Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-707
CWE-707: Improper Neutralization
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2020-04461 | Уязвимость библиотеки nghttp2, связанная с ошибками при использовании выделенной памяти при обработке пакетов HTTP/2 SETTINGS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-01918 | Уязвимость реализации механизма разделения сетей пятого поколения (5G-сети) на множество независимых виртуальных сетей "Network Slicing", связанная с отсутствием сопоставления между идентификаторами прикладного и транспортного уровней, позволяющая на... |
| BDU:2022-06128 | Уязвимость реализации сценария router.php компонента POST Parameter Handler системы управления заказами продуктов питания Food Ordering Management System, позволяющая нарушителю выполнить произвольный SQL-код |
| BDU:2022-06226 | Уязвимость компонента /ebics-server/ebics.aspx сервера Crealogix EBICS, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2023-00545 | Уязвимость веб-интерфейса управления микропрограммного обеспечения VPN-маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P и RV260W, связанная с недостаточной очисткой особых элементов в выходных данных, используемых входящим компоненто... |
| BDU:2023-00696 | Уязвимость утилиты для текстовых терминалов UNIX-подобных систем Less, связанная с некорректной фильтрацией встроенных последовательностей ANSI при обработке элемента -R, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01083 | Уязвимость сценария manage_record.php веб-приложения для создания медицинских справок Medical Certificate Generator App, позволяющая нарушителю выполнить произвольный SQL-код |
| BDU:2023-03510 | Уязвимость веб-интерфейса программного средства администрирования лицензий Cisco Smart Software Manager On-Prem, позволяющего нарушителю выполнить произвольный SQL-код |
| BDU:2023-06093 | Уязвимость микропрограммного обеспечения маршрутизатора Zyxel EMG2926, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06370 | Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения беспроводной точки доступа D-Link DAP-2622, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06534 | Уязвимость реализации протокола связи микропрограммного обеспечения маршрутизаторов ER2000, связанная с внедрением или модификацией аргумента, позволяющая нарушителю выполнить произвольный команды ОС на устройствах |
| BDU:2023-06536 | Уязивмость системы управления контентом Craft CMS, связанная с неправильным контролем генерации кода, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06539 | Уязвимость функции SetSysEmailSettings микропрограммного обеспечения Wi-Fi маршрутизаторов D-Link DIR-X3260, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06540 | Уязвимость функции SetSysEmailSettings микропрограммного обеспечения Wi-Fi маршрутизаторов D-Link DIR-X3260, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольный код |
| BDU:2023-06592 | Уязвимость компонента prog.cgi микропрограммного обеспечения Wi-Fi маршрутизаторов D-Link DIR-X3260, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06593 | Уязвимость службы CLI микропрограммного обеспечения маршрутизаторов D-Link DIR-2150, DIR-1260, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06594 | Уязвимость компонента prog.cgi микропрограммного обеспечения Wi-Fi маршрутизаторов D-Link DIR-X3260, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06642 | Уязвимость плагина Contact Form Generator, предназначенного для создания контактных форм на сайтах WordPress, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2023-06643 | Уязвимость веб-интерфейса файлового сервера Copyparty, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2023-06809 | Уязвимость микропрограммного обеспечения усилителя беспроводного сигнала D-Link DAP-1325, связанная с неверной нейтрализацией особых элементов в выходных данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-07079 | Уязвимость файла /importexport.php микропрограммного обеспечения маршрутизатора D-Link DAR-7000, позволяющая нарушителю выполнить произвольный SQL-код |
| BDU:2023-07080 | Уязвимость файла /log/mailrecvview.php микропрограммного обеспечения маршрутизатора D-Link DAR-7000, позволяющая нарушителю выполнить произвольный SQL-код |
