локальной платформы управления FortiSwitchManager, позволяющая нарушителю позволить получить несанкционированный доступ к устройст... |
| BDU:2024-09312 | Уязвимость алгоритма TOTP (Time-based One-Time Password) клиента VPN-сервиса SINEMA Remote Connect, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2024-10321 | Уязвимость в веб-интерфейса управления программного обеспечения для управления сетевой инфраструктурой SINEC INS (Infrastructure Network Services), связанная с неверным сроком действия сеанса, позволяющая нарушителю сохранить сеанс после удаления уче... |
| BDU:2024-10987 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти процедуру аутентификации и получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11630 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-00953 | Уязвимость графической среды рабочего стола Plasma Workspace, связанная с неверным сроком действия сеанса, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01148 | Уязвимость веб-сервиса для передачи информации через временные ссылки Password Pusher, связанная с неверным ограничением срока действия сеанса, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2025-01217 | Уязвимость модуля Persistent Login CMS-системы Drupal, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-01396 | Уязвимость операционных систем macOS, связанная с неверным сроком действия сеанса, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01580 | Уязвимость веб-сервиса для передачи информации через временные ссылки Password Pusher, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ и раскрыть защищаемую информацию |
| BDU:2025-02199 | Уязвимость программного обеспечения защиты данных Acronis Cyber Protect 16, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03165 | Уязвимость пакета Apache Airflow Fab Provider программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Apache Airflow, связанная с неверным сроком действия сеанса, позволяющая нарушителю сохранять сеанс в системе |
| BDU:2025-04974 | Уязвимость сервера для создания веб-блогов Apache Roller, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2025-05389 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/ CE, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05685 | Уязвимость веб-интерфейса облачной платформы безопасности Prisma Cloud Compute, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05903 | Уязвимость веб-системы управления технологическими процессами SIMATIC PCS neo, среды разработки программного обеспечения TIA Administrator и среды разработки программного обеспечения систем автоматизации технологических процессов Totally Integrated A... |
| BDU:2025-06509 | Уязвимость платформ мониторинга событий, обнаружения угроз, аналитики безопасности IBM QRadar Suite и IBM Cloud Pak for Security, связанная с неверным сроком действия сеанс, позволяющая нарушителю оказать воздействие на конфиденциальность и целостнос... |
| BDU:2025-06604 | Уязвимость веб-системы управления технологическими процессами SIMATIC PCS neo, связанная с неверным сроком действия сеанса, позволяющая нарушителю перехватить сеанс пользователя |
| BDU:2025-06867 | Уязвимость программной платформы интеграции данных IBM InfoSphere Information Server, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07359 | Уязвимость интерфейса модуля Rack интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-07427 | Уязвимость интерфейса модуля Rack интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-09196 | Уязвимость программной платформы мониторинга AutoGRAPH Web, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09495 | Уязвимость приложения для обмена файлами IBM Aspera Faspex, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2025-09545 | Уязвимость платформы изоляции браузеров FortiIsolator и системы выявления и устранения угроз FortiSandbox, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информац... |
