Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-73
External Control of File Name or Path
The product allows user input to control or influence paths or file names that are used in filesystem operations.
| Тип уязвимости: | Не зависит от других уязвимостей |
| Вероятность эксплойта: |
High
|
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2014-00400 | Уязвимость сервера управления IP-адресами NameSurfer, позволяющая злоумышленнику выполнить несанкционированное повышение привилегий в системе |
| BDU:2017-02186 | Уязвимость плагина для веб-браузера программного обеспечения удаленного мониторинга Advantech WebAccess, позволяющая нарушителю выполнить произвольный код |
| BDU:2019-04155 | Уязвимость системы управления ресурсами предприятия Галактика ERP, позволяющая нарушителю получить произвольный файл с сервера или перезаписать произвольный файл фиксированными данными |
| BDU:2020-03735 | Уязвимость программного средства расследования инцидентов безопасности Secdo, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю создавать папки или добавлять данные в корне диска операционной системы для получения систе... |
| BDU:2020-04043 | Уязвимость клиента с интерфейсом командной строки osc инструментов для разработки SUSE Linux Enterprise Software Development Kit, SUSE Linux Enterprise Module for Development Tools, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-05525 | Уязвимость файловой системы программного средства управления сетью IoT Field Network Director, позволяющая нарушителю получить доступ на изменение, добавление или удаление данных |
| BDU:2021-02671 | Уязвимость системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure, программного средства управления сетевыми сервисами Cisco Evolved Programmable Network (EPN) Manager и платформы управления политиками соединений Cisco Iden... |
| BDU:2021-05659 | Уязвимость микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD), связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-06050 | Уязвимость компонента nginx.ingress.kubernetes.io/auth-type контроллера входящего трафика в кластере Kubernetes ingress-nginx, связанная с некорректным внешним управлением именем файла, позволяющая нарушителю получить доступ на создание, изменение ил... |
| BDU:2021-06199 | Уязвимость утилиты F2fs-Tools, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю удалять произвольные файлы |
| BDU:2022-02979 | Уязвимость процесса обновления систем обработки вызовов Cisco Unified Communications Manager (CM) и Cisco Unified Communications Manager Session Management Edition (SME), позволяющая нарушителю записывать произвольные файлы |
| BDU:2022-03971 | Уязвимость модуля nxos_file_copy системы управления конфигурациями Ansible, позволяющая нарушителю выполнить произвольные команды |
| BDU:2022-04246 | Уязвимость реализации команд diagnose и import операционных систем Fireware устройств для обеспечения сетевой безопасности WatchGuard Firebox и XTM, позволяющая нарушителю загружать и скачивать произвольные файлы |
| BDU:2022-04411 | Уязвимость микропрограммного обеспечения коммуникационного модуля OPC UA Modicon Communication Module (BMENUA0100), X80 advanced RTU Communication Module (BMENOR2200H), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05373 | Уязвимость API-интерфейса микропрограммного обеспечения шлюза Cisco Expressway и микропрограммного обеспечения устройства управления вызовами Cisco TelePresence Video Communication Server, позволяющая нарушителю раскрыть защищаемую информацию и вызва... |
| BDU:2022-07203 | Уязвимость установщика FortiClient.msi средства защиты Fortinet FortiClient for Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-00692 | Уязвимость программного средства управления лицензиями Automation License Manager, связанная с внешним управлением именем, позволяющая нарушителю переименовывать и перемещать файлы как системный пользователь |
| BDU:2023-00722 | Уязвимость службы HTTP/HTTPS операционных систем Juniper Networks Junos, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-00751 | Уязвимость веб-интерфейса платформы для организации безопасности, автоматизации и реагирования Cortex XSOAR, позволяющая нарушителю читать произвольные файлы |
| BDU:2023-00773 | Уязвимость компонента обмена сообщениями модуля загрузки пользовательских файлов системы автоматизации образования Апекс-ВУЗ, позволяющая нарушителю загружать произвольные файлы на сервер |
| BDU:2023-00805 | Уязвимость компонента keyUpload средства управления доступом к сети Fortinet FortiNAC, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-01182 | Уязвимость менеджера паролей TeamPass, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю удалять произвольные файлы |
| BDU:2023-03001 | Уязвимость сценария /model/__lang_msg.php микропрограммного обеспечения маршрутизаторов D-LINK DIR-300, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2023-03896 | Уязвимость программного средства мониторинга состояния и функций маршрутизаторов Advantech R-SeeNet, позволяющая нарушителю получить несанкционированный доступ к локальным файлам |