| BDU:2023-07088 | Уязвимость плагина Twittee Text Tweet Plugin системы управления содержимым сайта WordPress, позволяющая нарушителю провести атаку межсайтового скриптинга |
| BDU:2023-07184 | Уязвимость набора инструментов для веб-разработки DevTools браузера Mozilla Firefox и почтового клиента Thunderbird, позволяющая нарушителю выполнить произвольные команды |
| BDU:2023-08046 | Уязвимость модуля WebAssembly программной платформы Node.js, позволяющая нарушителю выполнить произвольные команды |
| BDU:2023-08613 | Уязвимость плагина слайд-шоу с горизонтальной прокруткой изображений Image Horizontal Reel Scroll Slideshow Plugin, существующая из-за непринятия мер по нейтрализации специальных элементов, позволяющая нарушителю выполнить произвольный SQL-запрос |
| BDU:2023-08620 | Уязвимость плагина tagDiv Composer Plugin системы управления содержимым сайта WordPress, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2023-08955 | Уязвимость cредства криптографической защиты OpenSSH, связанная с внедрением или модификацией аргумента, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-00199 | Уязвимость компонента ProxyCommand/ProxyJump библиотеки libssh, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01523 | Уязвимость программного обеспечения по оптимизации приложений Intel Optimization для фреймворка TensorFlow, связанная с неверной нейтрализацией особых элементов в выходных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01572 | Уязвимость компонента runtar.c. программного средства резервного копирования с открытым исходным кодом Advanced Maryland Automatic Network Disk Archiver (Amanda), позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01578 | Уязвимость функции setWizardCfg файла /cgi-bin/cstecgi.cgi компонента shttpd микропрограммного обеспечения маршрутизаторов TOTOLINK X6000R AX3000, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-02264 | Уязвимость пакета excalidraw программной платформы Node.js, связанная с отсутствием мер по очистке входных данных, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2024-02863 | Уязвимость компонента Document Handler системы управления документами ONLYOFFICE Workspace, существующая из-за недостатков шифрования вводимых пользователем данных, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS) |
| BDU:2024-03779 | Уязвимость функции disconnectVPN микропрограммного обеспечения маршрутизаторов TOTOLINK X5000R, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-03924 | Уязвимость функции display_settings программного средства мониторинга сети Cacti, позволяющая нарушителю выполнить межсайтовый скриптинг |
| BDU:2024-03926 | Уязвимость программного обеспечения централизованного управления системами хранения данных PowerProtect Data Domain Management Center, программного средства защиты данных в корпоративной средеPowerProtect Data Protection, программного средства защиты... |
| BDU:2024-03970 | Уязвимость платформы клиентских данных (CDP) Microsoft Dynamics 365 Customer Insights, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2024-03971 | Уязвимость службы для переноса данных из локальной среды Azure Migrate, позволяющая нарушителю осуществить межсайтовую сценарную атаку |
| BDU:2024-04035 | Уязвимость функции NTPSyncWithHost компонента Request Handler микропрограммного обеспечения роутеров TOTOLINK CP450, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04677 | Уязвимость системы аудита безопасности эксплуатации и обслуживания JumpServer, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05706 | Уязвимость микропрограммного обеспечения оборудования Modicon Controllers, позволяющая нарушителю осуществить межсайтовую сценарную атаку |
| BDU:2024-05715 | Уязвимость библиотеки на языке Rust для работы с Git-репозиториями gitoxide, связанная с неверной нейтрализацией особых элементов в выходных данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05948 | Уязвимость компонента Dashboard панели управления программного средства для интеграции приложений IBM App Connect Enterprise, позволяющая нарушителю внедрить произвольный HTML-код |
