Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-707
Improper Neutralization
The product does not ensure or incorrectly ensures that structured messages or data are well-formed and that certain security properties are met before being read from an upstream component or sent to a downstream component.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2020-04461 | Уязвимость библиотеки nghttp2, связанная с ошибками при использовании выделенной памяти при обработке пакетов HTTP/2 SETTINGS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-01918 | Уязвимость реализации механизма разделения сетей пятого поколения (5G-сети) на множество независимых виртуальных сетей "Network Slicing", связанная с отсутствием сопоставления между идентификаторами прикладного и транспортного уровней, позволяющая на... |
| BDU:2022-06128 | Уязвимость реализации сценария router.php компонента POST Parameter Handler системы управления заказами продуктов питания Food Ordering Management System, позволяющая нарушителю выполнить произвольный SQL-код |
| BDU:2022-06226 | Уязвимость компонента /ebics-server/ebics.aspx сервера Crealogix EBICS, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2023-00545 | Уязвимость веб-интерфейса управления микропрограммного обеспечения VPN-маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P и RV260W, связанная с недостаточной очисткой особых элементов в выходных данных, используемых входящим компоненто... |
| BDU:2023-00696 | Уязвимость утилиты для текстовых терминалов UNIX-подобных систем Less, связанная с некорректной фильтрацией встроенных последовательностей ANSI при обработке элемента -R, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01083 | Уязвимость сценария manage_record.php веб-приложения для создания медицинских справок Medical Certificate Generator App, позволяющая нарушителю выполнить произвольный SQL-код |
| BDU:2023-03510 | Уязвимость веб-интерфейса программного средства администрирования лицензий Cisco Smart Software Manager On-Prem, позволяющего нарушителю выполнить произвольный SQL-код |
| BDU:2023-06093 | Уязвимость микропрограммного обеспечения маршрутизатора Zyxel EMG2926, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06370 | Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения беспроводной точки доступа D-Link DAP-2622, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06534 | Уязвимость реализации протокола связи микропрограммного обеспечения маршрутизаторов ER2000, связанная с внедрением или модификацией аргумента, позволяющая нарушителю выполнить произвольный команды ОС на устройствах |
| BDU:2023-06536 | Уязивмость системы управления контентом Craft CMS, связанная с неправильным контролем генерации кода, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06539 | Уязвимость функции SetSysEmailSettings микропрограммного обеспечения Wi-Fi маршрутизаторов D-Link DIR-X3260, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06540 | Уязвимость функции SetSysEmailSettings микропрограммного обеспечения Wi-Fi маршрутизаторов D-Link DIR-X3260, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольный код |
| BDU:2023-06592 | Уязвимость компонента prog.cgi микропрограммного обеспечения Wi-Fi маршрутизаторов D-Link DIR-X3260, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06593 | Уязвимость службы CLI микропрограммного обеспечения маршрутизаторов D-Link DIR-2150, DIR-1260, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06594 | Уязвимость компонента prog.cgi микропрограммного обеспечения Wi-Fi маршрутизаторов D-Link DIR-X3260, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06642 | Уязвимость плагина Contact Form Generator, предназначенного для создания контактных форм на сайтах WordPress, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2023-06643 | Уязвимость веб-интерфейса файлового сервера Copyparty, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2023-06809 | Уязвимость микропрограммного обеспечения усилителя беспроводного сигнала D-Link DAP-1325, связанная с неверной нейтрализацией особых элементов в выходных данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-07079 | Уязвимость файла /importexport.php микропрограммного обеспечения маршрутизатора D-Link DAR-7000, позволяющая нарушителю выполнить произвольный SQL-код |