| BDU:2023-05206 | Уязвимость плагина TinyMCE виртуальной обучающей среды Moodle, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2023-05428 | Уязвимость функции Imagick() (~/includes/mla-stream-image.php) плагина Media Library Assistant системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06579 | Уязвимость функции curl_easy_duphandle библиотеки libcurl, позволяющая нарушителю создать или перезаписать файлы cookie |
| BDU:2023-07457 | Уязвимость файла bitrix/modules/main/classes/general/user_options.php модуля main сервиса для управления бизнесом Битрикс24, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии |
| BDU:2023-07464 | Уязвимость компонента bitrix/modules/crm/lib/order/import/instagram.php модуля crm сервиса для управления бизнесом Битрикс24, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии |
| BDU:2023-07863 | Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR, почтового клиента Mozilla Thunderbird, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защи... |
| BDU:2023-08379 | Уязвимость программы для просмотра электронных документов в стандарте PDF Foxit PDF Reader (ранее Foxit Reader), связанная с ошибками при обработке гипертекстовых ссылок, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-08380 | Уязвимость программы для просмотра электронных документов в стандарте PDF Foxit PDF Reader (ранее Foxit Reader), связанная с ошибками при обработке гипертекстовых ссылок, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-08454 | Уязвимость программного обеспечения для программирования ПЛК Mitsubishi Electric GX Works3, программных средств управления приложениями для промышленных автоматизированных систем MELSOFT iQ AppPortal, MELSOFT Navigator и Motion Control Setting, позво... |
| BDU:2023-08591 | Уязвимость компонента /lib/tinymce/examples/index.html программного обеспечения автоматизации службы поддержки и контроля аппаратного и программного обеспечения SysAid, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и д... |
| BDU:2024-00756 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с ошибками управления именем или путем файла, позволяющая нарушителю получить доступ для чтения к файловой системе |
| BDU:2024-00802 | Уязвимость официального образа для использования при разработке контейнерных приложений Plone Docker, существующая из-за непринятия мер по нейтрализации специальных элементов, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01090 | Уязвимость функций setTemplate(), renderPhp() и path_join() плагина Shield Security - Smart Bot Blocking Intrusion Prevention Security системы управления содержимым сайта WordPress, позволяющая нарушителю загрузить произвольные PHP-файлы |
| BDU:2024-01223 | Уязвимость компонента exportDataObject API программы для просмотра текста Foxit Reader, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-02027 | Уязвимость облачной платформы анализа, организации и управления данными IBM Cloud Pak for Data (CP4D), связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю изменить произвольные файлы или данные в системе |
| BDU:2024-03855 | Уязвимость средства защиты FortiClient for MAC, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03946 | Уязвимость операционной системы PowerScale OneFS, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03965 | Уязвимость функционального пакета Tail-f High Availability Cluster Communications (HCC) программного средства автоматизации Cisco Network Services Orchestrator (NSO), позволяющая нарушителю выполнить произвольный код с root-привилегиями |
| BDU:2024-04031 | Уязвимость функции компонента Firmware Upload Handler системы безопасного управления доступом к IED Siemens RUGGEDCOM CROSSBOW, позволяющая нарушителю загрузить произвольные файлы и выполнить произвольный код |
| BDU:2024-04032 | Уязвимость компонента Firmware Upload Handler системы безопасного управления доступом к IED Siemens RUGGEDCOM CROSSBOW, позволяющая нарушителю загрузить произвольные файлы и выполнить произвольный код |
| BDU:2024-04362 | Уязвимость модуля единого входа в приложения LogPoint SAML (Security Assertion Markup Language) Authentication, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю удалить произвольный файл и вызвать сбой аутен... |
| BDU:2024-04470 | Уязвимость библиотеки анализа и рендеринга файлов векторной графики php-svg-lib, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05382 | Уязвимость службы Microsoft Distributed Transaction Coordinator (MSDTC) операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05750 | Уязвимость компонента Firmware Upload Handler системы безопасного управления доступом к IED Siemens RUGGEDCOM CROSSBOW, позволяющая нарушителю загрузить произвольные файлы и выполнить произвольный код |
| BDU:2024-06606 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с внешним контролем имени файла или пути, позволяющая нарушителю загрузить произвольный PHP-скрипт и перехватить загрузчик плагинов для выполнения этого... |
| BDU:2024-07054 | Уязвимость компонента валидации пакетов операционной системы "Аврора", связанная с отсутствием контроля имен устанавливаемых файлов приложений, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой инф... |