| BDU:2025-09701 | Уязвимость программного обеспечения для подключения и управления данными IBM Sterling Connect:Direct Web Services, связанная с неверным сроком действия сеанса, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-09705 | Уязвимость программного обеспечения для управления эффективностью бизнеса IBM Planning Analytics Local, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемо... |
| BDU:2025-11170 | Уязвимость встроенного программного обеспечения ПЛК Fastwel, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-12657 | Уязвимость сетевого программного средства FortiOS SSL-VPN, связанная с неверным сроком действия сеанса, позволяющая нарушителю обойти процесс аутентификации |
| BDU:2025-12667 | Уязвимость программного решения для интеграции данных корпоративного уровня Transformation Extender Advanced, связанная с неверным сроком действия сеанса, позволяющая нарушителю перехватить сеанс и получить доступ к учетной записи пользователя |
| BDU:2025-14705 | Уязвимость инструмента для мониторинга ИТ-инфраструктуры Nagios XI, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14720 | Уязвимость дисплея для систем распределительных устройств ABB Lite Panel Pro, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к системе |
| BDU:2025-15972 | Уязвимость программного средства визуализации рабочего состояния ИТ-инфраструктуры предприятия Nagios Fusion, связанная с неверным сроком действия сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00043 | Уязвимость программной платформы для управления вики Requarks Wiki.js, связанная с неверным сроком действия сеанса, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2026-00834 | Уязвимость технологии SSL-VPN операционных систем FortiOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2016-6545 | iTrack Easy does not use session cookies to maintain sessions and POSTs the users password over HTTPS for each request |
| CVE-2017-12159 | It was found that the cookie used for CSRF prevention in Keycloak was not unique to each session. An attacker could use this... |
| CVE-2017-14007 | An Insufficient Session Expiration issue was discovered in ProMinent MultiFLEX M10a Controller web interface. The user's sess... |
| CVE-2017-3215 | The Milwaukee ONE-KEY Android mobile application uses bearer tokens with an expiration of one year. This bearer token, in com... |
| CVE-2018-1127 | Tendrl API in Red Hat Gluster Storage before 3.4.0 does not immediately remove session tokens after a user logs out. Session... |
| CVE-2019-14826 | A flaw was found in FreeIPA versions 4.5.0 and later. Session cookies were retained in the cache after logout. An attacker co... |
| CVE-2019-3867 | A vulnerability was found in the Quay web application. Sessions in the Quay web application never expire. An attacker, able t... |
| CVE-2019-5638 | Rapid7 Nexpose Insufficient Session Management |
| CVE-2019-5647 | Rapid7 AppSpider Chrome Plugin Insufficient Session Expiration |
| CVE-2020-15218 | Admin pages are cached and can be embedded |
| CVE-2020-15220 | Session fixation |
| CVE-2020-15269 | Expired token reuse in Spree |
| CVE-2020-1724 | A flaw was found in Keycloak in versions before 9.0.2. This flaw allows a malicious user that is currently logged in, to see... |
| CVE-2020-1762 | An insufficient JWT validation vulnerability was found in Kiali versions 0.4.0 to 1.15.0 and was fixed in Kiali version 1.15.... |
| CVE-2020-1768 | External Interface does not invalidate session |
| CVE-2020-1776 | Invalidating or changing user does not invalidate session |
| CVE-2020-4914 | IBM Cloud Pak System Software Suite session fixation |