| BDU:2023-07080 | Уязвимость файла /log/mailrecvview.php микропрограммного обеспечения маршрутизатора D-Link DAR-7000, позволяющая нарушителю выполнить произвольный SQL-код |
| BDU:2023-07088 | Уязвимость плагина Twittee Text Tweet Plugin системы управления содержимым сайта WordPress, позволяющая нарушителю провести атаку межсайтового скриптинга |
| BDU:2023-07184 | Уязвимость набора инструментов для веб-разработки DevTools браузера Mozilla Firefox и почтового клиента Thunderbird, позволяющая нарушителю выполнить произвольные команды |
| BDU:2023-08046 | Уязвимость модуля WebAssembly программной платформы Node.js, позволяющая нарушителю выполнить произвольные команды |
| BDU:2023-08613 | Уязвимость плагина слайд-шоу с горизонтальной прокруткой изображений Image Horizontal Reel Scroll Slideshow Plugin, существующая из-за непринятия мер по нейтрализации специальных элементов, позволяющая нарушителю выполнить произвольный SQL-запрос |
| BDU:2023-08620 | Уязвимость плагина tagDiv Composer Plugin системы управления содержимым сайта WordPress, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2023-08955 | Уязвимость cредства криптографической защиты OpenSSH, связанная с внедрением или модификацией аргумента, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-00199 | Уязвимость компонента ProxyCommand/ProxyJump библиотеки libssh, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01523 | Уязвимость программного обеспечения по оптимизации приложений Intel Optimization для фреймворка TensorFlow, связанная с неверной нейтрализацией особых элементов в выходных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01572 | Уязвимость компонента runtar.c. программного средства резервного копирования с открытым исходным кодом Advanced Maryland Automatic Network Disk Archiver (Amanda), позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01578 | Уязвимость функции setWizardCfg файла /cgi-bin/cstecgi.cgi компонента shttpd микропрограммного обеспечения маршрутизаторов TOTOLINK X6000R AX3000, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-02264 | Уязвимость пакета excalidraw программной платформы Node.js, связанная с отсутствием мер по очистке входных данных, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS) |
| BDU:2024-02863 | Уязвимость компонента Document Handler системы управления документами ONLYOFFICE Workspace, существующая из-за недостатков шифрования вводимых пользователем данных, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS) |
| BDU:2024-03779 | Уязвимость функции disconnectVPN микропрограммного обеспечения маршрутизаторов TOTOLINK X5000R, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-03924 | Уязвимость функции display_settings программного средства мониторинга сети Cacti, позволяющая нарушителю выполнить межсайтовый скриптинг |
| BDU:2024-03926 | Уязвимость программного обеспечения централизованного управления системами хранения данных PowerProtect Data Domain Management Center, программного средства защиты данных в корпоративной средеPowerProtect Data Protection, программного средства защиты... |
| BDU:2024-03970 | Уязвимость платформы клиентских данных (CDP) Microsoft Dynamics 365 Customer Insights, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2024-03971 | Уязвимость службы для переноса данных из локальной среды Azure Migrate, позволяющая нарушителю осуществить межсайтовую сценарную атаку |
