Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-682
CWE-682: Incorrect Calculation
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-00015 | Уязвимость библиотеки для анализа XML-файлов libxml2, связанная с некорректным вычислением размера буфера для значения порта, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2019-00431 | Уязвимость функции XListExtensions библиотеки предоставления клиентского API для X Window System libX11, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-01232 | Уязвимость пакета офисных программ Apache OpenOffice, связанная с арифметическим переполнением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-02172 | Уязвимость компонента VNC Server программного средства управления удалёнными рабочими столами UltraVNC, входящего в состав блока мониторинга, контроля и удаленного обслуживания установок для коммерческого холодопроизводства TelevisGo, позволяющая нар... |
| BDU:2020-02174 | Уязвимость функции ClientConnection::ReadString компонента VNC Сlient программного средства управления удалёнными рабочими столами UltraVNC, входящего в состав блока мониторинга, контроля и удаленного обслуживания установок для коммерческого холодопр... |
| BDU:2020-02219 | Уязвимость реализации метода криптографии на основе эллиптических кривых криптографической библиотеки Microsoft Research JavaScript Cryptography Library, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00048 | Уязвимость службы сетевой безопасности NSS браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю оказать влияние на целостность данных |
| BDU:2021-01056 | Уязвимость функции языка программирования Go, связанная с неверными вычислениями, позволяющая нарушителю раскрыть защищаемую информацию и оказать воздействие на целостность защищаемой информации |
| BDU:2021-01824 | Уязвимость драйвера Freescale Gianfar Ethernet ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-01906 | Уязвимость веб-сервера Coturn, связанная с некорректной проверкой вводимых данных, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2021-02284 | Уязвимость компонента JIT WebAssembly почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03533 | Уязвимость библиотеки library/glob.html пакета программ Python, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2021-04830 | Уязвимость ядра операционной системы Linux , позволяющая нарушителю выполнить произвольный код в контексте ядра |
| BDU:2021-05199 | Уязвимость компонента hw/display/ati_2d.с эмулятора аппаратного обеспечения QEMU, связанная с неверными вычислениями, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-00251 | Уязвимость программы для анализа трафика wireshark, связанная с неверными вычислениями, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-03182 | Уязвимость реализации класса core_auth виртуальной обучающей среды Moodle, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2023-02657 | Уязвимость методов ScalarMult и ScalarBaseMult языка программирования Go, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2023-03170 | Уязвимость функции fbcon_set_font() в модуле drivers/video/fbdev/core/fbcon.c ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2023-03785 | Уязвимость функции backtrack_insn() в модуле kernel/bpf/verifier.c ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2023-04625 | Уязвимость микропрограммного обеспечения процессоров AMD, связанная с отсутствием защиты служебных данных, позволяющая нарушителю определить содержимое памяти процессов других пользователей |
| BDU:2023-09089 | Уязвимость компонента stbi__jpeg_decode_block_prog_ac библиотек для C/C++ Libstb, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2024-02607 | Уязвимость микропрограммного обеспечения процессоров Intel Xeon D, связанная с неверным вычислением, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-03708 | Уязвимость функции ip_tunnel_rcv() в модуле net/ipv4/ip_tunnel.c реализации протокола IPv4 ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2024-07365 | Уязвимость микрокода процессоров Intel Microcode, связанная с некорректным вычислением, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2024-07484 | Уязвимость функции criu_restore_memory_of_gpu() драйвера amdkfd ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2024-08665 | Уязвимость компонента l2tp ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-09659 | Уязвимость компонента FASTFAT операционной системы Windows, связанная с выходом операции за границу буфера в памяти, позволяющая нарушителю осуществить чтение данных из удаленных файлов системы |
