Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-668
Exposure of Resource to Wrong Sphere
The product exposes a resource to the wrong control sphere, providing unintended actors with inappropriate access to the resource.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2019-02215 | Уязвимость системы управления сетью Cisco Digital Network Architecture Center, связанная с недостатками разграничения доступа к портам, позволяющая нарушителю получить доступ к внутренним службам |
| BDU:2019-03451 | Уязвимость интерфейса командной строки операционной системы Cisco IOS XE, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2020-00241 | Уязвимость плагина Jenkins JIRA Plugin, связанная с недостатками разграничений контролируемой области системы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-02152 | Уязвимость механизмов Snort операционной системы Cisco IOS, межсетевого экрана Cisco Firepower Threat Defense и программного обеспечения администрирования сети Cisco Firepower Management Center, позволяющая нарушителю оказать воздействие на целостнос... |
| BDU:2020-02596 | Уязвимость прокси-сервера Squid, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2020-03289 | Уязвимость операционной системы PAN-OS, связанная с раскрытием ресурса для ошибочной области, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2020-03722 | Уязвимость кэша приложения браузера Google Chrome, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2020-03847 | Уязвимость загрузчика браузера Google Chrome, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2020-05173 | Уязвимость компонента xAPI микропрограммного обеспечения устройства управления конференц-связью Cisco TelePresence Collaboration Endpoint (CE), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05215 | Уязвимость реализации интерфейса REST API платформы для обработки данных Cisco Edge Fog Fabric, позволяющая нарушителю перезаписать произвольные файлы в операционной системе уязвимого устройства |
| BDU:2021-01187 | Уязвимость средства защиты Fortinet FortiClient for Windows, связанная с небезопасным использованием временных файлов, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-01882 | Уязвимость интерфейса командной строки микропрограммного обеспечения точек доступа Cisco Aironet Access Points, позволяющая нарушителю получить доступ на изменение, добавление или удаление данных |
| BDU:2021-02094 | Уязвимость отображения панели "Сеть" браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-02496 | Уязвимость операционной системы Android, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2021-02552 | Уязвимость программного пакета Cisco Wide Area Application Services Software (WAAS), связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-02758 | Уязвимость агента пересылки сообщений Exim, связанная с недостатками механизмов безопасности, позволяющая нарушителю повысить привилегии |
| BDU:2021-03147 | Уязвимость компонента CODESYS V2.3 web server программного комплекса промышленной автоматизации CODESYS, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2021-03164 | Уязвимость SSH-клиента операционных систем iOS, iPadOS, macOS, tvOS, watchOS, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2021-03385 | Уязвимость микропрограммного обеспечения процессоров Intel, связанная с ошибками в настройках безопасности, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-04001 | Уязвимость облачной платформы аналитики Elastic Cloud Enterprise, связанная с ошибками в настройках безопасности, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2021-04014 | Уязвимость реализации протокола SSH файлового сервера SolarWinds Serv-U File Server операционных систем Windows, позволяющая нарушителю выполнить произвольный код или повысить свои привилегии |
| BDU:2021-04214 | Уязвимость реализации команды chmod среды выполнения контейнеров Containerd, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-04542 | Уязвимость программного обеспечения для моделирования, проектирования и черчения AutoCAD, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю записывать произвольные файлы |
| BDU:2021-04694 | Уязвимость функции search_path и опций --check option, -d утилиты системного администрирования Please, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-04954 | Уязвимость службы VAPI средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04955 | Уязвимость службы Analytics средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04983 | Уязвимость веб-интерфейса vCenter Server Appliance Management Interface (VAMI) средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05112 | Уязвимость сервера Restund, связанная с раскрытием ресурса для ошибочной области, позволяющая нарушителю выполнить произвольные команды |
| BDU:2021-05174 | Уязвимость компонента hw/ppc/spapr.c эмулятора аппаратного обеспечения QEMU, связанная с недостатками разграничения доступа к портам, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-05382 | Уязвимость функции check_attachment_for_errors (файла data/general-hooks/ubuntu.py) службы регистрации ошибок apport операционной системы Ubuntu, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-05397 | Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения маршрутизаторов Cisco SD-WAN, позволяющая нарушителю повысить свои привилегии и перезаписать произвольные файлы |
| BDU:2021-05403 | Уязвимость подключаемого модуля синхронизации паролей Password Synchronization Plug-in программного обеспечения IBM Security Identity Manager, позволяющая нарушителю изменять пароли других пользователей |