| BDU:2024-04035 | Уязвимость функции NTPSyncWithHost компонента Request Handler микропрограммного обеспечения роутеров TOTOLINK CP450, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04677 | Уязвимость системы аудита безопасности эксплуатации и обслуживания JumpServer, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05706 | Уязвимость микропрограммного обеспечения оборудования Modicon Controllers, позволяющая нарушителю осуществить межсайтовую сценарную атаку |
| BDU:2024-05715 | Уязвимость библиотеки на языке Rust для работы с Git-репозиториями gitoxide, связанная с неверной нейтрализацией особых элементов в выходных данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05948 | Уязвимость компонента Dashboard панели управления программного средства для интеграции приложений IBM App Connect Enterprise, позволяющая нарушителю внедрить произвольный HTML-код |
| BDU:2024-06019 | Уязвимость функции msp_info_htm() файла msp_info.htm микропрограммного обеспечения маршрутизаторов D-Link DI-8100, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-06020 | Уязвимость функции setTelnetCfg службы Telnet микропрограммного обеспечения роутеров TOTOLINK CP900, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-06096 | Уязвимость веб-интерфейса управления операционной системы Cisco AsyncOS системы обеспечения безопасности электронной почты Cisco Secure Email Gateway, позволяющая нарушителю выполнить произвольные системные команды |
| BDU:2024-06105 | Уязвимость программного обеспечения управления изменениями в процессе разработки IBM Rational ClearQuest, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю раскрыть учетные данные в доверенном сеансе |
| BDU:2024-06569 | Уязвимость компонента Content Security Policy браузеров Firefox, Firefox ESR, позволяющая нарушителю осуществлять межсайтовые сценарные атаки |
| BDU:2024-07877 | Уязвимость консоли управления операционных систем Microsoft Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-08656 | Уязвимость реализации технологии Software Guard eXtensions (SGX) процессоров Intel, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-09234 | Уязвимость функции cgi_user_add CGI-скрипта /cgi-bin/account_mgr.cgi?cmd=cgi_user_add микропрограммного обеспечения устройств D-Link DNS-320, DNS-320LW, DNS-325 и DNS-340L, позволяющая нарушителю выполнять произвольные команды |
| BDU:2024-09495 | Уязвимость функции cgi_user_add файла /cgi-bin/account_mgr.cgi?cmd=cgi_user_add микропрограммного обеспечения маршрутизаторов D-Link DNS-320, DNS-320LW, DNS-325 и DNS-340L, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-11622 | Уязвимость обработчика CGI-запросов панели управления хостингом Webmin, позволяющая нарушителю выполнить произвольный код с root-привилегиями |
| BDU:2025-00195 | Уязвимость графических драйверов микропрограммного обеспечения процессоров Intel, связанная с неверной нейтрализацией особых элементов в выходных данных, используемых входящим компонентом, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-01649 | Уязвимость параметра c_only_fields конечной точки REST API /wp-json/learnpress/v1/courses плагина LearnPress системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный SQL-код |
| BDU:2025-02567 | Уязвимость консоли управления операционных систем Windows, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-02929 | Уязвимость класса AuthenticationFilter OLAP-хранилища данных Apache Pinot, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-05428 | Уязвимость планировщика заданий операционной системы Windows, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-08787 | Уязвимость пакетов программ Microsoft SharePoint Server и SharePoint Enterprise Server, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю осуществлять спуфинг-атаки |