| BDU:2024-07102 | Уязвимость операционных систем Windows, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю получить несанкционированный доступ на изменение содержимого сжатых папок |
| BDU:2024-07693 | Уязвимость почтового клиента Microsoft Outlook для операционных систем Windows связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07993 | Уязвимость конфигурации -Oallow-remote-pkcs11 службы ssh-agent средства криптографической защиты OpenSSH операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-08012 | Уязвимость средства криптографической защиты OpenSSH операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-08013 | Уязвимость средства криптографической защиты OpenSSH операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-09341 | Уязвимость веб-портала Portal for ArcGIS, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-09487 | Уязвимость реализации протокола аутентификации NTLMv2 операционных систем Windows, позволяющая нарушителю реализовать атаку Pass-the-hash |
| BDU:2024-10695 | Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11466 | Уязвимость функции handle_api2_request() интерфейса платформы виртуализации Proxmox Virtual Environmen и средства защиты электронной почты Proxmox Mail Gateway, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2025-00309 | Уязвимость инструмента миграции конфигурации Palo Alto Networks Expedition, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю удалять произвольные файлы |
| BDU:2025-01109 | Уязвимость функций unzip() и untar() библиотеки для глубокого обучения Deep Java Library (DJL), позволяющая нарушителю записывать произвольные файлы |
| BDU:2025-01598 | Уязвимость средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю записывать произвольные файлы |
| BDU:2025-01633 | Уязвимость компонента NTLM Hash операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-01870 | Уязвимость пользовательского интерфейса (UI) операционных систем Windows, позволяющая нарушителю скрыть от пользователей файлы, распакованные из специально сформированного архива |
| BDU:2025-02196 | Уязвимость функции SearchQueryUtils программного средства для управления идентификацией и доступом Keycloak, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02370 | Уязвимость сервера ArcGIS Server, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02463 | Уязвимость операционной системы PAN-OS, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-02621 | Уязвимость компонента NTLM Hash операционной системы Windows, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2025-02683 | Уязвимость операционной системы PAN-OS, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю удалить произвольные файлы |
| BDU:2025-02760 | Уязвимость реализации протокола NTLM операционной системы Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-02849 | Уязвимость установщика средства защиты FortiClient for MAC, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-04980 | Уязвимость средства управления серверами Windows Admin Center, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-05392 | Уязвимость средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю записывать произвольные файлы |
| BDU:2025-05442 | Уязвимость Защитника Microsoft (Microsoft Defender for Endpoint) операционных систем Linux, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-05444 | Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, программной платформы Microsoft.NET и набора инструментов Build Tools for Visual Studio, связанная с некорректным внешним управлением именем или путем файла, позволяющая... |
| BDU:2025-06673 | Уязвимость реализации протокола WebDAV операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-07082 | Уязвимость антивирусной программы Windows Security App операционной системы Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-07178 | Уязвимость сервера системы наблюдения и ведения записи для устройств AXIS Camera Station Pro, позволяющая нарушителю создать или изменить произвольные файлы |
| BDU:2025-07290 | Уязвимость клиента SLNX PC Client комплекса встраиваемых приложений и инструментов для управления документооборотом RICOH Streamline NX, позволяющая нарушителю перезаписывать произвольные файлы |
| BDU:2025-07429 | Уязвимость механизма обновления системы сбора и анализа событий IBM QRadar SIEM, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-07590 | Уязвимость плагина развертывания программного обеспечения и сети GLPI Inventory, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-08307 | Уязвимость хранилища операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-09216 | Уязвимость операционной системы PAN-OS, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09317 | Уязвимость функции entry_delete_upload_files() плагина Forminator системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-09875 | Уязвимость языка программирования Golang, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-10145 | Уязвимость антивирусной программы Windows Security App операционной системы Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-10351 | Уязвимость веб-интерфейса управления программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager и программного средства управления жизненным циклом сетей Cisco Prime Infrastructure, позволяющая нарушителю получить... |