| BDU:2024-06019 | Уязвимость функции msp_info_htm() файла msp_info.htm микропрограммного обеспечения маршрутизаторов D-Link DI-8100, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-06020 | Уязвимость функции setTelnetCfg службы Telnet микропрограммного обеспечения роутеров TOTOLINK CP900, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-06096 | Уязвимость веб-интерфейса управления операционной системы Cisco AsyncOS системы обеспечения безопасности электронной почты Cisco Secure Email Gateway, позволяющая нарушителю выполнить произвольные системные команды |
| BDU:2024-06105 | Уязвимость программного обеспечения управления изменениями в процессе разработки IBM Rational ClearQuest, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю раскрыть учетные данные в доверенном сеансе |
| BDU:2024-06569 | Уязвимость компонента Content Security Policy браузеров Firefox, Firefox ESR, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2024-07877 | Уязвимость консоли управления операционных систем Microsoft Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-08656 | Уязвимость реализации технологии Software Guard eXtensions (SGX) процессоров Intel, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-09234 | Уязвимость функции cgi_user_add CGI-скрипта /cgi-bin/account_mgr.cgi?cmd=cgi_user_add микропрограммного обеспечения устройств D-Link DNS-320, DNS-320LW, DNS-325 и DNS-340L, позволяющая нарушителю выполнять произвольные команды |
| BDU:2024-09495 | Уязвимость функции cgi_user_add файла /cgi-bin/account_mgr.cgi?cmd=cgi_user_add микропрограммного обеспечения маршрутизаторов D-Link DNS-320, DNS-320LW, DNS-325 и DNS-340L, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-11622 | Уязвимость обработчика CGI-запросов панели управления хостингом Webmin, позволяющая нарушителю выполнить произвольный код с root-привилегиями |
| BDU:2025-00195 | Уязвимость графических драйверов микропрограммного обеспечения процессоров Intel, связанная с неверной нейтрализацией особых элементов в выходных данных, используемых входящим компонентом, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-01649 | Уязвимость параметра c_only_fields конечной точки REST API /wp-json/learnpress/v1/courses плагина LearnPress системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный SQL-код |
| BDU:2025-02567 | Уязвимость консоли управления операционных систем Windows, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-02929 | Уязвимость класса AuthenticationFilter OLAP-хранилища данных Apache Pinot, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-05428 | Уязвимость планировщика заданий операционной системы Windows, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-08787 | Уязвимость пакетов программ Microsoft SharePoint Server и SharePoint Enterprise Server, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю осуществлять спуфинг-атаки |
| BDU:2025-14526 | Уязвимость компонента crypto/tls языка программирования Go, позволяющая нарушителю раскрыть защищаемую информацию |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2020-11026 | Specially crafted filenames in WordPress leading to XSS |
| CVE-2020-11030 | Cross-site scripting (XSS) in Search block in WordPress |
| CVE-2020-11080 | Denial of service in nghttp2 |
| CVE-2020-36608 | Tribal Systems Zenario CMS Error Log Module admin_organizer.js cross site scripting |
| CVE-2020-36609 | annyshow DuxCMS Article edit cross site scripting |
| CVE-2020-36621 | chedabob whatismyudid mobileconfig.js exports.enrollment cross site scripting |
| CVE-2020-36626 | Modern Tribe Panel Builder Plugin SearchFilter.php add_post_content_filtered_to_search_sql sql injection |
| CVE-2021-4242 | Sapido BR270n/BRC76n/GR297/RB1732 syscmd.htm os command injection |
| CVE-2021-4244 | yikes-inc-easy-mailchimp-extender Plugin add_field_to_form.php cross site scripting |
| CVE-2021-4246 | roxlukas LMeve Login Page sql injection |
| CVE-2021-4251 | as include.cdn.php getFullURL cross site scripting |
| CVE-2021-4252 | WP-Ban ban-options.php toggle_checkbox cross site scripting |
| CVE-2021-4253 | ctrlo lenio Ticket Lenio.pm cross site scripting |
| CVE-2021-4254 | ctrlo lenio Notice main.tt cross site scripting |
| CVE-2021-4255 | ctrlo lenio contractor.tt cross site scripting |
| CVE-2021-4256 | ctrlo lenio index.tt cross site scripting |
| CVE-2021-4257 | ctrlo lenio Task task.tt cross site scripting |
| CVE-2021-4261 | pacman-canvas db-handler.php addHighscore sql injection |