| BDU:2021-05615 | Уязвимость функции Автозаполнения Autofil браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05820 | Уязвимость инструмента мониторинга виртуальной инфраструктуры VMware vRealize Operations Tenant для платформы управления облачными хранилищами VMware vCloud Director, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-05825 | Уязвимость операционной системы Azure RTOS, связанная с недостатками разграничений контролируемой области системы, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2021-05866 | Уязвимость операционной системы Azure RTOS, связанная с недостатками разграничений контролируемой области системы, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2021-05925 | Уязвимость компонента Navigation браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-05964 | Уязвимость компонента ArcGIS Service Directory многопользовательского программного ГИС-обеспечения ArcGIS Enterprise, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-06009 | Уязвимость программного обеспечения для проведения видеоконференций Zoom, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-06162 | Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2021-06231 | Уязвимость компонента MobileInstallation операционных систем tvOS, iOS, iPadOS и watchOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-06424 | Уязвимость программного интерфейса Background Fetch API браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00006 | Уязвимость операционной системы Unraid, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-00015 | Уязвимость системы управления контентом Crafter CMS, связанная с ошибками в настройках безопасности, позволяющая нарушителю создавать, просматривать и удалять индексы поиска |
| BDU:2022-00037 | Уязвимость фалов /scripts/*, /templates/* и /.git/* системы управления контентом Crafter CMS, позволяющая нарушителю читать текстовое содержимое через FreeMarker |
| BDU:2022-00076 | Уязвимость программного интерфейса Background Fetch API браузера Google Chrome , связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00077 | Уязвимость программного интерфейса Background Fetch API браузера Google Chrome, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00112 | Уязвимость комплекса средств по обнаружению угроз для сред Интернета вещей Microsoft Defender for IoT, связанная с отсутствием защиты служебных данных, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2022-00168 | Уязвимость микропрограммного обеспечения Wi-Fi роутеров RBK352, RBR350, RBS350, связанная с раскрытием ресурса для ошибочной области, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00321 | Уязвимость кросплатформенного гипервизора Xen, связанная с недостатками разграничения доступа к портам, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-00354 | Уязвимость шаблона dictsort фреймворка для веб-приложений Django, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2022-00375 | Уязвимость реализации протокола Transport Layer Security (TLS) библиотеки libcurl, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00468 | Уязвимость драйвера Java Database Connectivity (JDBC) платформы обработки данных Kylin, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-00612 | Уязвимость реализации технологии Junos Fusion операционных систем Juniper Networks Junos OS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-00713 | Уязвимость компонента Windows GDI+ операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-00781 | Уязвимость компонента Windows GDI операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00821 | Уязвимость драйвера JDBC pgjdbc для подключения Java-программ к базе данных PostgreSQL, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-00822 | Уязвимость функции check_alu_op() (kernel/bpf/verifier.c) ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00829 | Уязвимость функции gadget_dev_desc_UDC_show (configfs.c) ядра операционной системы Android, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00891 | Уязвимость драйвера drivers/usb/gadget/function/rndis.c ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-00910 | Уязвимость драйвера Windows Common Log File System Driver операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-00952 | Уязвимость пакета программ Microsoft Office, связанная с раскрытием информации в ошибочной области данных, позволяющая раскрыть защищаемую информацию |
| BDU:2022-00962 | Уязвимость драйвера NFS ONCRPC XDR операционных систем Windows позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-00971 | Уязвимость приложения визуализации данных Power BI client JS SDK, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-01065 | Уязвимость компонента xmlparse.c библиотеки Expat, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-01075 | Уязвимость антивирусной программы Windows Defender операционной системы Windows, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю записывать произвольные файлы |
| BDU:2022-01078 | Уязвимость драйвера фильтра файловой системы операционной системы Microsoft Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01079 | Уязвимость среды разработки программного обеспечения Microsoft Visual Basic, пакета программ Microsoft Office, связанная с раскрытием информации в ошибочной области данных, позволяющая раскрыть защищаемую информацию |
| BDU:2022-01106 | Уязвимость службы очереди сообщений Microsoft Message Queuing (MSMQ) операционной системы Microsoft Windows, позволяющая получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01302 | Уязвимость драйвера для обеспечения функциональности дисковых пространств Storage Spaces Controller операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-01327 | Уязвимость драйвера для обеспечения функциональности дисковых пространств Storage Spaces Controller операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-01333 | Уязвимость механизма отображения веб-страниц Blink браузера Google Chrome, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-01557 | Уязвимость протокола Remote Desktop Protocol Client операционной системы Microsoft Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-01664 | Уязвимость функции IsNextToken компонента src/base/PdfToenizer.cpp программной библиотеки для работы с PDF PoDoFo, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01704 | Уязвимость расширения для мгновенного обмена сообщениями Skype Extension for Chrome, связанная с недостатками разграничений контролируемой области системы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01766 | Уязвимость системы управления конфигурациями и удалённого выполнения операций Salt, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызва... |