| CVE-2020-6292 | Logout mechanism in SAP Disclosure Management, version 10.1, does not invalidate one of the session cookies, leading to Insuf... |
| CVE-2020-8234 | A vulnerability exists in The EdgeMax EdgeSwitch firmware <v1.9.1 where the EdgeSwitch legacy web interface SIDSSL cookie for... |
| CVE-2021-1501 | Cisco Adaptive Security Appliance Software and Cisco Firepower Threat Defense Software SIP Denial of Service Vulnerability |
| CVE-2021-20581 | IBM Security Verify Privilege information disclosure |
| CVE-2021-21031 | Magento Commerce Failure To Invalidate User Session Could Lead To Unauthorized Access |
| CVE-2021-21032 | Magento Commerce Failure To Invalidate User Session Could Lead To Unauthorized Access |
| CVE-2021-22136 | In Kibana versions before 7.12.0 and 6.8.15 a flaw in the session timeout was discovered where the xpack.security.session.idl... |
| CVE-2021-25940 | ArangoDB - Insufficient Session Expiration after Password Change |
| CVE-2021-25966 | Orchard Core CMS - Improper Session Termination after Password Change |
| CVE-2021-25970 | Camaleon CMS - Insufficient Session Expiration after Password Change |
| CVE-2021-25979 | Apostrophe - Insufficient Session Expiration |
| CVE-2021-25981 | Talkyard - Insufficient Session Expiration |
| CVE-2021-25985 | FactorJS - Insufficient Session Expiration Leads to a Local Account Takeover |
| CVE-2021-25992 | ifme - Insufficient Session Expiration |
| CVE-2021-27751 | HCL Commerce is affected by an Insufficient Session Expiration vulnerability. |
| CVE-2021-31408 | Server session is not invalidated when logout() helper method of Authentication module is used in Vaadin 18-19 |
| CVE-2021-34428 | For Eclipse Jetty versions <= 9.4.40, <= 10.0.2, <= 11.0.2, if an exception is thrown from the SessionListener#sessionDestroy... |
| CVE-2021-3461 | A flaw was found in keycloak where keycloak may fail to logout user session if the logout request comes from external SAML id... |
| CVE-2021-34739 | Cisco Small Business Series Switches Session Credentials Replay Vulnerability |
| CVE-2021-35034 | An insufficient session expiration vulnerability in the CGI program of the Zyxel NBG6604 firmware could allow a remote attack... |
| CVE-2021-36330 | Dell EMC Streaming Data Platform versions before 1.3 contain an Insufficient Session Expiration Vulnerability. A remote unaut... |
| CVE-2021-37693 | Re-use of email tokens in Discourse |
| CVE-2021-37866 | Session is not invalidated on server-side when user logged out of Boards |
| CVE-2021-3844 | Rapid7 InsightVM Insufficient Session Expiration |
| CVE-2021-41247 | incomplete logout in JupyterHub |
| CVE-2021-42545 | Insufficient Session Expiration in TopEase |
| CVE-2021-43791 | Ineffective expiration validation for invitation links in Zulip |
| CVE-2021-46279 | Session Fixation and Insufficient Session Expiration |
| CVE-2021-47663 | Improper session handling |
| CVE-2022-0991 | Insufficient Session Expiration in admidio/admidio |
| CVE-2022-2064 | Insufficient Session Expiration in nocodb/nocodb |
| CVE-2022-21652 | Insufficient Session Expiration in shopware |
| CVE-2022-22113 | DayByDay CRM - Insufficient Session Expiration after Password Change |
| CVE-2022-22371 | IBM Sterling B2B Integrator Standard Edition session fixation |
| CVE-2022-2306 | Insufficient Session Expiration in heroiclabs/nakama |
| CVE-2022-23063 | Shopizer - Insufficient Session Expiration |
| CVE-2022-23502 | TYPO3 contains Insufficient Session Expiration after Password Reset |
| CVE-2022-24042 | A vulnerability has been identified in Desigo DXR2 (All versions < V01.21.142.5-22), Desigo PXC3 (All versions < V01.21.142.4... |
| CVE-2022-24732 | Maddy Mail Server does not implement account expiry |
| CVE-2022-24743 | Insufficient Session Expiration in Sylius |