| CVE-2021-4262 | laravel-jqgrid EloquentRepositoryAbstract.php getRows sql injection |
| CVE-2021-4265 | siwapp-ror cross site scripting |
| CVE-2021-4266 | Webdetails cpf DependenciesPackage.java cross site scripting |
| CVE-2021-4267 | tad_discuss cross site scripting |
| CVE-2021-4269 | SimpleRisk common.js checkAndSetValidation cross site scripting |
| CVE-2021-4270 | Imprint CMS ViewHelpers.cs SearchForm cross site scripting |
| CVE-2021-4271 | panicsteve w2wiki Markdown index.php toHTML cross site scripting |
| CVE-2021-4272 | studygolang topics.js cross site scripting |
| CVE-2021-4273 | studygolang search.go Search cross site scripting |
| CVE-2021-4274 | sileht bird-lg layout.html cross site scripting |
| CVE-2022-23004 | Algorithm incorrectly returning error and Invalid unreduced value written to output buffer |
| CVE-2022-3332 | SourceCodester Food Ordering Management System POST Parameter router.php sql injection |
| CVE-2022-3333 | Zephyr Project Manager REST Call cross site scripting |
| CVE-2022-3414 | SourceCodester Web-Based Student Clearance System POST Parameter login.php sql injection |
| CVE-2022-3434 | SourceCodester Web-Based Student Clearance System add-student.php prepare cross site scripting |
| CVE-2022-3442 | Crealogix EBICS ebics.aspx cross site scripting |
| CVE-2022-3452 | SourceCodester Book Store Management System category.php cross site scripting |
| CVE-2022-3453 | SourceCodester Book Store Management System transcation.php cross site scripting |
| CVE-2022-3464 | puppyCMS settings.php cross site scripting |
| CVE-2022-3467 | Jiusi OA hntdCustomDesktopActionContent sql injection |
| CVE-2022-3470 | SourceCodester Human Resource Management System getstatecity.php sql injection |
| CVE-2022-3471 | SourceCodester Human Resource Management System city.php sql injection |
| CVE-2022-3472 | SourceCodester Human Resource Management System city.php sql injection |
| CVE-2022-3473 | SourceCodester Human Resource Management System getstatecity.php sql injection |
| CVE-2022-3492 | SourceCodester Human Resource Management System Profile Photo os command injection |
| CVE-2022-3493 | SourceCodester Human Resource Management System Add Employee cross site scripting |
| CVE-2022-3495 | SourceCodester Simple Online Public Access Catalog Admin Login sql injection |
| CVE-2022-3497 | SourceCodester Human Resource Management System Master List cross site scripting |
| CVE-2022-3502 | Human Resource Management System Leave cross site scripting |
| CVE-2022-3503 | SourceCodester Purchase Order Management System Supplier cross site scripting |
| CVE-2022-3504 | SourceCodester Sanitization Management System sql injection |
| CVE-2022-3505 | SourceCodester Sanitization Management System cross site scripting |
| CVE-2022-3518 | SourceCodester Sanitization Management System User Creation cross site scripting |
| CVE-2022-3519 | SourceCodester Sanitization Management System Quote Requests Tab cross site scripting |
| CVE-2022-3546 | SourceCodester Simple Cold Storage Management System Create User cross site scripting |
| CVE-2022-3547 | SourceCodester Simple Cold Storage Management System Setting cross site scripting |
| CVE-2022-3548 | SourceCodester Simple Cold Storage Management System Add New Storage cross site scripting |
| CVE-2022-3579 | SourceCodester Cashier Queuing System Login Page login.php sql injection |
| CVE-2022-3580 | SourceCodester Cashier Queuing System User Creation cross site scripting |
| CVE-2022-3581 | SourceCodester Cashier Queuing System Cashiers Tab cross site scripting |
| CVE-2022-3583 | SourceCodester Canteen Management System login.php sql injection |
| CVE-2022-3584 | SourceCodester Canteen Management System edituser.php sql injection |
| CVE-2022-3587 | SourceCodester Simple Cold Storage Management System My Account cross site scripting |
| CVE-2022-3672 | SourceCodester Sanitization Management System SystemSettings.php cross site scripting |
| CVE-2022-3673 | SourceCodester Sanitization Management System Master.php cross site scripting |
| CVE-2022-3704 | Ruby on Rails _table.html.erb cross site scripting |
| CVE-2022-3714 | SourceCodester Online Medicine Ordering System sql injection |
| CVE-2022-3716 | SourceCodester Online Medicine Ordering System cross site scripting |