| BDU:2025-14526 | Уязвимость компонента crypto/tls языка программирования Go, позволяющая нарушителю раскрыть защищаемую информацию |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2020-11026 | Specially crafted filenames in WordPress leading to XSS |
| CVE-2020-11030 | Cross-site scripting (XSS) in Search block in WordPress |
| CVE-2020-11080 | Denial of service in nghttp2 |
| CVE-2020-36608 | Tribal Systems Zenario CMS Error Log Module admin_organizer.js cross site scripting |
| CVE-2020-36609 | annyshow DuxCMS Article edit cross site scripting |
| CVE-2020-36621 | chedabob whatismyudid mobileconfig.js exports.enrollment cross site scripting |
| CVE-2020-36626 | Modern Tribe Panel Builder Plugin SearchFilter.php add_post_content_filtered_to_search_sql sql injection |
| CVE-2021-4242 | Sapido BR270n/BRC76n/GR297/RB1732 syscmd.htm os command injection |
| CVE-2021-4244 | yikes-inc-easy-mailchimp-extender Plugin add_field_to_form.php cross site scripting |
| CVE-2021-4246 | roxlukas LMeve Login Page sql injection |
| CVE-2021-4251 | as include.cdn.php getFullURL cross site scripting |
| CVE-2021-4252 | WP-Ban ban-options.php toggle_checkbox cross site scripting |
| CVE-2021-4253 | ctrlo lenio Ticket Lenio.pm cross site scripting |
| CVE-2021-4254 | ctrlo lenio Notice main.tt cross site scripting |
| CVE-2021-4255 | ctrlo lenio contractor.tt cross site scripting |
| CVE-2021-4256 | ctrlo lenio index.tt cross site scripting |
| CVE-2021-4257 | ctrlo lenio Task task.tt cross site scripting |
| CVE-2021-4261 | pacman-canvas db-handler.php addHighscore sql injection |
| CVE-2021-4262 | laravel-jqgrid EloquentRepositoryAbstract.php getRows sql injection |
| CVE-2021-4265 | siwapp-ror cross site scripting |
| CVE-2021-4266 | Webdetails cpf DependenciesPackage.java cross site scripting |
| CVE-2021-4267 | tad_discuss cross site scripting |
| CVE-2021-4269 | SimpleRisk common.js checkAndSetValidation cross site scripting |
| CVE-2021-4270 | Imprint CMS ViewHelpers.cs SearchForm cross site scripting |
| CVE-2021-4271 | panicsteve w2wiki Markdown index.php toHTML cross site scripting |
| CVE-2021-4272 | studygolang topics.js cross site scripting |
| CVE-2021-4273 | studygolang search.go Search cross site scripting |
| CVE-2021-4274 | sileht bird-lg layout.html cross site scripting |
| CVE-2022-23004 | Algorithm incorrectly returning error and Invalid unreduced value written to output buffer |
| CVE-2022-3332 | SourceCodester Food Ordering Management System POST Parameter router.php sql injection |
| CVE-2022-3333 | Zephyr Project Manager REST Call cross site scripting |
| CVE-2022-3414 | SourceCodester Web-Based Student Clearance System POST Parameter login.php sql injection |
| CVE-2022-3434 | SourceCodester Web-Based Student Clearance System add-student.php prepare cross site scripting |
| CVE-2022-3442 | Crealogix EBICS ebics.aspx cross site scripting |
| CVE-2022-3452 | SourceCodester Book Store Management System category.php cross site scripting |
| CVE-2022-3453 | SourceCodester Book Store Management System transcation.php cross site scripting |
| CVE-2022-3464 | puppyCMS settings.php cross site scripting |
| CVE-2022-3467 | Jiusi OA hntdCustomDesktopActionContent sql injection |
| CVE-2022-3470 | SourceCodester Human Resource Management System getstatecity.php sql injection |
| CVE-2022-3471 | SourceCodester Human Resource Management System city.php sql injection |
| CVE-2022-3472 | SourceCodester Human Resource Management System city.php sql injection |
| CVE-2022-3473 | SourceCodester Human Resource Management System getstatecity.php sql injection |
| CVE-2022-3492 | SourceCodester Human Resource Management System Profile Photo os command injection |