| CVE-2022-24744 | Insufficient Session Expiration in shopware |
| CVE-2022-2713 | Insufficient Session Expiration in cockpit-hq/cockpit |
| CVE-2022-2888 | Insufficient Session Expiration in octoprint/octoprint |
| CVE-2022-30277 | BD Synapsys™ – Insufficient Session Expiration |
| CVE-2022-31050 | Insufficient Session Expiration in TYPO3 Admin Tool |
| CVE-2022-31145 | Insufficient AccessToken Expiration Check in FlyteAdmin |
| CVE-2022-32759 | IBM Security Directory Server information disclosure |
| CVE-2022-33137 | A vulnerability has been identified in SIMATIC MV540 H (All versions < V3.3), SIMATIC MV540 S (All versions < V3.3), SIMATIC... |
| CVE-2022-3362 | Insufficient Session Expiration in ikus060/rdiffweb |
| CVE-2022-34392 | SupportAssist for Home PCs (versions 3.11.4 and prior) contain an insufficient session expiration Vulnerability. An authenti... |
| CVE-2022-35728 | iControl REST vulnerability CVE-2022-35728 |
| CVE-2022-38382 | IBM Cloud Pak for Security session fixation |
| CVE-2022-3867 | Nomad Event Stream Subscriber Using a Token with TTL Receives Updates Until Garbage Collected |
| CVE-2022-38707 | IBM Cognos Command Center information disclosure |
| CVE-2022-39234 | user session persists even after permanently deleting account in GLPI |
| CVE-2022-40228 | IBM DataPower Gateway session fixation |
| CVE-2022-4070 | Insufficient Session Expiration in librenms/librenms |
| CVE-2022-41672 | Session still functional after user is deactivated |
| CVE-2022-43844 | IBM Robotic Process Automation for Cloud Pak session fixation |
| CVE-2022-45862 | An insufficient session expiration vulnerability [CWE-613] vulnerability in FortiOS 7.2.5 and below, 7.0 all versions, 6.4 al... |
| CVE-2022-46177 | Discourse password reset link can lead to in account takeover if user changes to a new email |
| CVE-2022-48317 | Insecure Termination of RestAPI Session Tokens |
| CVE-2023-0041 | IBM Security Guardium session fixation |
| CVE-2023-0227 | Insufficient Session Expiration in pyload/pyload |
| CVE-2023-1543 | Insufficient Session Expiration in answerdev/answer |
| CVE-2023-1788 | Insufficient Session Expiration in firefly-iii/firefly-iii |
| CVE-2023-1854 | SourceCodester Online Graduate Tracer System session expiration |
| CVE-2023-22492 | RefreshToken invalidation vulnerability |
| CVE-2023-22591 | IBM Robotic Process Automation session fixation |
| CVE-2023-22732 | Insufficient Session Expiration in Administration in shopware |
| CVE-2023-23614 | Improper session handling of "Remember me for 7 days" functionality |
| CVE-2023-23929 | Refresh tokens do not expire in Vantage6 |
| CVE-2023-25562 | Failure to Invalidate Session on Logout in DataHub |
| CVE-2023-26288 | IBM Aspera Orchestrator session fixation |
| CVE-2023-28001 | An insufficient session expiration in Fortinet FortiOS 7.0.0 - 7.0.12 and 7.2.0 - 7.2.4 allows an attacker to execute unautho... |
| CVE-2023-28003 | A CWE-613: Insufficient Session Expiration vulnerability exists that could allow an attacker to maintain unauthorized acce... |
| CVE-2023-31065 | Apache InLong: Insufficient Session Expiration in InLong |
| CVE-2023-31139 | DHIS2 Core unrestricted session cookies with Personal Access Tokens |
| CVE-2023-31140 | OpenProject user sessions not terminated after activation of 2FA |
| CVE-2023-32318 | User session not correctly destroyed on logout |
| CVE-2023-33303 | A insufficient session expiration in Fortinet FortiEDR version 5.0.0 through 5.0.1 allows attacker to execute unauthorized co... |
| CVE-2023-37570 | Insufficient Session Expiration Vulnerability in Emagic Data Center Management Suite |
| CVE-2023-37919 | Cal.com not expiring old sessions after enabling 2FA |
| CVE-2023-38489 | Kirby vulnerable to Insufficient Session Expiration after a password change |