| CVE-2022-3729 | seccome Ehoney attack sql injection |
| CVE-2022-3730 | seccome Ehoney falco sql injection |
| CVE-2022-3731 | seccome Ehoney token sql injection |
| CVE-2022-3732 | seccome Ehoney set sql injection |
| CVE-2022-3733 | SourceCodester Web-Based Student Clearance System edit-admin.php sql injection |
| CVE-2022-3783 | node-red-dashboard ui_text Format ui-component-ctrl.js cross site scripting |
| CVE-2022-3789 | Tim Campus Confession Wall share.php sql injection |
| CVE-2022-3798 | IBAX go-ibax tablesInfo sql injection |
| CVE-2022-3799 | IBAX go-ibax tablesInfo sql injection |
| CVE-2022-3800 | IBAX go-ibax rowsInfo sql injection |
| CVE-2022-3801 | IBAX go-ibax rowsInfo sql injection |
| CVE-2022-3802 | IBAX go-ibax rowsInfo sql injection |
| CVE-2022-3803 | eolinker apinto-dashboard cross site scripting |
| CVE-2022-3804 | eolinker apinto-dashboard login cross site scripting |
| CVE-2022-3825 | Huaxia ERP User Management sql injection |
| CVE-2022-3827 | centreon Contact Groups Form formContactGroup.php sql injection |
| CVE-2022-3845 | phpipam Import Preview import-load-data.php cross site scripting |
| CVE-2022-3868 | SourceCodester Sanitization Management System sql injection |
| CVE-2022-3877 | Click Studios Passwordstate URL Field cross site scripting |
| CVE-2022-3878 | Maxon ERP browse_data sql injection |
| CVE-2022-3941 | Activity Log Plugin HTTP Header neutralization for logs |
| CVE-2022-3942 | SourceCodester Sanitization Management System cross site scripting |
| CVE-2022-3943 | ForU CMS cms_chip.php cross site scripting |
| CVE-2022-3947 | eolinker goku_lite list sql injection |
| CVE-2022-3948 | eolinker goku_lite getList sql injection |
| CVE-2022-3949 | Sourcecodester Simple Cashiering System User Account cross site scripting |
| CVE-2022-3950 | sanluan PublicCMS Tab dwz.min.js initLink cross site scripting |
| CVE-2022-3955 | tholum crm42 Login class.user.php sql injection |
| CVE-2022-3956 | tsruban HHIMS Patient Portrait sql injection |
| CVE-2022-3963 | gnuboard5 FAQ Key ID faq.php cross site scripting |
| CVE-2022-3967 | Vesta Control Panel sed main.sh argument injection |
| CVE-2022-3968 | emlog article_save.php cross site scripting |
| CVE-2022-3971 | matrix-appservice-irc PgDataStore.ts sql injection |
| CVE-2022-3972 | Pingkon HMS-PHP adminlogin.php sql injection |
| CVE-2022-3973 | Pingkon HMS-PHP Data Pump Metadata admin.php sql injection |
| CVE-2022-3975 | NukeViet CMS Data URL Request.php filterAttr cross site scripting |
| CVE-2022-3988 | Frappe Search navbar_search.html cross site scripting |
| CVE-2022-3992 | SourceCodester Sanitization Management System Banner Image cross site scripting |
| CVE-2022-3997 | MonikaBrzica scm upis_u_bazu.php sql injection |
| CVE-2022-3998 | MonikaBrzica scm uredi_korisnika.php sql injection |
| CVE-2022-4011 | Simple History Plugin Header neutralization for logs |
| CVE-2022-4012 | Hospital Management Center patient-info.php sql injection |
| CVE-2022-4015 | Sports Club Management System make_payments.php sql injection |
| CVE-2022-4051 | Hostel Searching Project view-property.php sql injection |
| CVE-2022-4052 | Student Attendance Management System createClass.php sql injection |
| CVE-2022-4053 | Student Attendance Management System createClass.php cross site scripting |
| CVE-2022-4064 | Dalli Meta Protocol request_formatter.rb self.meta_set injection |
| CVE-2022-4088 | rickxy Stock Management System processlogin.php sql injection |
| CVE-2022-4089 | rickxy Stock Management System processlogin.php cross site scripting |
| CVE-2022-4091 | SourceCodester Canteen Management System food.php query cross site scripting |
| CVE-2022-4222 | SourceCodester Canteen Management System POST Request ajax_invoice.php query sql injection |
| CVE-2022-4233 | SourceCodester Event Registration System cross site scripting |
| CVE-2022-4234 | SourceCodester Canteen Management System brand.php builtin_echo cross site scripting |
| CVE-2022-4247 | Movie Ticket Booking System booking.php sql injection |
| CVE-2022-4248 | Movie Ticket Booking System editBooking.php sql injection |
| CVE-2022-4249 | Movie Ticket Booking System POST Request cross site scripting |
| CVE-2022-4250 | Movie Ticket Booking System booking.php cross site scripting |