| BDU:2025-10438 | Уязвимость компонента NetNTLMv2 пакета wazuh-agent платформы для мониторинга безопасности и обнаружения угроз Wazuh, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии до уровня system |
| BDU:2025-11094 | Уязвимость программного средства управления серверами и виртуальными машинами Azure Connected Machine Agent, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-11746 | Уязвимость DHCP-сервера с открытым исходным кодом Kea, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю получить доступ на запись произвольных файлов |
| BDU:2025-12997 | Уязвимость программного средства для создания и управления образов виртуальных машин (VM) и контейнеров Azure Compute Gallery, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-12998 | Уязвимость программного средства для создания и управления образов виртуальных машин (VM) и контейнеров Azure Compute Gallery, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-13001 | Уязвимость реализации протокола NTLM операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-13103 | Уязвимость службы обмена данными Data Sharing Service операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-13106 | Уязвимость компонента NTLM Hash операционной системы Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-14195 | Уязвимость службы Windows WLAN операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-14420 | Уязвимость сценария getprofile.sh инструмента для мониторинга Nagios XI, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-14827 | Уязвимость модуля SCA (Security Configuration Assessment) компонента Wazuh Agent платформы для мониторинга безопасности и обнаружения угроз Wazuh, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-15501 | Уязвимость драйвера Storage VSP Driver операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-15607 | Уязвимость библиотеки доступа к базе данных MySQL aiomysql, связанная с внешним контролем имени файла или пути, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-00398 | Уязвимость реализации протокола NTLM (NT LAN Manager) операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2026-00431 | Уязвимость реализации протокола NTLM операционной системы Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2026-01808 | Уязвимость реализации протокола NTLM операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2026-02008 | Уязвимость коннектора Kafka Connect BigQuery Connector, связзаная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю раскрыть защищаемую информацию или осуществить SSRF-атаку |
| BDU:2026-02449 | Уязвимость метода loadFile библиотеки для создания PDF-файлов jsPDF, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-02984 | Уязвимость комплекта для разработки программного обеспечения SICAM SIAPP SDK, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю выполнить произвольные команды |
| BDU:2026-02985 | Уязвимость комплекта для разработки программного обеспечения SICAM SIAPP SDK, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-02987 | Уязвимость ядра операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2011-10030 | Foxit PDF Reader < 4.3.1.0218 JavaScript File Write |
| CVE-2014-125044 | soshtolsus wing-tight index.php file inclusion |
| CVE-2014-125059 | sternenseemann sternenblog main.c blog_index file inclusion |
| CVE-2014-2375 | Ecava IntegraXor SCADA Server External Control of File Name or Path |
| CVE-2018-14820 | Advantech WebAccess 8.3.1 and earlier has a .dll component that is susceptible to external control of file name or path vulne... |
| CVE-2018-17246 | Kibana versions before 6.4.3 and 5.6.13 contain an arbitrary file inclusion flaw in the Console plugin. An attacker with acce... |
| CVE-2018-19945 | Improper Limitation of a Pathname to a Restricted Directory in QTS |
| CVE-2018-7495 | In Advantech WebAccess versions V8.2_20170817 and prior, WebAccess versions V8.3.0 and prior, WebAccess Dashboard versions V.... |
| CVE-2019-14905 | A vulnerability was found in Ansible Engine versions 2.9.x before 2.9.3, 2.8.x before 2.8.8, 2.7.x before 2.7.16 and earlier,... |
| CVE-2019-3681 | osc: stores downloaded (supposed) RPM in network-controlled filesystem paths |
| CVE-2020-15264 | Privilege Escalation in Boxstarter |
| CVE-2020-1631 | Out of Cycle Security Advisory: Junos OS: Security vulnerability in J-Web and web based (HTTP/HTTPS) services |
| CVE-2020-1984 | Secdo: Privilege escalation via hardcoded script path |
| CVE-2020-2003 | PAN-OS: Authenticated administrator can delete arbitrary system file |
| CVE-2020-2008 | PAN-OS: OS command injection or arbitrary file deletion vulnerability |
| CVE-2020-2009 | PAN-OS: Panorama SD WAN arbitrary file creation |
| CVE-2020-2504 | Absolute path traversal vulnerability in QES |