| CVE-2023-40025 | Argo CD web terminal session doesn't expire |
| CVE-2023-4005 | Insufficient Session Expiration in fossbilling/fossbilling |
| CVE-2023-40174 | Insufficient Session Expiration in fobybus/social-media-skeleton |
| CVE-2023-40537 | Multi-blade VIPRION Configuration utility session cookie vulnerability |
| CVE-2023-40695 | IBM Cognos Controller session fixation |
| CVE-2023-40732 | A vulnerability has been identified in QMS Automotive (All versions < V12.39). The QMS.Mobile module of the affected applicat... |
| CVE-2023-41041 | User session is still usable after logout in graylog2-server |
| CVE-2023-4126 | Insufficient Session Expiration in answerdev/answer |
| CVE-2023-4190 | Insufficient Session Expiration in admidio/admidio |
| CVE-2023-42768 | BIG-IP iControl REST vulnerability |
| CVE-2023-4320 | Satellite: arithmetic overflow in satellite |
| CVE-2023-45187 | IBM Engineering Lifecycle Optimization - Publishing session fixation |
| CVE-2023-45600 | A CWE-613 “Insufficient Session Expiration” vulnerability in the web application, due to the session cookie “sessionid” lasti... |
| CVE-2023-45659 | Session is not expiring after password reset in Engelsystem |
| CVE-2023-46158 | IBM WebSphere Application Server session fixation |
| CVE-2023-47628 | Session Expiration Misconfiguration in datahub |
| CVE-2023-49091 | Jwttoken in Cosmos server never expires after password changed and logging out |
| CVE-2023-49881 | IBM Transformation Extender Advanced session fixation |
| CVE-2023-50270 | Apache DolphinScheduler: Session do not expire after password change |
| CVE-2023-50936 | IBM PowerSC session fixation |
| CVE-2023-5838 | Insufficient Session Expiration in linkstackorg/linkstack |
| CVE-2023-5865 | Insufficient Session Expiration in thorsten/phpmyfaq |
| CVE-2023-5889 | Insufficient Session Expiration in pkp/pkp-lib |
| CVE-2024-0008 | PAN-OS: Insufficient Session Expiration Vulnerability in the Web Interface |
| CVE-2024-0260 | SourceCodester Engineers Online Portal Password Change change_password_teacher.php session expiration |
| CVE-2024-0350 | SourceCodester Engineers Online Portal session expiration |
| CVE-2024-0942 | Totolink N200RE V5 cstecgi.cgi session expiration |
| CVE-2024-0943 | Totolink N350RT cstecgi.cgi session expiration |
| CVE-2024-0944 | Totolink T8 cstecgi.cgi session expiration |
| CVE-2024-11208 | Apereo CAS login session expiration |
| CVE-2024-11627 | : Insufficient Session Expiration vulnerability in Progress Sitefinity allows : Session Fixation.This issue affects Sitefinit... |
| CVE-2024-11668 | Insufficient Session Expiration in GitLab |
| CVE-2024-12667 | InvoicePlane view session expiration |
| CVE-2024-13280 | Persistent Login - Moderately critical - Access bypass - SA-CONTRIB-2024-044 |
| CVE-2024-13996 | Nagios XI < 2024R1.1.3 Session Not Invalidated After Password Change |
| CVE-2024-1623 | Insufficient session timeout vulnerability in Sagemcom router |
| CVE-2024-21722 | [20240201] - Core - Insufficient session expiration in MFA management views |
| CVE-2024-22351 | IBM InfoSphere Information Server session fixation |
| CVE-2024-22358 | IBM UrbanCode Deploy session fixation |
| CVE-2024-22389 | BIG-IP iControl REST API Vulnerability |
| CVE-2024-22403 | OAuth2 authorization codes are valid indefinetly in Nextcloud server |
| CVE-2024-23586 | An insufficient session timeout vulnerability affects HCL Nomad server on Domino |
| CVE-2024-25051 | IBM Jazz Reporting Service insufficient session expiration |
| CVE-2024-25619 | Destroying OAuth Applications doesn't notify Streaming of Access Tokens being destroyed in mastodon |
| CVE-2024-25628 | Insufficient Session Expiration in alf.io |
| CVE-2024-25954 | Dell PowerScale OneFS, versions 9.5.0.x through 9.7.0.x, contain an insufficient session expiration vulnerability. A remote u... |