| BDU:2024-09857 | Уязвимость компонентов s390/dasd ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-09967 | Уязвимость компонента nf_tables ядра операционной системы Linux, позволяющая нарушителю повысить привилегии в системе |
| BDU:2024-09988 | Уязвимость компонента core ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-09997 | Уязвимость компонентов x86/mmu ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-10365 | Уязвимость компонента compress ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-10519 | Уязвимость компонента arm64 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01002 | Уязвимость компонентов drm/lima ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01082 | Уязвимость компонента scsi ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01664 | Уязвимость компонента net ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01751 | Уязвимость компонента mptcp ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-01783 | Уязвимость функции close_range() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании. |
| BDU:2025-02956 | Уязвимость функции prepare_trampoline() модуля arch/arm64/net/bpf_jit_comp.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02957 | Уязвимость функции adjust_jmp_off() модуля kernel/bpf/verifier.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02974 | Уязвимость функции calc_available_free_space() модуля fs/btrfs/space-info.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03152 | Уязвимость функции dbDiscardAG() файловой системы JFS ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03320 | Уязвимость компонентов net/mlx5e ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03414 | Уязвимость компонентов drm/vmwgfx ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03682 | Уязвимость драйвера (drivers/infiniband/hw/bnxt_re/ib_verbs.c) ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03683 | Уязвимость функции uprobe_write_opcode() модуля kernel/events/uprobes.c ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-03757 | Уязвимость функции create_elf_fdpic_tables() файловой системы ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-05094 | Уязвимость компонента netdevsim ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-06173 | Уязвимость оркестратора приложений Nomad, связанная с некорректной обработкой заголовка сетевого пакета, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-06557 | Уязвимость компонентов io_uring/eventfd ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08803 | Уязвимость функции atm_dev_deregister() (net/atm/resources.c) операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-09387 | Уязвимость стека Bluetooth-протоколов OpenSynergy BlueSDK, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-12277 | Уязвимость функции __legitimize_mnt() компонента fs/namespace.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12278 | Уязвимость ядра операционной системы Linux, связанная с некорректным вычислением, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12279 | Уязвимость компонента idpf ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12280 | Уязвимость компонента nf_tables_api.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-12832 | Уязвимость функции torch.rot90() и torch.randn_like() фреймворка машинного обучения PyTorch, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14955 | Уязвимость модулей fs/nfsd/nfs4proc.c, fs/nfsd/nfs4state.c, fs/nfsd/nfs4xdr.c, fs/nfsd/nfsd.h и fs/nfsd/xdr4.h ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-14961 | Уязвимость функции skb_get() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15006 | Уязвимость прошивки Platform Loader and Manager (PLM) микропрограммных устройств AMD Versal и Alveo, позволяющая нарушителю получить несанкционированный доступ доступ к защищаемой информации |
| BDU:2025-15087 | Уязвимость функции ident_pud_init() модуля arch/x86/mm/ident_map.c поддержки платформы x86 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15121 | Уязвимость технологии виртуализации KVM (Kernel-based Virtual Machine) ядра операционных систем Android, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-15346 | Уязвимость функции ath12k_dp_mon_rx_deliver_msdu()) модуля drivers/net/wireless/ath/ath12k/dp_mon.c драйвера поддержки беспроводных устройств Ath12k ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-15459 | Уязвимость модулей mm/vma.c и mm/vma.h ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2020-26240 | Erroneous Proof of Work calculation in geth |