| CVE-2022-4251 | Movie Ticket Booking System editBooking.php cross site scripting |
| CVE-2022-4252 | SourceCodester Canteen Management System categories.php builtin_echo cross site scripting |
| CVE-2022-4253 | SourceCodester Canteen Management System customer.php builtin_echo cross site scripting |
| CVE-2022-4257 | C-DATA Web Management System GET Parameter jumpto.php argument injection |
| CVE-2022-4274 | House Rental System view-property.php sql injection |
| CVE-2022-4275 | House Rental System POST Request search-property.php sql injection |
| CVE-2022-4277 | Shaoxing Background Management System Bd sql injection |
| CVE-2022-4278 | SourceCodester Human Resource Management System employeeadd.php sql injection |
| CVE-2022-4279 | SourceCodester Human Resource Management System employeeview.php cross site scripting |
| CVE-2022-4282 | SpringBootCMS Template Management injection |
| CVE-2022-4300 | FastCMS Template edit injection |
| CVE-2022-4322 | maku-boot Scheduled Task AbstractScheduleJob.java doExecute injection |
| CVE-2022-4341 | csliuwy coder-chain_gdut cross site scripting |
| CVE-2022-4347 | xiandafu beetl-bbs WebUtils.java cross site scripting |
| CVE-2022-4348 | y_project RuoYi-Cloud JSON cross site scripting |
| CVE-2022-4350 | Mingsoft MCMS search.do cross site scripting |
| CVE-2022-4353 | LinZhaoguan pb-cms IpUtil.getIpAddr cross site scripting |
| CVE-2022-4354 | LinZhaoguan pb-cms Message Board comment cross site scripting |
| CVE-2022-4364 | Teledyne FLIR AX8 Web Service palette.php command injection |
| CVE-2022-4375 | Mingsoft MCMS list sql injection |
| CVE-2022-4377 | S-CMS Contact Information Page cross site scripting |
| CVE-2022-4396 | RDFlib pyrdfa3 __init__.py _get_option cross site scripting |
| CVE-2022-4399 | TicklishHoneyBee nodau db.c sql injection |
| CVE-2022-4400 | zbl1996 FS-Blog Title cross site scripting |
| CVE-2022-4401 | pallidlight online-course-selection-system cross site scripting |
| CVE-2022-4403 | SourceCodester Canteen Management System ajax_represent.php sql injection |
| CVE-2022-4416 | RainyGao DocSys getReposAllUsers.do getReposAllUsers sql injection |
| CVE-2022-4421 | rAthena FluxCP Service Desk Image URL view.php cross site scripting |
| CVE-2022-4444 | ipti br.tag cross site scripting |
| CVE-2022-4454 | m0ver bible-online Search search.java query sql injection |
| CVE-2022-4455 | sproctor php-calendar index.php cross site scripting |
| CVE-2022-4456 | falling-fruit cross site scripting |
| CVE-2022-4513 | European Environment Agency eionet.contreg cross site scripting |
| CVE-2022-4514 | Opencaching Deutschland oc-server3 varset.inc.php cross site scripting |
| CVE-2022-4520 | WSO2 carbon-registry Advanced Search advancedSearchForm-ajaxprocessor.jsp cross site scripting |
| CVE-2022-4522 | CalendarXP cross site scripting |
| CVE-2022-4523 | vexim2 cross site scripting |
| CVE-2022-4526 | django-photologue Default Template photo_detail.html cross site scripting |
| CVE-2022-4556 | Alinto SOGo Identity SOGoUserDefaults.m _migrateMailIdentities cross site scripting |
| CVE-2022-4558 | Alinto SOGo Folder/Mail NSString+Utilities.m cross site scripting |
| CVE-2022-4559 | INEX IPX-Manager list.foil.php cross site scripting |
| CVE-2022-4561 | SemanticDrilldown Extension GET Parameter SDBrowseDataPage.php printFilterLine cross site scripting |
| CVE-2022-4566 | y_project RuoYi GenController sql injection |
| CVE-2022-4581 | 1j01 mind-map app.coffee cross site scripting |
| CVE-2022-4582 | starter-public-edition-4 cross site scripting |
| CVE-2022-4585 | Opencaching Deutschland oc-server3 Cookie start.tpl cross site scripting |
| CVE-2022-4586 | Opencaching Deutschland oc-server3 Cachelist cachelists.tpl cross site scripting |
| CVE-2022-4587 | Opencaching Deutschland oc-server3 Login Page login.tpl cross site scripting |
| CVE-2022-4590 | mschaef toto Todo List cross site scripting |
| CVE-2022-4591 | mschaef toto Email Parameter cross site scripting |
| CVE-2022-4592 | luckyshot CRMx index.php commentdelete sql injection |
| CVE-2022-4593 | retra-system cross site scripting |
| CVE-2022-4595 | django-openipam exposed_hosts.html cross site scripting |
| CVE-2022-4596 | Shoplazza Add Blog Post cross site scripting |