| CVE-2024-27779 | An insufficient session expiration vulnerability [CWE-613] in FortiSandbox FortiSandbox version 4.4.4 and below, version 4.2.... |
| CVE-2024-27782 | Multiple insufficient session expiration vulnerabilities [CWE-613] in FortiAIOps version 2.0.0 may allow an attacker to re-u... |
| CVE-2024-29070 | Apache StreamPark: session not invalidated after logout |
| CVE-2024-30262 | Contao's remember-me tokens will not be cleared after a password change |
| CVE-2024-31447 | Shopware has Improper Session Handling in store-api |
| CVE-2024-31995 | zcap has incomplete expiration checks in capability chains. |
| CVE-2024-31999 | @fastify/secure-session: Reuse of destroyed secure session cookie |
| CVE-2024-32006 | A vulnerability has been identified in SINEMA Remote Connect Client (All versions < V3.2 SP2). The affected application does... |
| CVE-2024-33507 | An insufficient session expiration vulnerability [CWE-613] and an incorrect authorization vulnerability [CWE-863] in FortiIso... |
| CVE-2024-34709 | Directus Lacks Session Tokens Invalidation |
| CVE-2024-35160 | IBM Watson Query on Cloud Pak for Data and IBM Db2 Big SQL on Cloud Pak for Data information disclosure |
| CVE-2024-35206 | A vulnerability has been identified in SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (All versions < V1.2). The affected applic... |
| CVE-2024-35220 | @fastify/session reuses destroyed session cookie |
| CVE-2024-38315 | IBM Aspera Shares session fixation |
| CVE-2024-39809 | BIG-IP Next Central Manager vulnerability |
| CVE-2024-41985 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-42447 | Apache Airflow Providers FAB: FAB provider 1.2.1 and 1.2.0 did not let user to logout for Airflow |
| CVE-2024-43685 | Session token fixation in TimeProvider 4100 |
| CVE-2024-45033 | Apache Airflow Fab Provider: Application does not invalidate session after password change via Airflow cli |
| CVE-2024-45187 | Mage AI allows deleted users to use the terminal server with admin access, leading to remote code execution |
| CVE-2024-45386 | A vulnerability has been identified in SIMATIC PCS neo V4.0 (All versions), SIMATIC PCS neo V4.1 (All versions < V4.1 Update... |
| CVE-2024-45462 | Apache CloudStack: Incomplete session invalidation on web interface logout |
| CVE-2024-45651 | IBM Sterling Connect:Direct Web Services session fixation |
| CVE-2024-4680 | Insufficient Session Expiration in zenml-io/zenml |
| CVE-2024-46892 | A vulnerability has been identified in SINEC INS (All versions < V1.0 SP2 Update 3). The affected application does not proper... |
| CVE-2024-48926 | Umbraco CMS logout page displayed before session expiration |
| CVE-2024-49825 | IBM Robotic Process Automation session fixation |
| CVE-2024-50562 | An Insufficient Session Expiration vulnerability [CWE-613] in FortiOS SSL-VPN version 7.6.0, version 7.4.6 and below, version... |
| CVE-2024-52311 | data.all does not invalidate authentication token upon user logout |
| CVE-2024-55603 | Insufficient session invalidation in Kanboard |
| CVE-2024-56413 | Missing session invalidation after user deletion. The following products are affected: Acronis Cyber Protect 16 (Windows) bef... |
| CVE-2024-5995 | Soar Cloud HR Portal - Insufficient Session Expiration |
| CVE-2024-8888 | Insufficient Session Expiration vulnerability on CIRCUTOR Q-SMT |
| CVE-2025-0138 | Prisma Cloud Compute Edition: Insufficient Session Expiration Vulnerability in the Web Interface |
| CVE-2025-10223 | Improper Session Cleanup on Role Removal in Web Admin Panel in AxxonSoft Axxon One (C-Werk) |
| CVE-2025-11429 | Keycloak-server: too long and not settings compliant session |
| CVE-2025-1198 | Insufficient Session Expiration in GitLab |