| CVE-2022-3493 | SourceCodester Human Resource Management System Add Employee cross site scripting |
| CVE-2022-3495 | SourceCodester Simple Online Public Access Catalog Admin Login sql injection |
| CVE-2022-3497 | SourceCodester Human Resource Management System Master List cross site scripting |
| CVE-2022-3502 | Human Resource Management System Leave cross site scripting |
| CVE-2022-3503 | SourceCodester Purchase Order Management System Supplier cross site scripting |
| CVE-2022-3504 | SourceCodester Sanitization Management System sql injection |
| CVE-2022-3505 | SourceCodester Sanitization Management System cross site scripting |
| CVE-2022-3518 | SourceCodester Sanitization Management System User Creation cross site scripting |
| CVE-2022-3519 | SourceCodester Sanitization Management System Quote Requests Tab cross site scripting |
| CVE-2022-3546 | SourceCodester Simple Cold Storage Management System Create User cross site scripting |
| CVE-2022-3547 | SourceCodester Simple Cold Storage Management System Setting cross site scripting |
| CVE-2022-3548 | SourceCodester Simple Cold Storage Management System Add New Storage cross site scripting |
| CVE-2022-3579 | SourceCodester Cashier Queuing System Login Page login.php sql injection |
| CVE-2022-3580 | SourceCodester Cashier Queuing System User Creation cross site scripting |
| CVE-2022-3581 | SourceCodester Cashier Queuing System Cashiers Tab cross site scripting |
| CVE-2022-3583 | SourceCodester Canteen Management System login.php sql injection |
| CVE-2022-3584 | SourceCodester Canteen Management System edituser.php sql injection |
| CVE-2022-3587 | SourceCodester Simple Cold Storage Management System My Account cross site scripting |
| CVE-2022-3672 | SourceCodester Sanitization Management System SystemSettings.php cross site scripting |
| CVE-2022-3673 | SourceCodester Sanitization Management System Master.php cross site scripting |
| CVE-2022-3704 | Ruby on Rails _table.html.erb cross site scripting |
| CVE-2022-3714 | SourceCodester Online Medicine Ordering System sql injection |
| CVE-2022-3716 | SourceCodester Online Medicine Ordering System cross site scripting |
| CVE-2022-3729 | seccome Ehoney attack sql injection |
| CVE-2022-3730 | seccome Ehoney falco sql injection |
| CVE-2022-3731 | seccome Ehoney token sql injection |
| CVE-2022-3732 | seccome Ehoney set sql injection |
| CVE-2022-3733 | SourceCodester Web-Based Student Clearance System edit-admin.php sql injection |
| CVE-2022-3783 | node-red-dashboard ui_text Format ui-component-ctrl.js cross site scripting |
| CVE-2022-3789 | Tim Campus Confession Wall share.php sql injection |
| CVE-2022-3798 | IBAX go-ibax tablesInfo sql injection |
| CVE-2022-3799 | IBAX go-ibax tablesInfo sql injection |
| CVE-2022-3800 | IBAX go-ibax rowsInfo sql injection |
| CVE-2022-3801 | IBAX go-ibax rowsInfo sql injection |
| CVE-2022-3802 | IBAX go-ibax rowsInfo sql injection |
| CVE-2022-3803 | eolinker apinto-dashboard cross site scripting |
| CVE-2022-3804 | eolinker apinto-dashboard login cross site scripting |
| CVE-2022-3825 | Huaxia ERP User Management sql injection |
| CVE-2022-3827 | centreon Contact Groups Form formContactGroup.php sql injection |
| CVE-2022-3845 | phpipam Import Preview import-load-data.php cross site scripting |
| CVE-2022-3868 | SourceCodester Sanitization Management System sql injection |
| CVE-2022-3877 | Click Studios Passwordstate URL Field cross site scripting |
| CVE-2022-3878 | Maxon ERP browse_data sql injection |
| CVE-2022-3941 | Activity Log Plugin HTTP Header neutralization for logs |
| CVE-2022-3942 | SourceCodester Sanitization Management System cross site scripting |
| CVE-2022-3943 | ForU CMS cms_chip.php cross site scripting |
| CVE-2022-3947 | eolinker goku_lite list sql injection |
| CVE-2022-3948 | eolinker goku_lite getList sql injection |