| CVE-2020-25161 | The WADashboard component of WebAccess/SCADA Versions 9.0 and prior may allow an attacker to control or influence a path used... |
| CVE-2020-26078 | Cisco IoT Field Network Director File Overwrite Vulnerability |
| CVE-2020-36772 | CloudLinux CageFS 7.0.8-2 or below insufficiently restricts file paths supplied to the sendmail proxy command. This allows lo... |
| CVE-2020-36868 | Nagios XI < 5.7.3 Privilege escalation via Insecure getprofile.sh Script |
| CVE-2020-5296 | Arbitrary File Deletion vulnerability in OctoberCMS |
| CVE-2020-5297 | Upload whitelisted files to any directory in OctoberCMS |
| CVE-2020-6105 | An exploitable code execution vulnerability exists in the multiple devices functionality of F2fs-Tools F2fs.Fsck 1.13. A spec... |
| CVE-2020-8553 | Kubernetes ingress-nginx Compromise of auth via subset/superset namespace names |
| CVE-2020-9752 | Naver Cloud Explorer before 2.2.2.11 allows the attacker can move a local file in any path on the filesystem as a system priv... |
| CVE-2021-1306 | Cisco ADE-OS Local File Inclusion Vulnerability |
| CVE-2021-21343 | XStream is vulnerable to an Arbitrary File Deletion on the local host when unmarshalling as long as the executing process has... |
| CVE-2021-22539 | Code execution in VSCode-bazel via malicious Bazel config files |
| CVE-2021-24966 | Error Log Viewer Plugin <= 1.1.1 - Admin+ Arbitrary File Clearing |
| CVE-2021-27250 | This vulnerability allows network-adjacent attackers to disclose sensitive information on affected installations of D-Link DA... |
| CVE-2021-34761 | Cisco Firepower Threat Defense Software CLI Arbitrary File Write Vulnerability |
| CVE-2021-3626 | Windows version of Multipass unauthenticated localhost tcp control socket can perform mounts |
| CVE-2021-3845 | External Control of File Name or Path in netristv/ws-scrcpy |
| CVE-2021-38477 | AUVESY Versiondog |
| CVE-2022-0246 | iQ Block Country < 1.2.13 - Admin+ Arbitrary File Deletion via Zip Slip |
| CVE-2022-0593 | Login with phone number < 1.3.7 - Unauthenticated remote plugin deletion |
| CVE-2022-20789 | Cisco Unified Communications Products Arbitrary File Write Vulnerability |
| CVE-2022-23536 | Alertmanager can expose local files content via specially crafted config |
| CVE-2022-2400 | External Control of File Name or Path in dompdf/dompdf |
| CVE-2022-2431 | Download Manager <= 3.2.50 - Authenticated (Contributor+) Arbitrary File Deletion |
| CVE-2022-24900 | Absolute Path Traversal due to incorrect use of `send_file` call in Piano LED Visualizer |
| CVE-2022-2638 | Export All URLs < 4.4 - Admin+ Arbitrary System File Removal |
| CVE-2022-28710 | An information disclosure vulnerability exists in the chunkFile functionality of WWBN AVideo 11.6 and dev master commit 3f7c0... |
| CVE-2022-32761 | An information disclosure vulnerability exists in the aVideoEncoderReceiveImage functionality of WWBN AVideo 11.6 and dev mas... |
| CVE-2022-34669 | NVIDIA GPU Display Driver for Windows contains a vulnerability in the user mode layer, where an unprivileged regular user can... |
| CVE-2022-34765 | A CWE-73: External Control of File Name or Path vulnerability exists that could cause loading of unauthorized firmware images... |
| CVE-2022-39952 | A external control of file name or path in Fortinet FortiNAC versions 9.4.0, 9.2.0 through 9.2.5, 9.1.0 through 9.1.7, 8.8.0... |
| CVE-2022-42732 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2022-42733 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2022-42734 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2022-42891 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2022-42893 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2022-43513 | A vulnerability has been identified in Automation License Manager V5 (All versions), Automation License Manager V6 (All versi... |
| CVE-2022-4983 | TEC-IT TBarCode SDK 11.15 Remote File Create |
| CVE-2023-0003 | Cortex XSOAR: Local File Disclosure Vulnerability in the Cortex XSOAR Server |
| CVE-2023-0008 | PAN-OS: Local File Disclosure Vulnerability in the PAN-OS Web Interface |
| CVE-2023-1070 | External Control of File Name or Path in nilsteampassnet/teampass |
| CVE-2023-1105 | External Control of File Name or Path in flatpressblog/flatpress |
| CVE-2023-20114 | A vulnerability in the file download feature of Cisco Firepower Management Center (FMC) Software could allow an authenticated... |
| CVE-2023-20234 | A vulnerability in the CLI of Cisco FXOS Software could allow an authenticated, local attacker to create a file or overwrite... |
| CVE-2023-2152 | SourceCodester Student Study Center Desk Management System index.php file inclusion |
| CVE-2023-21566 | Visual Studio Elevation of Privilege Vulnerability |
| CVE-2023-21800 | Windows Installer Elevation of Privilege Vulnerability |
| CVE-2023-2554 | External Control of File Name or Path in unilogies/bumsys |
| CVE-2023-26282 | IBM Watson CP4D Data Stores file modificiation |
| CVE-2023-28603 | Zoom VDI client installer prior to 5.14.0 contains an improper access control vulnerability. A malicious user may potential... |