| CVE-2020-26241 | Shallow copy bug in geth |
| CVE-2020-26262 | Loopback bypass in Coturn |
| CVE-2020-26265 | Consensus flaw during block processing |
| CVE-2020-28393 | An unauthenticated remote attacker could create a permanent denial-of-service condition by sending specially crafted OSPF pac... |
| CVE-2021-31440 | This vulnerability allows local attackers to escalate privileges on affected installations of Linux Kernel 5.11.15. An attack... |
| CVE-2021-34573 | Incorrect calculation in Enbra EWM does not report backflows or no flow events |
| CVE-2021-41122 | Bounds check missing for decimal args in Vyper |
| CVE-2021-41222 | Segfault due to negative splits in `SplitV` |
| CVE-2022-23001 | Sweet-B Library: Point compress/decompress using the wrong bit for sign |
| CVE-2022-23011 | On certain hardware BIG-IP platforms, in version 15.1.x before 15.1.4 and 14.1.x before 14.1.3, virtual servers may stop resp... |
| CVE-2022-23028 | On BIG-IP AFM version 16.x before 16.1.0, 15.1.x before 15.1.5, 14.1.x before 14.1.4.5, and all versions of 13.1.x, when glob... |
| CVE-2022-23066 | Solana rBPF - Incorrect Calculation in sdiv instruction |
| CVE-2022-23628 | Array literal misordering in github.com/open-policy-agent/opa |
| CVE-2022-26517 | On F5 BIG-IP 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, and 13.1.x versions prior to 13.1.5, when... |
| CVE-2022-30600 | A flaw was found in moodle where logic used to count failed login attempts could result in the account lockout threshold bein... |
| CVE-2022-31104 | Miscompilation of `i8x16.swizzle` and `select` with v128 inputs in Wasmtime |
| CVE-2022-31169 | Cranelift vulnerable to miscompilation of constant values in division on AArch64 |
| CVE-2022-31198 | GovernorVotesQuorumFraction updates to quorum may affect past defeated proposals in @openzeppelin/contracts |
| CVE-2022-36795 | BIG-IP software SYN cookies vulnerability CVE-2022-36795 |
| CVE-2022-39242 | Incorrect Calculation in Frontier leads to inflated Ethereum chain gas prices |
| CVE-2023-1296 | Nomad ACLs Can Not Deny Access to Workload's Own Variables |
| CVE-2023-2163 | Incorrect Verifier Branch Pruning Logic Leads To Arbitrary Read/Write In Linux Kernel and Lateral Privilege Escalation |
| CVE-2023-2423 | Rockwell Automation Armor PowerFlex Vulnerable to Denial-Of-Service |
| CVE-2023-26488 | OpenZeppelin Contracts contains Incorrect Calculation |
| CVE-2023-28431 | Frontier's modexp precompile is slow for even modulus |
| CVE-2023-35641 | Internet Connection Sharing (ICS) Remote Code Execution Vulnerability |
| CVE-2023-35642 | Internet Connection Sharing (ICS) Denial of Service Vulnerability |
| CVE-2023-42460 | _abi_decode input not validated in complex expressions in Vyper |
| CVE-2023-43490 | Incorrect calculation in microcode keying mechanism for some Intel(R) Xeon(R) D Processors with Intel(R) SGX may allow a priv... |
| CVE-2023-46247 | Vyper has incorrect storage layout for contracts containing large arrays |
| CVE-2024-11407 | Denial of Service through Data corruption in gRPC-C++ |
| CVE-2024-32873 | evmos allows transferring unvested tokens after delegations |
| CVE-2024-34704 | era-compiler-solidity contains a `xor(zext(cmp), -1)` misoptimization |
| CVE-2024-45056 | `fold (xor (shl 1, x), -1) -> (rotl ~1, x)` misoptimization in zksolc |
| CVE-2024-6287 | Incorrect Address Range Calculations |
| CVE-2025-0036 | In AMD Versal Adaptive SoC devices, the incorrect configuration of the SSS during runtime (post-boot) cryptographic operation... |
| CVE-2025-26622 | sqrt doesn't define rounding behavior in Vyper |
| CVE-2025-5372 | Libssh: incorrect return code handling in ssh_kdf() in libssh |
| CVE-2025-54427 | Polkadot Frontier contains missing `check_inherent` for `note_min_gas_price_target` inflates gas price |
| CVE-2025-59047 | matrix-sdk-base has panic in the `RoomMember::normalized_power_level()` method |
| CVE-2026-21911 | Junos OS Evolved: Flapping management interface causes MAC learning on label-switched interfaces to stop |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20250117-26 | 17.01.2025 | Отказ в обслуживании в Dell OpenManage Network Integration (OMNI) |
| VULN:20250602-38 | 02.06.2025 | Отказ в обслуживании в Dell Secure Connect Gateway |
| VULN:20250730-2 | 30.07.2025 | Выполнение произвольного кода в Mozilla Firefox |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.