| CVE-2022-3949 | Sourcecodester Simple Cashiering System User Account cross site scripting |
| CVE-2022-3950 | sanluan PublicCMS Tab dwz.min.js initLink cross site scripting |
| CVE-2022-3955 | tholum crm42 Login class.user.php sql injection |
| CVE-2022-3956 | tsruban HHIMS Patient Portrait sql injection |
| CVE-2022-3963 | gnuboard5 FAQ Key ID faq.php cross site scripting |
| CVE-2022-3967 | Vesta Control Panel sed main.sh argument injection |
| CVE-2022-3968 | emlog article_save.php cross site scripting |
| CVE-2022-3971 | matrix-appservice-irc PgDataStore.ts sql injection |
| CVE-2022-3972 | Pingkon HMS-PHP adminlogin.php sql injection |
| CVE-2022-3973 | Pingkon HMS-PHP Data Pump Metadata admin.php sql injection |
| CVE-2022-3975 | NukeViet CMS Data URL Request.php filterAttr cross site scripting |
| CVE-2022-3988 | Frappe Search navbar_search.html cross site scripting |
| CVE-2022-3992 | SourceCodester Sanitization Management System Banner Image cross site scripting |
| CVE-2022-3997 | MonikaBrzica scm upis_u_bazu.php sql injection |
| CVE-2022-3998 | MonikaBrzica scm uredi_korisnika.php sql injection |
| CVE-2022-4011 | Simple History Plugin Header neutralization for logs |
| CVE-2022-4012 | Hospital Management Center patient-info.php sql injection |
| CVE-2022-4015 | Sports Club Management System make_payments.php sql injection |
| CVE-2022-4051 | Hostel Searching Project view-property.php sql injection |
| CVE-2022-4052 | Student Attendance Management System createClass.php sql injection |
| CVE-2022-4053 | Student Attendance Management System createClass.php cross site scripting |
| CVE-2022-4064 | Dalli Meta Protocol request_formatter.rb self.meta_set injection |
| CVE-2022-4088 | rickxy Stock Management System processlogin.php sql injection |
| CVE-2022-4089 | rickxy Stock Management System processlogin.php cross site scripting |
| CVE-2022-4091 | SourceCodester Canteen Management System food.php query cross site scripting |
| CVE-2022-4222 | SourceCodester Canteen Management System POST Request ajax_invoice.php query sql injection |
| CVE-2022-4233 | SourceCodester Event Registration System cross site scripting |
| CVE-2022-4234 | SourceCodester Canteen Management System brand.php builtin_echo cross site scripting |
| CVE-2022-4247 | Movie Ticket Booking System booking.php sql injection |
| CVE-2022-4248 | Movie Ticket Booking System editBooking.php sql injection |
| CVE-2022-4249 | Movie Ticket Booking System POST Request cross site scripting |
| CVE-2022-4250 | Movie Ticket Booking System booking.php cross site scripting |
| CVE-2022-4251 | Movie Ticket Booking System editBooking.php cross site scripting |
| CVE-2022-4252 | SourceCodester Canteen Management System categories.php builtin_echo cross site scripting |
| CVE-2022-4253 | SourceCodester Canteen Management System customer.php builtin_echo cross site scripting |
| CVE-2022-4257 | C-DATA Web Management System GET Parameter jumpto.php argument injection |
| CVE-2022-4274 | House Rental System view-property.php sql injection |
| CVE-2022-4275 | House Rental System POST Request search-property.php sql injection |
| CVE-2022-4277 | Shaoxing Background Management System Bd sql injection |
| CVE-2022-4278 | SourceCodester Human Resource Management System employeeadd.php sql injection |
| CVE-2022-4279 | SourceCodester Human Resource Management System employeeview.php cross site scripting |
| CVE-2022-4282 | SpringBootCMS Template Management injection |
| CVE-2022-4300 | FastCMS Template edit injection |
| CVE-2022-4322 | maku-boot Scheduled Task AbstractScheduleJob.java doExecute injection |
| CVE-2022-4341 | csliuwy coder-chain_gdut cross site scripting |
| CVE-2022-4347 | xiandafu beetl-bbs WebUtils.java cross site scripting |