| BDU:2022-01787 | Уязвимость программного средства для реализации гипертекстовой среды MediaWiki, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-01868 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02037 | Уязвимость модулей отображения веб-страниц WebKitGTK и WPE WebKit, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02040 | Уязвимость функции mbedtls_ssl_read реализации протоколов TLS и SSL Mbed TLS, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-02460 | Уязвимость демона отображения сочетаний клавиш быстрого доступа swhkd реализации протокола сервера отображения Wayland, позволяющая нарушителю получить доступ к защищаемой информации или вызвать отказ в обслуживании |
| BDU:2022-02926 | Уязвимость расширений для обеспечения доступа к приложениям InTouch Access Anywhere и Plant SCADA Access Anywhere, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю выполнить произвольные команды ОС |
| BDU:2022-03101 | Уязвимость реализации алгоритма WPA2 микропрограммного обеспечения маршрутизаторов TP-Link Archer AX10, связанная с ошибками в настройках безопасности, позволяющая нарушителю отключить подключенного к сети клиента |
| BDU:2022-03423 | Уязвимость компонента DNS Server операционной системы Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-03865 | Уязвимость реализации интерфейса JTAG микропрограммного обеспечения процессоров Intel, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-03895 | Уязвимость средства удаленного мониторинга и управления SCADA системой Geo SCADA Mobile (ранее называвшаяся ClearSCADA Mobile), связанная с недостатками разграничений контролируемой области системы, позволяющая нарушителю оказать воздействие на целос... |
| BDU:2022-04281 | Уязвимость протокола Remote Desktop Protocol Client операционной системы Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-04302 | Уязвимость программного обеспечения для настройки, тестирования и ввода в эксплуатацию распределительного щита Schneider Electric EcoStruxure Power Commission, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю раскр... |
| BDU:2022-04321 | Уязвимость пакета утилит для монтирования сетевых файловых систем CIFS cifs-utils операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04323 | Уязвимость встроенного веб-сервера микропрограммного обеспечения промышленных коммутаторов SCALANCE X302-7, SCALANCE X304-2FE, SCALANCE X306-1LD FE, SCALANCE X307-2, SCALANCE X307-3, SCALANCE X307-3LD, SCALANCE X308-2, SCALANCE X310, SCALANCE X320-1,... |
| BDU:2022-04386 | Уязвимость функции импорта ключей SSH многофункциональных измерительных устройств SICAM GridEdge Essential ARM (6MD7881-2AA30), SICAM GridEdge Essential Intel (6MD7881-2AA40), SICAM GridEdge Essential Intel (6MD7881-2AA40), SICAM GridEdge Essential w... |
| BDU:2022-04388 | Уязвимость микропрограммного обеспечения процессоров Intel и AMD, позволяющая нарушителю раскрыть защищаемую информацию из памяти ядра или осуществить атаку на хост-систему из виртуальных машин |
| BDU:2022-04445 | Уязвимость ядра операционной системы Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-04508 | Уязвимость системы аппаратной виртуализации Windows Hyper-V операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-04511 | Уязвимость сетевой файловой системы Network File System (NFS) операционной системы Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-04597 | Уязвимость демона отображения сочетаний клавиш быстрого доступа swhkd реализации протокола сервера отображения Wayland, связанная с недостатками разграничений контролируемой области системы, позволяющая нарушителю получить несанкционированный доступ... |
| BDU:2022-04630 | Уязвимость демона отображения сочетаний клавиш быстрого доступа swhkd реализации протокола сервера отображения Wayland, связанная с недостатками разграничений контролируемой области системы, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-04786 | Уязвимость компонента Cockpit системы управления ресурсами предприятия SAP Business One и системы управления базами данных SAP HANA, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04813 | Уязвимость системы аппаратной виртуализации Windows Hyper-V операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04852 | Уязвимость плагина Jenkins HTTP Request Plugin, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05067 | Уязвимость инструмента мониторинга виртуальной инфраструктуры VMware vRealize Operations, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05144 | Уязвимость параметра nodeIntegrationInSubFrames программной платформы для создания приложений Electron, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05149 | Уязвимость функции createThumbnailFromPath программной платформы для создания приложений Electron, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05227 | Уязвимость веб-портала Portal for ArcGIS, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии в целевой системе |