| CVE-2023-29324 | Windows MSHTML Platform Security Feature Bypass Vulnerability |
| CVE-2023-30943 | Moodle: tinymce loaders susceptible to arbitrary folder creation |
| CVE-2023-3256 | Advantech R-SeeNet External Control of File Name or Path |
| CVE-2023-32615 | A file write vulnerability exists in the OAS Engine configuration functionality of Open Automation Software OAS Platform v18.... |
| CVE-2023-34982 | AVEVA Operations Control Logger External Control of File Name or Path |
| CVE-2023-35308 | Windows MSHTML Platform Security Feature Bypass Vulnerability |
| CVE-2023-35384 | Windows HTML Platforms Security Feature Bypass Vulnerability |
| CVE-2023-35985 | An arbitrary file creation vulnerability exists in the Javascript exportDataObject API of Foxit Reader 12.1.3.15356 due to a... |
| CVE-2023-36019 | Microsoft Power Platform Connector Spoofing Vulnerability |
| CVE-2023-3643 | Boss Mini document file inclusion |
| CVE-2023-36634 | An incomplete filtering of one or more instances of special elements vulnerability [CWE-792] in the command line interpreter... |
| CVE-2023-36764 | Microsoft SharePoint Server Elevation of Privilege Vulnerability |
| CVE-2023-39542 | A code execution vulnerability exists in the Javascript saveAs API of Foxit Reader 12.1.3.15356. A specially crafted malforme... |
| CVE-2023-40194 | An arbitrary file creation vulnerability exists in the Javascript exportDataObject API of Foxit Reader 12.1.3.15356 due to mi... |
| CVE-2023-4191 | SourceCodester Resort Reservation System index.php file inclusion |
| CVE-2023-43074 | Dell Unity 5.3 contain(s) an Arbitrary File Creation vulnerability. A remote unauthenticated attacker could potentially expl... |
| CVE-2023-45588 | An external control of file name or path vulnerability [CWE-73] in FortiClientMac version 7.2.3 and below, version 7.0.10 an... |
| CVE-2023-46851 | Apache Allura: sensitive information exposure via import |
| CVE-2023-47147 | IBM Secure Proxy file manipulation |
| CVE-2023-47171 | An information disclosure vulnerability exists in the aVideoEncoder.json.php chunkFile path functionality of WWBN AVideo 11.6... |
| CVE-2023-4749 | SourceCodester Inventory Management System index.php file inclusion |
| CVE-2023-47862 | A local file inclusion vulnerability exists in the getLanguageFromBrowser functionality of WWBN AVideo dev master commit 15fe... |
| CVE-2023-49738 | An information disclosure vulnerability exists in the image404Raw.php functionality of WWBN AVideo dev master commit 15fed957... |
| CVE-2023-49862 | An information disclosure vulnerability exists in the aVideoEncoderReceiveImage.json.php image upload functionality of WWBN A... |
| CVE-2023-49863 | An information disclosure vulnerability exists in the aVideoEncoderReceiveImage.json.php image upload functionality of WWBN A... |
| CVE-2023-49864 | An information disclosure vulnerability exists in the aVideoEncoderReceiveImage.json.php image upload functionality of WWBN A... |
| CVE-2023-5247 | Malicious Code Execution Vulnerability due to External Control of File Name or Path in multiple Mitsubishi Electric FA Engine... |
| CVE-2023-5816 | Code Explorer <= 1.4.5 - Authenticated (Admin+) External File Reading |
| CVE-2023-6569 | External Control of File Name or Path in h2oai/h2o-3 |
| CVE-2023-6618 | SourceCodester Simple Student Attendance System index.php file inclusion |
| CVE-2024-0087 | CVE |
| CVE-2024-0100 | CVE |
| CVE-2024-0265 | SourceCodester Clinic Queuing System GET Parameter index.php file inclusion |
| CVE-2024-0728 | ForU CMS channel.php file inclusion |
| CVE-2024-0849 | Leanote 2.7.0 - Local File Read |
| CVE-2024-10210 | Path traversal in APROL Web Portal |
| CVE-2024-10361 | Arbitrary File Deletion via Path Traversal in danny-avila/librechat |
| CVE-2024-10492 | Keycloak-quarkus-server: keycloak path trasversal |
| CVE-2024-10672 | Multiple Page Generator Plugin – MPG <= 4.0.2 - Authenticated (Editor+) Directory Traversal to Limited File Deletion |
| CVE-2024-10834 | Arbitrary File Write in eosphoros-ai/db-gpt |
| CVE-2024-10902 | Arbitrary File Upload with Path Traversal in eosphoros-ai/db-gpt |
| CVE-2024-11042 | Arbitrary File Delete in invoke-ai/invokeai |
| CVE-2024-11838 | Local File Inclusion |
| CVE-2024-12036 | CS Framework <= 7.1 - Authenticated (Subscriber+) Arbitrary File Read |
| CVE-2024-12058 | External control of a file name in Ivanti Connect Secure before version 22.7R2.6 and Ivanti Policy Secure before version 22.7... |
| CVE-2024-12066 | SMSA Shipping(official) <= 2.2 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2024-12267 | Drag and Drop Multiple File Upload – Contact Form 7 <= 1.3.8.5 - Limited Arbitrary File Deletion |
| CVE-2024-12357 | SourceCodester Best House Rental Management System index.php file inclusion |
| CVE-2024-1243 | Remote code execution and local privilege escalation in Wazuh Windows agent via NetNTLMv2 hash theft |
| CVE-2024-1244 | Remote code execution and local privilege escalation due to UNC access and NetNTLMv2 hash theft |