| CVE-2022-4348 | y_project RuoYi-Cloud JSON cross site scripting |
| CVE-2022-4350 | Mingsoft MCMS search.do cross site scripting |
| CVE-2022-4353 | LinZhaoguan pb-cms IpUtil.getIpAddr cross site scripting |
| CVE-2022-4354 | LinZhaoguan pb-cms Message Board comment cross site scripting |
| CVE-2022-4364 | Teledyne FLIR AX8 Web Service palette.php command injection |
| CVE-2022-4375 | Mingsoft MCMS list sql injection |
| CVE-2022-4377 | S-CMS Contact Information Page cross site scripting |
| CVE-2022-4396 | RDFlib pyrdfa3 __init__.py _get_option cross site scripting |
| CVE-2022-4399 | TicklishHoneyBee nodau db.c sql injection |
| CVE-2022-4400 | zbl1996 FS-Blog Title cross site scripting |
| CVE-2022-4401 | pallidlight online-course-selection-system cross site scripting |
| CVE-2022-4403 | SourceCodester Canteen Management System ajax_represent.php sql injection |
| CVE-2022-4416 | RainyGao DocSys getReposAllUsers.do getReposAllUsers sql injection |
| CVE-2022-4421 | rAthena FluxCP Service Desk Image URL view.php cross site scripting |
| CVE-2022-4444 | ipti br.tag cross site scripting |
| CVE-2022-4454 | m0ver bible-online Search search.java query sql injection |
| CVE-2022-4455 | sproctor php-calendar index.php cross site scripting |
| CVE-2022-4456 | falling-fruit cross site scripting |
| CVE-2022-4513 | European Environment Agency eionet.contreg cross site scripting |
| CVE-2022-4514 | Opencaching Deutschland oc-server3 varset.inc.php cross site scripting |
| CVE-2022-4520 | WSO2 carbon-registry Advanced Search advancedSearchForm-ajaxprocessor.jsp cross site scripting |
| CVE-2022-4522 | CalendarXP cross site scripting |
| CVE-2022-4523 | vexim2 cross site scripting |
| CVE-2022-4526 | django-photologue Default Template photo_detail.html cross site scripting |
| CVE-2022-4556 | Alinto SOGo Identity SOGoUserDefaults.m _migrateMailIdentities cross site scripting |
| CVE-2022-4558 | Alinto SOGo Folder/Mail NSString+Utilities.m cross site scripting |
| CVE-2022-4559 | INEX IPX-Manager list.foil.php cross site scripting |
| CVE-2022-4561 | SemanticDrilldown Extension GET Parameter SDBrowseDataPage.php printFilterLine cross site scripting |
| CVE-2022-4566 | y_project RuoYi GenController sql injection |
| CVE-2022-4581 | 1j01 mind-map app.coffee cross site scripting |
| CVE-2022-4582 | starter-public-edition-4 cross site scripting |
| CVE-2022-4585 | Opencaching Deutschland oc-server3 Cookie start.tpl cross site scripting |
| CVE-2022-4586 | Opencaching Deutschland oc-server3 Cachelist cachelists.tpl cross site scripting |
| CVE-2022-4587 | Opencaching Deutschland oc-server3 Login Page login.tpl cross site scripting |
| CVE-2022-4590 | mschaef toto Todo List cross site scripting |
| CVE-2022-4591 | mschaef toto Email Parameter cross site scripting |
| CVE-2022-4592 | luckyshot CRMx index.php commentdelete sql injection |
| CVE-2022-4593 | retra-system cross site scripting |
| CVE-2022-4595 | django-openipam exposed_hosts.html cross site scripting |
| CVE-2022-4596 | Shoplazza Add Blog Post cross site scripting |
| CVE-2022-4597 | Shoplazza LifeStyle Create Product v2_products cross site scripting |
| CVE-2022-4598 | Shoplazza LifeStyle Announcement cross site scripting |
| CVE-2022-4599 | Shoplazza LifeStyle Product cross site scripting |
| CVE-2022-4600 | Shoplazza LifeStyle Product Carousel cross site scripting |
| CVE-2022-4601 | Shoplazza LifeStyle Shipping/Member Discount/Icon cross site scripting |
| CVE-2022-4602 | Shoplazza LifeStyle Review Flow cross site scripting |
| CVE-2022-4631 | WP-Ban ban-options.php cross site scripting |
| CVE-2022-4638 | collective.contact.widget widgets.py title cross site scripting |
| CVE-2022-4640 | Mingsoft MCMS Article save cross site scripting |
| CVE-2022-4642 | tatoeba2 Profile Name cross site scripting |
