Каталог уязвимостей - CWE - CWE-697

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-697

Incorrect Comparison

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2020-01122	Уязвимость компонента HNAP strncmp микропрограммного обеспечения беспроводных маршрутизаторов D-Link DIR-867-US, D-Link DIR-878, D-Link DIR-882-US, позволяющая нарушителю изменить пароль администратора
BDU:2020-01125	Уязвимость микропрограммного обеспечения беспроводных маршрутизаторов D-Link DAP-2610, позволяющая нарушителю выполнить произвольный код с привилегиями root
BDU:2021-01834	Уязвимость функции n_tty_receive_char_special ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-04263	Уязвимость реализации протокола DVMRP (Distance Vector Multicast Routing Protocol) операционных систем Juniper Networks Junos OS маршрутизаторов серии QFX10K, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-05536	Уязвимость реализации функции check_map_func_compatibility() ядра операционных систем Linux, позволяющая нарушителю повысить свои привилегии
BDU:2021-06143	Уязвимость операционной системы Unraid, связанная с недостатками процедуры аутентификации, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-04789	Уязвимость модуля Packet Forwarding Engine (PFE) операционных систем Juniper Networks Junos OS маршрутизаторов серии QFX5000, EX4600 и EX4650, связанная с недостатками аутентификации, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2022-05301	Уязвимость метода encode_structured_data пакета PyPI eth-account, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2022-06393	Уязвимость операционной системы для тонких клиентов Dell Wyse ThinOS, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2022-06724	Уязвимость функции _convert_from_str() компонента numpy.core модуля NumPy для Python, позволяющая нарушителю инициировать копирование данных
BDU:2023-01722	Уязвимость функции lsx_aiffstartwrite компонента aiff.c аудиоредактора Sound eXchange, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2023-03257	Уязвимость программного обеспечения видеоконференцсвязи Apache OpenMeetings, связанная с недостаточным сравнением, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-04760	Уязвимость класса BlacklistedFilesChecker программного обеспечения сетевого мониторинга SolarWinds Orion Platform, позволяющая нарушителю выполнить произвольный код
BDU:2023-04762	Уязвимость метода UpdateActionsProperties программного обеспечения сетевого мониторинга SolarWinds Orion Platform, позволяющая нарушителю выполнить произвольный код
BDU:2023-05103	Уязвимость платформы обработки данных Apache NiFi, связанная с недостаточным сравнением, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-05656	Уязвимость функции read_samples() программы обработки звука Sound eXchange (SoX), позволяющая нарушителю вызвать отказ в обслуживании
BDU:2023-08151	Уязвимость метода UpdateAction программного обеспечения сетевого мониторинга SolarWinds Orion, позволяющая нарушителю выполнить произвольный код с привилегиями сетевой службы (NETWORK SERVICE)
BDU:2024-00900	Уязвимость плагина Jenkins GitLab Branch Source Plugin, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации
BDU:2024-01899	Уязвимость программного обеспечения сетевого мониторинга и управления ИТ-инфраструктурой SolarWinds Platform, связанная с недостаточным сравнением, позволяющая нарушителю выполнить произвольные команды с привилегиями SYSTEM
BDU:2024-03753	Уязвимость функции taprio_parse_tc_entry() в модуле net/sched/sch_taprio.c подсистемы управления трафиком net/sched ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-06185	Уязвимость функции PeaksToHarmspect() программного синтезатора речи Espeak, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-06575	Уязвимость механизма двухфакторной аутентификации (2FA) средства развертывания и управления почтовым сервером, основанного на контейнерной технологии Docker, mailcow:dockerized, позволяющая нарушителю обойти защиту 2FA и получить несанкционированный...
BDU:2024-07770	Уязвимость функциии path.evaluate() или path.evaluateTruthy() компилятора для написания JavaScript кода Babel, позволяющая нарушителю выполнить произвольный код
BDU:2025-04970	Уязвимость плагина SureTriggers системы управления содержимым сайта WordPress, позволяющая нарушителю создавать учетные записи администраторов на сайте
BDU:2025-07203	Уязвимость системы управления ИТ-инфраструктурой Now Platform, связанная с использованием неполного чёрного списка при обработке входных данных, позволяющая нарушителю выполнить произвольный код
BDU:2025-08221	Уязвимость сценария front/index.php сетевой инфраструктуры оповещения вторжений NetAlert X, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
BDU:2025-10830	Уязвимость PHP-класса для генерации PDF-документов TCPDF, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2025-14091	Уязвимость функции __access_ok() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-15443	Уязвимость функции mptcp_sendmsg_frag() модуля net/mptcp/protocol.c ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации
BDU:2025-15544	Уязвимость компонента arch/parisc/include/asm/uaccess.h ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2025-15545	Уязвимость компонента arch/parisc/kernel/syscall.S ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2026-00222	Уязвимость реализации протокола RADIUS (Remote Authentication in Dial-In User Service) платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю вызвать отказ в обслуживании