| BDU:2022-05355 | Уязвимость компонента Background Fetch браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05431 | Уязвимость браузеров Google Chrome и Microsoft Edge, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05682 | Уязвимость функции gre_handle_offloads компонента ip_gre.c ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-05789 | Уязвимость модуля отображения веб-страниц WebKitGTK, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-05951 | Уязвимость компонентов fileio.c, /etc/shadow, /etc/.shadow.swp текстового редактора Vim, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-05989 | Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю инициировать сетевые запросы |
| BDU:2022-06054 | Уязвимость функции stex_queuecommand_lck() ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-06235 | Уязвимость графического интерфейса программного средства для централизованного управления устройствами Fortinet FortiManager и межсетевого экрана FortiAnalyzer, позволяющая нарушителю получить доступ к шаблонам отчетов |
| BDU:2022-06330 | Уязвимость реализации протокола Extensible Messaging and Presence Protocol (XMPP) программных платформ Cisco Jabber for Windows, Cisco Jabber for MacOS, Cisco Jabber for Android and iOS, Cisco Jabber for Android MAM и Cisco Jabber for iOS MAM, позвол... |
| BDU:2022-06382 | Уязвимость плагина H5P виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-06522 | Уязвимость компонента Windows Graphics операционной системы Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-07029 | Уязвимость компонента Mixed Reality Developer Tools операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-07051 | Уязвимость веб-интерфейса Hawk2 операционных систем SUSE Linux Enterprise Server и OpenSUSE Leap, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-07148 | Уязвимость механизма безопасности расширенного согласования SPNEGO (NEGOEX) операционных систем Microsoft Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-07175 | Уязвимость интерфейса WAN микропрограммного обеспечения маршрутизаторов Netgear RAX30, позволяющая нарушителю получить доступ к работающим службам и открытым портам |
| BDU:2022-07203 | Уязвимость установщика FortiClient.msi средства защиты Fortinet FortiClient for Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-07403 | Уязвимость утилиты командной строки cURL, связанная с логической ошибкой повторно используемого дескриптора при обработке последующих HTTP-запросов PUT и POST, позволяющая нарушителю вызвать отказ в обслуживании или оказать иное воздействие на систем... |
| BDU:2022-07404 | Уязвимость утилиты командной строки cURL, связанная с ошибкой границ при разборе файла .netrc, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-00284 | Уязвимость среды выполнения контейнеров Containerd, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-00329 | Уязвимость службы трассировки (Event Tracing) операционных систем Microsoft Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-00868 | Уязвимость драйвера HTTP.sys операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00919 | Уязвимость инструмента мониторинга виртуальной инфраструктуры VMware vRealize Operations, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-00977 | Уязвимость пакетов программ Microsoft Office и Microsoft 365 Apps, связанная с чтением за границами буфера в памяти, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-01494 | Уязвимость микропрограммного обеспечения процессоров AMD, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-01606 | Уязвимость веб-интерфейса управления серверами Roxy-WI, связанная с возможностью обхода пути, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2023-01718 | Уязвимость распределенной системы управления версиями Git, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-01753 | Уязвимость веб-браузера Epiphany, связанная с недостатками контроля доступа, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-01823 | Уязвимость веб-интерфейса управления операционных систем ArubaOS, позволяющая нарушителю читать произвольные файлы |
| BDU:2023-01830 | Уязвимость интерфейса командной строки операционных систем ArubaOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-02365 | Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Exper, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-02778 | Уязвимость программного комплекса промышленной автоматизации Codesys, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить несанкционированный доступ или вызвать отказ в обслуживании |
| BDU:2023-03587 | Уязвимость программного обеспечения для проведения видеоконференций Zoom, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-03672 | Уязвимость технологии TrustZone подсистемы Networking (netdev) операционных систем Linux встраиваемых плат Qualcomm, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-03836 | Уязвимость файла policy.xml консольного графического редактора ImageMagick, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2023-05326 | Уязвимость фреймворка Eclipse Jersey, связанная с созданием временных файлов с небезопасными разрешениями, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-05890 | Уязвимость компонента WebExtension веб-браузера Firefox, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2023-06245 | Уязвимость программного обеспечения для проведения видеоконференций Zoom, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-06459 | Уязвимость программного обеспечения резервного копирования и восстановления данных на компьютерах и серверах Acronis Agent, программного обеспечения защиты данных Acronis Cyber Protect 15, связанная связана с использованием неограниченного IP-адреса,... |
| BDU:2023-06854 | Уязвимость вызова удаленных процедур Procedure Call Runtime операционной системы Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-06953 | Уязвимость модуля Bluetooth операционной системы HarmonyOS, позволяющая нарушителю оказать воздействие на конфиденциальность |