| CVE-2022-4597 | Shoplazza LifeStyle Create Product v2_products cross site scripting |
| CVE-2022-4598 | Shoplazza LifeStyle Announcement cross site scripting |
| CVE-2022-4599 | Shoplazza LifeStyle Product cross site scripting |
| CVE-2022-4600 | Shoplazza LifeStyle Product Carousel cross site scripting |
| CVE-2022-4601 | Shoplazza LifeStyle Shipping/Member Discount/Icon cross site scripting |
| CVE-2022-4602 | Shoplazza LifeStyle Review Flow cross site scripting |
| CVE-2022-4631 | WP-Ban ban-options.php cross site scripting |
| CVE-2022-4638 | collective.contact.widget widgets.py title cross site scripting |
| CVE-2022-4640 | Mingsoft MCMS Article save cross site scripting |
| CVE-2022-4642 | tatoeba2 Profile Name cross site scripting |
| CVE-2022-4726 | SourceCodester Sanitization Management System Admin Login sql injection |
| CVE-2022-4727 | OpenMRS Appointment Scheduling Module Notes AppointmentRequest.java getNotes cross site scripting |
| CVE-2022-4728 | Graphite Web Cookie cross site scripting |
| CVE-2022-4729 | Graphite Web Template Name cross site scripting |
| CVE-2022-4730 | Graphite Web Absolute Time Range cross site scripting |
| CVE-2023-42773 | Improper neutralization in Intel(R) Power Gadget software for Windows all versions may allow an authenticated user to potenti... |
| CVE-2023-46689 | Improper neutralization in Intel(R) Power Gadget software for macOS all versions may allow an authenticated user to potential... |
| CVE-2024-10700 | code-projects University Event Management System submit.php sql injection |
| CVE-2024-10752 | Codezips Pet Shop Management System productsadd.php sql injection |
| CVE-2024-10768 | PHPGurukul Online Shopping Portal two_tables.php cross site scripting |
| CVE-2024-10791 | Codezips Hospital Appointment System doctorAction.php sql injection |
| CVE-2024-10805 | code-projects University Event Management System doedit.php sql injection |
| CVE-2024-10806 | PHPGurukul Hospital Management System betweendates-detailsreports.php cross site scripting |
| CVE-2024-10807 | PHPGurukul Hospital Management System search.php cross site scripting |
| CVE-2024-10808 | code-projects E-Health Care System req_detail.php sql injection |
| CVE-2024-10809 | code-projects E-Health Care System chat.php sql injection |
| CVE-2024-10810 | code-projects E-Health Care System app_request.php sql injection |
| CVE-2024-10840 | romadebrian WEB-Sekolah Backend akun_edit.php cross site scripting |
| CVE-2024-10841 | romadebrian WEB-Sekolah Mail Proses_Kirim.php sql injection |
| CVE-2024-10842 | romadebrian WEB-Sekolah Backend Proses_Edit_Akun.php cross site scripting |
| CVE-2024-10844 | 1000 Projects Bookstore Management System search.php sql injection |
| CVE-2024-10845 | 1000 Projects Bookstore Management System book_detail.php sql injection |
| CVE-2024-10914 | D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection |
| CVE-2024-10915 | D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection |
| CVE-2024-43572 | Microsoft Management Console Remote Code Execution Vulnerability |
| CVE-2024-9324 | Intelbras InControl Relatório de Operadores Page operador code injection |
| CVE-2025-0697 | Telstra Smart Modem Gen 2 HTTP Header injection |
| CVE-2025-11445 | Kilo Code Prompt ClineProvider.ts ClineProvider injection |
| CVE-2025-13268 | Dromara dataCompare JDBC URL DbconfigServiceImpl.java DbConfig injection |
| CVE-2025-1611 | ShopXO Template ThemeAdminService.php injection |
| CVE-2025-24921 | Improper neutralization for some Edge Orchestrator software before version 24.11.1 for Intel(R) Tiber(TM) Edge Platform may a... |
| CVE-2025-26633 | Microsoft Management Console Security Feature Bypass Vulnerability |
| CVE-2025-27712 | Improper neutralization for some Intel(R) Neural Compressor software before version v3.4 within Ring 3: User Applications may... |
| CVE-2025-3804 | thautwarm vscode-diana Jinja2 Template Gen.py injection |
| CVE-2025-3805 | sarrionandia tournatrack Jinja2 Template check_id.py injection |
| CVE-2025-66545 | Nextcloud Groupfolders users with read-only permissions for team folder can restore deleted files from trash bin |
| CVE-2025-9797 | mrvautin expressCart Edit Product edit injection |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.