| CVE-2025-12110 | Keycloak: org.keycloak:keycloak-services: user can refresh offline session even after client's offline_access scope was remov... |
| CVE-2025-1968 | Insufficient Session Expiration vulnerability in Progress Software Corporation Sitefinity under some specific and uncommon ci... |
| CVE-2025-2185 | ALBEDO Telecom Net.Time - PTP/NTP Clock Insufficient Session Expiration |
| CVE-2025-22386 | An issue was discovered in Optimizely Configured Commerce before 5.2.2408. A medium-severity session issue exists in the Comm... |
| CVE-2025-24859 | Apache Roller: Insufficient Session Expiration on Password Change |
| CVE-2025-24896 | Misskey allows token to remain valid in cookie after signing out |
| CVE-2025-24973 | Concorde not removing authentication tokens after logging out |
| CVE-2025-25019 | IBM QRadar Suite Software and IBM Cloud Pak for Security session fixation |
| CVE-2025-25252 | An Insufficient Session Expiration vulnerability [CWE-613] in FortiOS SSL VPN 7.6.0 through 7.6.2, 7.4.0 through 7.4.6, 7.2.0... |
| CVE-2025-2596 | Session logout can be overwritten by long lasting request |
| CVE-2025-30516 | Unauthorized Notification Exposure in Mobile App Under Specific Conditions |
| CVE-2025-31952 | HCL iAutomate is affected by an insufficient session expiration |
| CVE-2025-32441 | Rack session gets restored after deletion |
| CVE-2025-33005 | IBM Planning Analytics Local session fixation |
| CVE-2025-35433 | CISA Thorium does not properly invalidate previously used tokens |
| CVE-2025-36040 | IBM Aspera Faspex session fixation |
| CVE-2025-3930 | Lack of JWT Expiration after Log Out in Strapi |
| CVE-2025-40566 | A vulnerability has been identified in SIMATIC PCS neo V4.1 (All versions < V4.1 Update 3), SIMATIC PCS neo V5.0 (All version... |
| CVE-2025-42602 | Improper Authentication Vulnerability in Meon KYC solutions |
| CVE-2025-43819 | A Insufficient Session Expiration vulnerability in the Liferay Portal 7.4.3.121 through 7.3.3.131, and Liferay DXP 2024.Q4.0... |
| CVE-2025-4407 | Application does not invalidate session after password reset |
| CVE-2025-4528 | Dígitro NGC Explorer session expiration |
| CVE-2025-46336 | Rack session gets restored after deletion |
| CVE-2025-46344 | Auth0 NextJS SDK v4 Missing Session Invalidation |
| CVE-2025-4643 | Lack of JWT Expiration after Log Out in PayloadCMS |
| CVE-2025-46741 | Improper Privilege Management |
| CVE-2025-46815 | ZITADEL Allows IdP Intent Token Reuse |
| CVE-2025-4754 | Missing Session Revocation on Logout in ash_authentication_phoenix |
| CVE-2025-48061 | wire-webapp Has Insufficient Session Invalidation after User Logout |
| CVE-2025-49152 | Insufficient Session Expiration in MICROSENS NMP Web+ |
| CVE-2025-53642 | haxcms-nodejs and haxcms-php Improperly Terminate Sessions |
| CVE-2025-53826 | FileBrowser Has Insecure JWT Handling Which Allows Session Replay Attacks after Logout |
| CVE-2025-53896 | Kiteworks MFT is vulnerable to Insufficient Session Expiration |
| CVE-2025-54547 | On affected platforms, if SSH session multiplexing was configured on the client side, SSH sessions (e.g, scp, sftp) multiplex... |
| CVE-2025-54592 | FreshRSS has Incomplete Session Termination on Logout |
| CVE-2025-55162 | Envoy: oAuth2 Filter Signout route will not clear cookies because of missing "secure;" flag |
| CVE-2025-55278 | HCL DevOps Loop is susceptible to an improper authentication vulnerability |
| CVE-2025-57766 | Fides's Admin UI User Password Change Does Not Invalidate Current Session |
| CVE-2025-58352 | Weblate has long session expiry times during second factor verification |
| CVE-2025-58437 | Coder's privilege escalation vulnerability could lead to a cross workspace compromise |