| BDU:2023-06957 | Уязвимость модуля Bluetooth оболочки EMUI операционной системы HarmonyOS, позволяющая нарушителю вызвать недоступность функции Bluetooth |
| BDU:2023-07044 | Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-07264 | Уязвимость программного средства интеграции хранилища данных Dell EMC с платформой виртуализации VMware Dell Storage Integration Tools for VMware (DSITV), программного средства управления хранилищами данных Dell EMC через интерфейс VMware vSphere Cli... |
| BDU:2023-07323 | Уязвимость сокета Unix системы управления базами данных Redis, связана с раскрытием информации в ошибочной области данных, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-07540 | Уязвимость сервера хранения объектов MinIO, связанная с недостатками контроля доступа, позволяющая нарушителю создать пользователя с правами администратора |
| BDU:2023-07861 | Уязвимость микропрограммного обеспечения Ethernet-коммутаторов Moxa PT-G503, связанная с использованием cookie для хранения конфиденциальной информации без флага HttpOnly, позволяющая нарушителю получить несанкционированный доступ к защищаемой информ... |
| BDU:2023-07862 | Уязвимость микропрограммного обеспечения Ethernet-коммутаторов Moxa PT-G503, связанная с отсутствием флага "secure" в файлах cookie сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-07996 | Уязвимость плагина Jeecg P3 Biz Chat системы управления содержимым сайта WordPress, позволяющая нарушителю считывать произвольные файлы |
| BDU:2023-08039 | Уязвимость компонента check_univention_joinstatus операционной системы Univention Corporate Server (UCS), позволяющая нарушителю повысить свои привилегии |
| BDU:2023-08349 | Уязвимость оболочки клиентского API Insights-Client, связанная с созданием временных файлов с небезопасными разрешениями, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-08471 | Уязвимость интерпретатора команд PowerShell операционной системы Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-08651 | Уязвимость пакета io.netty: netty-codec-http сетевого программного средства Netty, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-00379 | Уязвимость функции blkcg_destroy_blkgs() (block/blk-cgroup.c) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-00409 | Уязвимость службы CoreMessaging операционной системы Windows, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-00444 | Уязвимость механизма пересылки пакетов (PFE) операционной системы Juniper Networks Junos, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-00574 | Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow , связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить несанкционированный доступ к базе данных |
| BDU:2024-00856 | Уязвимость сервера компьютерного контроля и мониторинга холодильного оборудования Emerson Dixell XWEB-500, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-00973 | Уязвимость инструмента для запуска изолированных контейнеров Runc связана с недостатками разграничений контролируемой области системы, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01319 | Уязвимость почтового сервера Microsoft Exchange Server, связанная с утечкой учетных данных NTLM, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01692 | Уязвимость функции hid_submit_ctrl драйвера USB HID (Human Interface Device) ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-01769 | Уязвимость системы мониторинга и управления IT-средами Pandora FMS, связанная с отсутствием защиты служебных данных, позволяющая нарушителю загружать резервные копии базы данных |
| BDU:2024-01798 | Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить доступ к исходному коду DAG |
| BDU:2024-02823 | Уязвимость компонента pmproxy программного обеспечения мониторинга и визуализация производительности Performance Co-Pilot (PCP), позволяющая нарушителю выполнять произвольные команды |
| BDU:2024-03050 | Уязвимость механизма пересылки пакетов (PFE) операционной системы Juniper Networks Junos маршрутизаторов серии SRX300, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03144 | Уязвимость компонента idxd ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03268 | Уязвимость реализации протокола IPv6 программного средства для создания систем контейнерной изоляции Moby, позволяющая нарушителю получить конфиденциальную информацию |
| BDU:2024-04923 | Уязвимость прикладного программного интерфейса CRI-O Container Engine программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю читать и записывать произвольные файлы в хост-системе |
| BDU:2024-05134 | Уязвимость платформы MSHTML операционных систем Microsoft Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05407 | Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-05741 | Уязвимость ядра веб-сервера Apache HTTP Server, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-05769 | Уязвимость менеджера зависимостей для проектов Swift и Objective-C CocoaPods, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации о некоторых подах, модифици... |
| BDU:2024-06276 | Уязвимость функции finish_mount_kattr() компонента mount_kattr ядра операционной системы Linux, позволяющая нарушителю получить конфиденциальную информацию |