| CVE-2022-4726 | SourceCodester Sanitization Management System Admin Login sql injection |
| CVE-2022-4727 | OpenMRS Appointment Scheduling Module Notes AppointmentRequest.java getNotes cross site scripting |
| CVE-2022-4728 | Graphite Web Cookie cross site scripting |
| CVE-2022-4729 | Graphite Web Template Name cross site scripting |
| CVE-2022-4730 | Graphite Web Absolute Time Range cross site scripting |
| CVE-2023-42773 | Improper neutralization in Intel(R) Power Gadget software for Windows all versions may allow an authenticated user to potenti... |
| CVE-2023-46689 | Improper neutralization in Intel(R) Power Gadget software for macOS all versions may allow an authenticated user to potential... |
| CVE-2024-10700 | code-projects University Event Management System submit.php sql injection |
| CVE-2024-10752 | Codezips Pet Shop Management System productsadd.php sql injection |
| CVE-2024-10768 | PHPGurukul Online Shopping Portal two_tables.php cross site scripting |
| CVE-2024-10791 | Codezips Hospital Appointment System doctorAction.php sql injection |
| CVE-2024-10805 | code-projects University Event Management System doedit.php sql injection |
| CVE-2024-10806 | PHPGurukul Hospital Management System betweendates-detailsreports.php cross site scripting |
| CVE-2024-10807 | PHPGurukul Hospital Management System search.php cross site scripting |
| CVE-2024-10808 | code-projects E-Health Care System req_detail.php sql injection |
| CVE-2024-10809 | code-projects E-Health Care System chat.php sql injection |
| CVE-2024-10810 | code-projects E-Health Care System app_request.php sql injection |
| CVE-2024-10840 | romadebrian WEB-Sekolah Backend akun_edit.php cross site scripting |
| CVE-2024-10841 | romadebrian WEB-Sekolah Mail Proses_Kirim.php sql injection |
| CVE-2024-10842 | romadebrian WEB-Sekolah Backend Proses_Edit_Akun.php cross site scripting |
| CVE-2024-10844 | 1000 Projects Bookstore Management System search.php sql injection |
| CVE-2024-10845 | 1000 Projects Bookstore Management System book_detail.php sql injection |
| CVE-2024-10914 | D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection |
| CVE-2024-10915 | D-Link DNS-320/DNS-320LW/DNS-325/DNS-340L account_mgr.cgi cgi_user_add os command injection |
| CVE-2024-43572 | Microsoft Management Console Remote Code Execution Vulnerability |
| CVE-2024-9324 | Intelbras InControl Relatório de Operadores Page operador code injection |
| CVE-2025-0697 | Telstra Smart Modem Gen 2 HTTP Header injection |
| CVE-2025-11445 | Kilo Code Prompt ClineProvider.ts ClineProvider injection |
| CVE-2025-13268 | Dromara dataCompare JDBC URL DbconfigServiceImpl.java DbConfig injection |
| CVE-2025-1611 | ShopXO Template ThemeAdminService.php injection |
| CVE-2025-24921 | Improper neutralization for some Edge Orchestrator software before version 24.11.1 for Intel(R) Tiber(TM) Edge Platform may a... |
| CVE-2025-26633 | Microsoft Management Console Security Feature Bypass Vulnerability |
| CVE-2025-27712 | Improper neutralization for some Intel(R) Neural Compressor software before version v3.4 within Ring 3: User Applications may... |
| CVE-2025-3804 | thautwarm vscode-diana Jinja2 Template Gen.py injection |
| CVE-2025-3805 | sarrionandia tournatrack Jinja2 Template check_id.py injection |
| CVE-2025-66545 | Nextcloud Groupfolders users with read-only permissions for team folder can restore deleted files from trash bin |
| CVE-2025-9797 | mrvautin expressCart Edit Product edit injection |
| CVE-2026-2954 | Dromara UJCMS ImportDataController import-channel importChanel injection |
| CVE-2026-3813 | opencc JFlow WF_CCForm.java Calculate injection |
| CVE-2026-3992 | CodeGenieApp serverless-express Users Endpoint dynamodb.ts injection |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.