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2014-125057	mrobit robitailletheknot CSRF Token filters.php comparison
CVE-2015-10129	planet-freo auth.inc.php comparison
CVE-2015-9238	secure-compare 3.0.0 and below do not actually compare two strings properly. compare was actually comparing the first argumen...
CVE-2020-10024	ARM Platform Uses Signed Integer Comparison When Validating Syscall Numbers
CVE-2020-10027	ARC Platform Uses Signed Integer Comparison When Validating Syscall Numbers
CVE-2020-11071	False-negative validation results in MINT transactions with invalid baton
CVE-2020-11072	False-negative validation results in MINT transactions with invalid baton
CVE-2020-15130	False-positive validity for NFT1 genesis transactions in SLPJS
CVE-2020-15131	False-positive validity for NFT1 genesis transactions in SLP Validate
CVE-2020-8862	This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of D-Link DAP-2610 Fi...
CVE-2020-8864	This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of D-Link DIR-867, DI...
CVE-2021-0295	Junos OS: QFX10K Series: Denial of Service (DoS) upon receipt of DVMRP packets received on multi-homing ESI in VXLAN.
CVE-2021-20219	A denial of service vulnerability was found in n_tty_receive_char_special in drivers/tty/n_tty.c of the Linux kernel. In this...
CVE-2021-3833	Integria IMS incorrect authorization
CVE-2022-22203	Junos OS: EX4600 Series and QFX5000 Series: Receipt of specific traffic will lead to an fxpc process crash followed by an FPC...
CVE-2022-23027	On BIG-IP versions 15.1.x before 15.1.4, 14.1.x before 14.1.4.4, 13.1.x beginning in 13.1.3.6, 12.1.5.3-12.1.6, and 11.6.5.2,...
CVE-2022-24787	Incorrect Comparison in Vyper
CVE-2022-43621	This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of D-Link DIR-1935 1....
CVE-2023-22435	Server bad parsing implementation - stack overflow in server::get_db_path_for_driver
CVE-2023-23762	Incorrect comparison vulnerability in GitHub Enterprise Server leading to commit smuggling
CVE-2023-23764	Incorrect comparison vulnerability in GitHub Enterprise Server leading to commit smuggling
CVE-2023-23765	Incorrect comparison vulnerability in GitHub Enterprise Server leading to commit smuggling
CVE-2023-23766	Incorrect comparison vulnerability in GitHub Enterprise Server leading to commit smuggling
CVE-2023-23840	SolarWinds Platform Exposed Dangerous Method Vulnerability
CVE-2023-23843	SolarWinds Platform Incorrect Comparison Vulnerability
CVE-2023-23845	SolarWinds Platform Exposed Dangerous Method Vulnerability
CVE-2023-25666	TensorFlow has Floating Point Exception in AudioSpectrogram
CVE-2023-25669	TensorFlow has Floating Point Exception in AvgPoolGrad with XLA
CVE-2023-25673	TensorFlow has Floating Point Exception in TensorListSplit with XLA
CVE-2023-25675	TensorFlow has Segfault in Bincount with XLA
CVE-2023-27579	TensorFlow has Floating Point Exception in TFLite in conv kernel
CVE-2023-28936	Apache OpenMeetings: insufficient check of invitation hash
CVE-2023-33225	SolarWinds Platform Deserialization of Untrusted Data Vulnerability
CVE-2023-44378	gnark vulnerable to unsoundness in variable comparison/non-unique binary decomposition
CVE-2024-24621	Softaculous Webuzo Authentication Bypass
CVE-2024-28246	KaTeX is missing normalization of the protocol in URLs allows bypassing forbidden protocols
CVE-2024-29026	Owncast cross origin request
CVE-2024-34340	Authentication Bypass when using using older password hashes
CVE-2024-39534	Junos OS Evolved: Connections to the network and broadcast address accepted
CVE-2024-41958	Two-Factor Authentication (2FA) Bypass in mailcow: dockerized
CVE-2024-53861	Issuer field partial matches allowed in pyjwt
CVE-2025-12192	The Events Calendar <= 6.15.9 - Sysinfo Key Incorrect Comparison to Unauthenticated Sensitive Information Exposure
CVE-2025-20343	Cisco Identity Services Engine Radius Suppression Denial of Service Vulnerability
CVE-2025-3102	SureTriggers <= 1.0.78 - Authorization Bypass due to Missing Empty Value Check to Unauthenticated Administrative User Creatio...
CVE-2025-47416	ConsoleFindCommandMatchList
CVE-2025-48952	NetAlertX has Password Bypass Vulnerability due to Loose Comparison in PHP
CVE-2025-9401	HuangDou UTCMS Login login.php comparison
CVE-2026-21691	iccDEV has Type Confusion in CIccTag:IsTypeCompressed()

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20251208-20	08.12.2025	Отказ в обслуживании в Cisco Identity Services Engine (ISE)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.