| BDU:2024-06286 | Уязвимость функции dbgfs_target_ids_write() в компоненте dbgfs ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-06345 | Уязвимость функции async_free_space() в компоненте binder ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-10383 | Уязвимость компонента Intel Alias Checking Trusted Module (Intel ACTM) микропрограммного обеспечения процессоров Intel 4th Generation и 5th Generation, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00191 | Уязвимость драйверов системного программного обеспечения Intel Dynamic Tuning Technology (DTT), связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-00830 | Уязвимость функции queued_write_lock_slowpath() компонента locking/qrwlock.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03158 | Уязвимость функции sc16is7xx_set_baud() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03717 | Уязвимость службы выборки операционных систем Juniper Networks Junos OS Evolved, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-05275 | Уязвимость модуля Message Stream платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06176 | Уязвимость оркестратора приложений Nomad, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08055 | Уязвимость фреймворка для создания и управления средами разработки Vagrant, связанная с возможностью загрузки и редактирования файла Vagrantfile на гостевой виртуальной машине, позволяющая нарушителю получить доступ на чтение и изменение данных и вып... |
| BDU:2025-10195 | Уязвимость механизма изоляции контейнеров платформы для разработки и доставки контейнерных приложений Docker Desktop, позволяющая нарушителю получить несанкицонированный доступ к API Docker Engine и выполнить произвольные команды |
| BDU:2025-10628 | Уязвимость программного обеспечения энергомониторинга EcoStruxure Power Monitoring Expert, Power Operation, связанная с раскрытием информации в ошибочной области данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информац... |
| BDU:2025-12272 | Уязвимость компонента filter.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12546 | Уязвимость компонента fileaccess.cgi микропрограммного обеспечения маршрутизатора D-Link DIR-868L, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-14381 | Уязвимость функции ipoctal_inst_slot() модуля drivers/ipack/devices/ipoctal.c драйвера поддержки устройств IndustryPack ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-14573 | Уязвимость функции tipc_connect() модуля net/tipc/socket.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-00281 | Уязвимость компонента JWT Signing Key Handler программного обеспечения OneLogin AD Connector, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-02183 | Уязвимость функций Buffer.allocUnsafe() и Buffer.allocUnsafeSlow() платформы для автоматизации рабочих процессов n8n, позволяющая нарушителю раскрыть защищаемую информацию |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2018-8861 | Vulnerabilities within the Philips Brilliance CT kiosk environment (Brilliance 64 version 2.6.2 and prior, Brilliance iCT ver... |
| CVE-2019-12660 | Cisco IOS XE Software ASIC Register Write Vulnerability |
| CVE-2019-13546 | In IntelliSpace Perinatal, Versions K and prior, a vulnerability within the IntelliSpace Perinatal application environment co... |
| CVE-2019-1848 | Cisco DNA Center Authentication Bypass Vulnerability |
| CVE-2019-3682 | Insecure API port exposed to all Master Node guest containers |
| CVE-2020-10271 | RVD#2555: MiR ROS computational graph is exposed to all network interfaces, including poorly secured wireless networks and op... |
| CVE-2020-12020 | Baxter ExactaMix EM 2400 Versions 1.10, 1.11, and 1.13 and ExactaMix EM1200 Versions 1.1, 1.2, and 1.4 does not restrict non... |
| CVE-2020-12142 | IPSec UDP key material can be retrieved from EdgeConnect by a user with admin credentials |
| CVE-2020-15215 | Context isolation bypass in Electron |
| CVE-2020-15264 | Privilege Escalation in Boxstarter |
| CVE-2020-16212 | Philips Patient Monitoring Devices Exposure of Resource to Wrong Sphere |
| CVE-2020-26084 | Cisco Edge Fog Fabric Resource Exposure Vulnerability |
| CVE-2020-26086 | Cisco TelePresence Collaboration Endpoint Software Information Disclosure Vulnerability |
| CVE-2020-26261 | user-readable api tokens in systemd units |
| CVE-2020-26272 | Electron vulnerable to ID collision when routing IPC messages to renderers containing OOPIFs |
| CVE-2020-5386 | Dell EMC ECS, versions prior to 3.5, contains an Exposure of Resource vulnerability. A remote unauthenticated attacker can ac... |
| CVE-2021-1423 | Cisco Aironet Access Points Arbitrary File Overwrite Vulnerability |
| CVE-2021-1438 | Cisco Wide Area Application Services Software Information Disclosure Vulnerability |
| CVE-2021-20999 | WEIDMUELLER: Accidentally open network port in u-controls and IoT-Gateways |
| CVE-2021-21334 | environment variable leak |
| CVE-2021-21382 | Unsafe loopback forwarding interface in Restund |
| CVE-2021-21878 | A local file inclusion vulnerability exists in the Web Manager Applications and FsBrowse functionality of Lantronix PremierWa... |
| CVE-2021-22869 | Improper access control in GitHub Enterprise Server allows self-hosted runners to execute outside their control group |
| CVE-2021-23264 | Transmission of Private Resources into a New Sphere ('Resource Leak') and Exposure of Resource to Wrong Sphere in Crafter Sea... |
| CVE-2021-32760 | Archive package allows chmod of file outside of unpack target directory |
| CVE-2021-32788 | Post creator of a whisper post can be revealed to non-staff users in Discourse |
| CVE-2021-34723 | Cisco IOS XE SD-WAN Software Arbitrary File Overwrite Vulnerability |
| CVE-2021-39184 | Sandboxed renderers can obtain thumbnails of arbitrary files through the nativeImage API |
| CVE-2021-39212 | Issue when Configuring the ImageMagick Security Policy |
| CVE-2021-40496 | SAP Internet Communication framework (ICM) - versions 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 785, a... |
| CVE-2021-41088 | Remote code execution via the web UI backend of Elvish |
| CVE-2021-41094 | Mandatory encryption at rest can be bypassed (UI) in Wire app |
| CVE-2021-41140 | Reactions leak for secure category topics and private messages |
| CVE-2021-44522 | A vulnerability has been identified in SiPass integrated V2.76 (All versions), SiPass integrated V2.80 (All versions), SiPass... |