| CVE-2024-12861 | W2S – Migrate WooCommerce to Shopify <= 1.2.1 - Missing Authorization to Authenticated (Subscriber+) Arbitrary File Read |
| CVE-2024-12875 | Easy Digital Downloads <= 3.3.2 - Authenticated (Admin+) Arbitrary File Download |
| CVE-2024-13922 | Order Export & Order Import for WooCommerce <= 2.6.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrar... |
| CVE-2024-13984 | Qi'anxin TianQing Management Center rptsvr Arbitrary File Upload |
| CVE-2024-1603 | confirmed |
| CVE-2024-20366 | A vulnerability in the Tail-f High Availability Cluster Communications (HCC) function pack of Cisco Crosswork Network Service... |
| CVE-2024-20652 | Windows HTML Platforms Security Feature Bypass Vulnerability |
| CVE-2024-2150 | SourceCodester Insurance Management System file inclusion |
| CVE-2024-2155 | SourceCodester Best POS Management System index.php file inclusion |
| CVE-2024-21870 | A file write vulnerability exists in the OAS Engine Tags Configuration functionality of Open Automation Software OAS Platform... |
| CVE-2024-22178 | A file write vulnerability exists in the OAS Engine Save Security Configuration functionality of Open Automation Software OAS... |
| CVE-2024-22341 | IBM Watson Query on Cloud Pak for Data information disclosure |
| CVE-2024-23317 | External Control of File Name or Path (CWE-73) in the Controller 6000 and Controller 7000 allows an attacker with local acces... |
| CVE-2024-23634 | GeoServer arbitrary file renaming vulnerability in REST Coverage/Data Store API |
| CVE-2024-25117 | php-svg-lib lacks path validation on font through SVG inline styles |
| CVE-2024-25965 | Dell PowerScale OneFS versions 8.2.x through 9.7.0.2 contains an external control of file name or path vulnerability. A local... |
| CVE-2024-25975 | Arbitrary File Overwrite |
| CVE-2024-26185 | Windows Compressed Folder Tampering Vulnerability |
| CVE-2024-27175 | Local File Inclusion |
| CVE-2024-27943 | A vulnerability has been identified in RUGGEDCOM CROSSBOW (All versions < V5.5). The affected systems allow a privileged user... |
| CVE-2024-27944 | A vulnerability has been identified in RUGGEDCOM CROSSBOW (All versions < V5.5). The affected systems allow a privileged user... |
| CVE-2024-27945 | A vulnerability has been identified in RUGGEDCOM CROSSBOW (All versions < V5.5). The bulk import feature of the affected syst... |
| CVE-2024-28826 | Unrestricted upload and download paths in check_sftp |
| CVE-2024-2917 | Campcodes House Rental Management System index.php file inclusion |
| CVE-2024-30265 | Voilà Local file inclusion |
| CVE-2024-31492 | An external control of file name or path vulnerability [CWE-73] in FortiClientMac version 7.2.3 and below, version 7.0.10 an... |
| CVE-2024-37149 | GLPI allows remote code execution through the plugin loader |
| CVE-2024-37295 | Aimeos Core remote code execution in web server context |
| CVE-2024-38029 | Microsoft OpenSSH for Windows Remote Code Execution Vulnerability |
| CVE-2024-38040 | BUG-000167984 - Portal for ArcGIS has a Local file inclusion (LFI) vulnerability |
| CVE-2024-38049 | Windows Distributed Transaction Coordinator Remote Code Execution Vulnerability |
| CVE-2024-38165 | Windows Compressed Folder Tampering Vulnerability |
| CVE-2024-38173 | Microsoft Outlook Remote Code Execution Vulnerability |
| CVE-2024-39303 | Weblate vulnerabler to improper sanitization of project backups |
| CVE-2024-39904 | Code Execution Vulnerability via Local File Path Traversal in Vnote |
| CVE-2024-4230 | External Control of File Name or Path vulnerability in Edgecross Basic Software for Windows versions 1.00 and later and Edgec... |
| CVE-2024-43451 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2024-43581 | Microsoft OpenSSH for Windows Remote Code Execution Vulnerability |
| CVE-2024-43615 | Microsoft OpenSSH for Windows Remote Code Execution Vulnerability |
| CVE-2024-43658 | Using the <redacted> action or <redacted>.sh script, arbitrary files and directories can be deleted using directory traversal... |
| CVE-2024-46909 | WhatsUp Gold WriteDataFile Directory Traversal Remote Code Execution Vulnerability |
| CVE-2024-47265 | Improper limitation of a pathname to a restricted directory ('Path Traversal') vulnerability in encrypted share umount functi... |
| CVE-2024-4818 | Campcodes Online Laundry Management System index.php file inclusion |
| CVE-2024-51553 | Predictable Filename |
| CVE-2024-51961 | Local file inclusion (LFI) vulnerability in ArcGIS Server |
| CVE-2024-5334 | Local File Read in stitionai/devika |
| CVE-2024-5823 | File Overwrite Vulnerability in gaizhenbiao/chuanhuchatgpt |
| CVE-2024-6714 | An issue was discovered in provd before version 0.1.5 with a setuid binary, which allows a local attacker to escalate their p... |
| CVE-2024-6829 | Arbitrary File Overwrite through tarfile-extraction in aimhubio/aim |
| CVE-2024-6937 | formtools.org Form Tools Import Option List edit.php curl_exec file inclusion |
| CVE-2024-7496 | itsourcecode Airline Reservation System index.php file inclusion |