| CVE-2025-59335 | CubeCart Session Not Invalidated After Password Change |
| CVE-2025-59841 | FlagForgeCTF's Improper Session Handling Allows Access After Logout |
| CVE-2025-61775 | Vickey's unexpired email confirmation link can be reused to send repeated confirmation emails |
| CVE-2025-62174 | Mastodon allows continued access after password reset via CLI |
| CVE-2025-62329 | HCL DevOps Deploy / HCL Launch is susceptible to an insufficient session expiration vulnerability |
| CVE-2025-62631 | An insufficient session expiration vulnerability [CWE-613] vulnerability in Fortinet FortiOS 7.4.0, FortiOS 7.2 all versions,... |
| CVE-2025-62781 | PILOS is missing session regeneration after password change |
| CVE-2025-64386 | HIJACKING OF THE TOKEN AND GAINING ACCESS |
| CVE-2025-64708 | authentik invitation expiry is delayed by at least 5 minutes |
| CVE-2025-66223 | OpenObserve's Invite Token Lifecycle Misconfiguration |
| CVE-2025-66289 | OrangeHRM is Vulnerable to Persistent Session Access Due to Missing Invalidation After User Disable and Password Change |
| CVE-2025-68954 | Pterodactyl does not revoke SFTP access when server is deleted or permissions reduced |
| CVE-2026-1435 | Incorrect management of session invalidation vulnerability in Graylog Web Interface |
| CVE-2026-1842 | HyperCloud Improper Refresh Token Validation and Access Token Invalidation Allows Long-Term Unauthorized Access |
| CVE-2026-20748 | Everon api.everon.io Insufficient Session Expiration |
| CVE-2026-20895 | EV2GO ev2go.io Insufficient Session Expiration |
| CVE-2026-21622 | Password Reset Tokens Do Not Expire |
| CVE-2026-24472 | Hono cache middleware ignores "Cache-Control: private" leading to Web Cache Deception |
| CVE-2026-24667 | Open eClass's Active Sessions Not Invalidated After Password Change Allow Persistent Account Access |
| CVE-2026-24669 | Open eClass Insecure Password Reset Token Reuse Enables Account Takeover |
| CVE-2026-24894 | FrankenPHP leaks session data between requests in worker mode |
| CVE-2026-24912 | ePower epower.ie Insufficient Session Expiration |
| CVE-2026-25476 | OpenEMR has Session Timeout Bypass via skip_timeout_reset |
| CVE-2026-25711 | Chargemap chargemap.com Insufficient Session Expiration |
| CVE-2026-25778 | SWITCH EV swtchenergy.com Insufficient Session Expiration |
| CVE-2026-26290 | EV Energy ev.energy Insufficient Session Expiration |
| CVE-2026-26342 | Tattile Smart+ / Vega / Basic <= 1.181.5 Insufficient Session Token Expiration |
| CVE-2026-27575 | Vijkunja has Weak Password Policy Combined with Persistent Sessions After Password Change |
| CVE-2026-27647 | Mobility46 mobility46.se Insufficient Session Expiration |
| CVE-2026-27652 | CloudCharge cloudcharge.se Insufficient Session Expiration |
| CVE-2026-27764 | Mobiliti e-mobi.hu Insufficient Session Expiration |
| CVE-2026-27933 | Manyfold vulnerable to session hijack via cookie leakage in proxy caches |
| CVE-2026-27968 | Packistry accepts expired access tokens |
| CVE-2026-28275 | Initiative Vulnerable to Improper Session Invalidation (JWT Remains Valid) |
| CVE-2026-28396 | NocoDB: Refresh Tokens Not Revoked on Password Reset |
| CVE-2026-30224 | OliveTin: Session Fixation - Logout Fails to Invalidate Server-Side Session |
| CVE-2026-32132 | ZITADEL: Reactivation of Expired Passkey Registration Codes |
| CVE-2026-3401 | SourceCodester Web-based Pharmacy Product Management System session expiration |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20231227-6 | 27.12.2023 | Получение конфиденциальной информации в Slurm |
| VULN:20250317-79 | 17.03.2025 | Получение конфиденциальной информации в Siemens Products |
| VULN:20250602-13 | 02.06.2025 | Получение конфиденциальной информации в Siemens SIMATIC PCS neo |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.