| CVE-2021-44523 | A vulnerability has been identified in SiPass integrated V2.76 (All versions), SiPass integrated V2.80 (All versions), SiPass... |
| CVE-2021-44524 | A vulnerability has been identified in SiPass integrated V2.76 (All versions), SiPass integrated V2.80 (All versions), SiPass... |
| CVE-2022-0815 | McAfee WebAdvisor - Extension Fingerprinting vulnerability |
| CVE-2022-1467 | AVEVA InTouch Access Anywhere Exposure of Resource to Wrong Sphere |
| CVE-2022-20917 | A vulnerability in the Extensible Messaging and Presence Protocol (XMPP) message processing feature of Cisco Jabber could all... |
| CVE-2022-21718 | Renderers can obtain access to random bluetooth device without permission in Electron |
| CVE-2022-21947 | rancher desktop: Dashboard API is network accessible |
| CVE-2022-22515 | A component of the CODESYS Control runtime system allows read and write access to configuration files |
| CVE-2022-22732 | A CWE-668: Exposure of Resource to Wrong Sphere vulnerability exists that could cause all remote domains to access the resour... |
| CVE-2022-24074 | Whale Bridge, a default extension in Whale browser before 3.12.129.18, allowed to receive any SendMessage request from the co... |
| CVE-2022-24823 | Local Information Disclosure Vulnerability in io.netty:netty-codec-http |
| CVE-2022-26355 | Citrix Federated Authentication Service (FAS) |
| CVE-2022-29247 | Exposure of Resource to Wrong Sphere in Electron |
| CVE-2022-31596 | Under certain conditions, an attacker authenticated as a CMS administrator and with high privileges access to the Network in... |
| CVE-2022-32249 | Under special integration scenario of SAP Business one and SAP HANA - version 10.0, an attacker can exploit HANA cockpit�s da... |
| CVE-2022-32530 | A CWE-668 Exposure of Resource to Wrong Sphere vulnerability exists that could cause users to be misled, hiding alarms, showi... |
| CVE-2022-34464 | A vulnerability has been identified in SICAM GridEdge (Classic) (All versions < V2.7.3). The affected application uses an imp... |
| CVE-2022-35936 | Ethermint DoS through Unintended Contract Selfdestruct |
| CVE-2022-38087 | Exposure of resource to wrong sphere in BIOS firmware for some Intel(R) Processors may allow a privileged user to potentially... |
| CVE-2022-3866 | Nomad Workload Identity Token Can List Non-sensitive Metadata for Paths Under nomad/ |
| CVE-2022-39015 | Under certain conditions, BOE AdminTools/ BOE SDK allows an attacker to access information which would otherwise be restricte... |
| CVE-2022-39349 | Tasks.org vulnerable to data exfiltration by malicous app or adb |
| CVE-2022-41874 | Tauri Filesystem Scope can be Partially Bypassed |
| CVE-2022-45438 | Apache Superset: Dashboard metadata information leak |
| CVE-2022-45935 | Apache James server: Temporary File Information Disclosure |
| CVE-2022-46756 | Dell VxRail, versions prior to 7.0.410, contain a Container Escape Vulnerability. A local high-privileged attacker could pot... |
| CVE-2023-24523 | An attacker authenticated as a non-admin user with local access to a server port assigned to the SAP Host Agent (Start Servic... |
| CVE-2023-2622 | Authenticated clients can read arbitrary files on the MAIN Computer system using the remote procedure call (RPC) of the Insp... |
| CVE-2023-26458 | Information Disclosure vulnerability in SAP Landscape Management |
| CVE-2023-27976 | A CWE-668: Exposure of Resource to Wrong Sphere vulnerability exists that could cause remote code execution when a valid use... |
| CVE-2023-28433 | Minio Privilege Escalation on Windows via Path separator manipulation |
| CVE-2023-29192 | SilverwareGames.io users with access to the game upload panel are able to edit download links for games uploaded by other dev... |
| CVE-2023-29208 | Data leak through deleted documents |
| CVE-2023-31103 | Apache InLong: Attackers can change the immutable name and type of cluster |
| CVE-2023-31206 | Apache InLong: Attackers can change the immutable name and type of nodes |
| CVE-2023-34114 | Exposure of resource to wrong sphere in Zoom for Windows and Zoom for MacOS clients before 5.14.10 may allow an authenticate... |
| CVE-2023-34189 | Apache InLong: General user can delete and update process |
| CVE-2023-35696 | Unauthenticated endpoints in the SICK ICR890-4 could allow an unauthenticated remote attacker to retrieve sensitive informat... |
| CVE-2023-3670 | Codesys: Vulnerability in CODESYS Development System and CODESYS Scripting |
| CVE-2023-37911 | org.xwiki.platform:xwiki-platform-oldcore may leak data through deleted and re-created documents |
| CVE-2023-39171 | SENEC Storage Box V1,V2 and V3 accidentially expose a management interface |
| CVE-2023-39478 | Softing Secure Integration Server Exposure of Resource to Wrong Sphere Remote Code Execution Vulnerability |
| CVE-2023-42792 | Apache Airflow: Improper access control to DAG resources |
| CVE-2023-45145 | Redis Unix-domain socket may have be exposed with the wrong permissions for a short time window. |
| CVE-2023-48291 | Apache Airflow: Improper access control to DAG resources |
| CVE-2023-4910 | 3scale-admin-portal: logged out users tokens can be accessed |
| CVE-2023-49342 | Temporary data passed between application components by Budgie Extras Clockworks applet could potentially be viewed or manipu... |
| CVE-2023-49343 | Temporary data passed between application components by Budgie Extras Dropby applet could potentially be viewed or manipulate... |
| CVE-2023-49344 | Temporary data passed between application components by Budgie Extras Window Shuffler applet could potentially be viewed or m... |
| CVE-2023-49345 | Temporary data passed between application components by Budgie Extras Takeabreak applet could potentially be viewed or manipu... |
| CVE-2023-49346 | Temporary data passed between application components by Budgie Extras WeatherShow applet could potentially be viewed or manip... |
| CVE-2023-49347 | Temporary data passed between application components by Budgie Extras Windows Previews could potentially be viewed or manipul... |
| CVE-2023-5751 | CODESYS: Development system prone to DoS through exposure of resource to wrong sphere |
| CVE-2023-6096 | using a inappropriate encryption logic |
| CVE-2024-13484 | Openshift-gitops-operator-container: namespace isolation break |
| CVE-2024-21597 | Junos OS: MX Series: In an AF scenario traffic can bypass configured lo0 firewall filters |
| CVE-2024-21605 | Junos OS: SRX 300 Series: Specific link local traffic causes a control plane overload |
| CVE-2024-21626 | runc container breakout through process.cwd trickery and leaked fds |
| CVE-2024-21813 | Exposure of resource to wrong sphere in some Intel(R) DTT software installers may allow an authenticated user to potentially... |
| CVE-2024-22281 | Apache Helix Front (UI): Helix front hard-coded secret in the express-session |
| CVE-2024-24562 | Security headers not set in vantage6-UI |
| CVE-2024-24985 | Exposure of resource to wrong sphere in some Intel(R) processors with Intel(R) ACTM may allow a privileged user to potentiall... |
| CVE-2024-29905 | DIRAC: Unauthorized users can read proxy contents during generation |
| CVE-2024-3019 | Pcp: exposure of the redis server backend allows remote command execution via pmproxy |
| CVE-2024-32473 | Moby IPv6 enabled on IPv4-only network interfaces |
| CVE-2024-35183 | wolfictl leaks GitHub tokens to remote non-GitHub git servers |
| CVE-2024-35199 | TorchServe gRPC Port Exposure |
| CVE-2024-38368 | Trunk's 'Claim your pod' could be used to obtain un-used pods |
| CVE-2024-39553 | Junos OS Evolved: Receipt of arbitrary data when sampling service is enabled, leads to partial Denial of Service (DoS). |
| CVE-2024-40725 | Apache HTTP Server: source code disclosure with handlers configured via AddType |
| CVE-2024-42350 | Public key confusion in third party block in Biscuit |
| CVE-2024-43704 | GPU DDK - PowerVR: PVRSRVAcquireProcessHandleBase can cause psProcessHandleBase reuse when PIDs are reused |
| CVE-2024-51754 | Unguarded calls to __toString() when nesting an object into an array in Twig |
| CVE-2024-51755 | Unguarded calls to __isset() and to array-accesses when the sandbox is enabled in Twig |
| CVE-2024-5313 | CWE-668: Exposure of the Resource Wrong Sphere vulnerability exists that exposes a SSH interface over the product network int... |
| CVE-2024-5660 | Use of Hardware Page Aggregation (HPA) and Stage-1 and/or Stage-2 translation on Cortex-A77, Cortex-A78, Cortex-A78C, Cortex-... |
| CVE-2025-12351 | Inadequate access control measure allows unauthorized users to access restricted administrative functions |
| CVE-2025-21608 | Forged packets over MQTT can show up in direct messages in Meshtastic firmware |
| CVE-2025-23205 | `frame-ancestors: self` grants all users access to formgrader in nbgrader |
| CVE-2025-32428 | Jupyter Remote Desktop Proxy makes TigerVNC accessible via the network and not just via a UNIX socket as intended |
| CVE-2025-32783 | XWiki allows unregistered users to see "public" messages from a closed wiki via notifications from a different wiki |
| CVE-2025-34064 | OneLogin AD Connector Log S3 Bucket Hijack Leading to Cross-Tenant Data Leakage |
| CVE-2025-34119 | EasyCafe Server 2.2.14 Remote File Disclosure via Opcode 0x43 |
| CVE-2025-3651 | Command Injection in iManage Work Desktop for Mac's Agent Service |
| CVE-2025-46707 | GPU DDK - Guest VM can override its own FW VZ connection state after the FW has close it |
| CVE-2025-49574 | Quarkus potential data leak when duplicating a duplicated context |
| CVE-2025-54126 | WebAssembly Micro Runtime's `--addr-pool` option allows all IPv4 addresses when subnet mask is not specified |
| CVE-2025-55077 | Tyler Technologies ERP Pro 9 SaaS application escape |
| CVE-2025-61917 | n8n Unsafe Buffer Allocation Allows In-Process Memory Disclosure in Task Runner |
| CVE-2025-64168 | Agno session state overwrites between different sessions/users |
| CVE-2025-6788 | A CWE-668: Exposure of Resource to Wrong Sphere vulnerability exists that exposes TGML diagram resources to the wrong control... |
| CVE-2025-68467 | Dark Reader gives users the ability to request style sheets from local web servers |
| CVE-2025-8107 | In OceanBase's Oracle tenant mode, a malicious user with specific privileges can achieve privilege escalation to SYS-level ac... |
| CVE-2025-9074 | Docker Desktop allows unauthenticated access to Docker Engine API from containers |
| CVE-2026-23763 | VB-Audio Matrix Drivers Local Privilege Escalation via Kernel Memory Exposure |
| CVE-2026-24473 | Hono has an Arbitrary Key Read in Serve static Middleware (Cloudflare Workers Adapter) |
| CVE-2026-25643 | Frigate Affected by Authenticated Remote Command Execution (RCE) and Container Escape |
| CVE-2026-25725 | Claude Code Has Sandbox Escape via Persistent Configuration Injection in settings.json |
| CVE-2026-26057 | Skill Scanner Unsecured Network Binding Vulnerability |
| CVE-2026-27466 | BigBlueButton: Exposed ClamAV port enables Denial of Service |
| CVE-2026-28806 | Improper authorization in device bulk actions and device update API allows cross-organization device control |
| CVE-2026-29093 | WWBN AVideo: Unauthenticated PHP session store exposed to host network via published memcached port |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20240216-89 | 16.02.2024 | Получение конфиденциальной информации в Microsoft Exchange Server |
| VULN:20240715-80 | 15.07.2024 | Получение конфиденциальной информации в Microsoft Internet Explorer |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.