| CVE-2024-7497 | itsourcecode Airline Reservation System index.php file inclusion |
| CVE-2024-7626 | WP Delicious – Recipe Plugin for Food Bloggers (formerly Delicious Recipes) <= 1.6.9 - Improper Path Validation to Authentica... |
| CVE-2024-7744 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') in Progress WS_FTP Server |
| CVE-2024-7911 | SourceCodester Simple Online Bidding System index.php file inclusion |
| CVE-2024-8517 | SPIP Bigup Multipart File Upload OS Command Injection |
| CVE-2024-8524 | Directory Traversal in modelscope/agentscope |
| CVE-2024-8616 | Arbitrary File Overwrite in h2oai/h2o-3 |
| CVE-2024-9142 | Local File Inclusion (LFI) in Olgu Computer Systems' e-Belediye |
| CVE-2024-9275 | jeanmarc77 123solar admin_invt2.php file inclusion |
| CVE-2024-9575 | Local File Inclusion in pretix-widget WordPress plugin |
| CVE-2025-0105 | Expedition: Arbitrary File Deletion Vulnerability |
| CVE-2025-0109 | PAN-OS: Unauthenticated File Deletion Vulnerability on the Management Web Interface |
| CVE-2025-0111 | PAN-OS: Authenticated File Read Vulnerability in the Management Web Interface |
| CVE-2025-0124 | PAN-OS: Authenticated File Deletion Vulnerability on the Management Web Interface |
| CVE-2025-0202 | TCS BaNCS REPORTS_SHOW_FILE.jsp file inclusion |
| CVE-2025-0211 | Campcodes School Faculty Scheduling System index.php file inclusion |
| CVE-2025-0452 | Arbitrary File Deletion in eosphoros-ai/DB-GPT |
| CVE-2025-0630 | Western Telematic Inc NPS Series, DSM Series, CPM Series External Control of File Name or Path |
| CVE-2025-0851 | Path traversal issue in Deep Java Library |
| CVE-2025-10043 | Без описания... |
| CVE-2025-10058 | WP Import – Ultimate CSV XML Importer for WordPress <= 7.27 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2025-10134 | Goza - Nonprofit Charity WordPress Theme <= 3.2.2 - Missing Authorization to Unauthenticated Arbitrary File Deletion |
| CVE-2025-10306 | Backup Bolt <= 1.4.1 - Authenticated (Admin+) Arbitrary File Download |
| CVE-2025-10494 | Motors – Car Dealership & Classified Listings Plugin <= 1.4.89 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2025-1056 | Gee-netics, member of AXIS Camera Station Pro Bug Bounty Program, has identified an issue with a specific file that the serve... |
| CVE-2025-10916 | FormGent < 1.0.4 - Unauthenticated Arbitrary File Deletion |
| CVE-2025-11451 | Auto Amazon Links – Amazon Associates Affiliate Plugin <= 5.4.3 - Unauthenticated Arbitrary File Read |
| CVE-2025-11738 | Media Library Assistant <= 3.29 - Unauthenticated Limited File Read |
| CVE-2025-12137 | Import WP – Export and Import CSV and XML files to WordPress <= 2.14.16 - Authenticated (Admin+) Arbitrary File Read |
| CVE-2025-12915 | 70mai X200 Init Script file inclusion |
| CVE-2025-1730 | Simple Download Counter <= 2.0 - Authenticated (Author+) Arbitrary File Read |
| CVE-2025-1911 | Product Import Export for WooCommerce <= 2.5.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File... |
| CVE-2025-1972 | Export and Import Users and Customers <= 2.6.2 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File... |
| CVE-2025-2004 | Simple WP Events <= 1.8.17 - Unauthenticated Arbitrary File Deletion |
| CVE-2025-20269 | Cisco Evolved Programmable Network Manager and Prime Infrastructure Arbitrary File Download Vulnerability |
| CVE-2025-20614 | External control of file name or path for some Intel(R) CIP software before version WIN_DCA_2.4.0.11001 within Ring 3: User A... |
| CVE-2025-21377 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2025-24054 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2025-2409 | Admin Authorized System File corruption |
| CVE-2025-24996 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2025-26646 | .NET, Visual Studio, and Build Tools for Visual Studio Spoofing Vulnerability |
| CVE-2025-26684 | Microsoft Defender Elevation of Privilege Vulnerability |
| CVE-2025-27137 | Dependency-Track vulnerable to local file inclusion via custom notification templates |
| CVE-2025-27147 | GLPI Inventory plugin has Improper Access Control Vulnerability |
| CVE-2025-29819 | Windows Admin Center in Azure Portal Information Disclosure Vulnerability |
| CVE-2025-2982 | Legrand SMS PowerView file inclusion |
| CVE-2025-29866 | : External Control of File Name or Path vulnerability in TAGFREE X-Free Uploader XFU allows : Parameter Injection.This issue... |
| CVE-2025-29930 | imFAQ allows local file inclusion in seo.php |
| CVE-2025-3103 | CLEVER - HTML5 Radio Player With History - Shoutcast and Icecast - Elementor Widget Addon <= 2.4 - Unauthenticated Arbitrary... |
| CVE-2025-32802 | Insecure handling of file paths allows multiple local attacks |
| CVE-2025-33053 | Internet Shortcut Files Remote Code Execution Vulnerability |
| CVE-2025-33117 | IBM QRadar SIEM command execution |
| CVE-2025-3419 | Event Manager, Events Calendar, Tickets, Registrations – Eventin <= 4.0.26 - Unauthenticated Arbitrary File Read |
| CVE-2025-3431 | ZoomSounds - WordPress Wave Audio Player with Playlist <= 6.91 - Unauthenticated Arbitrary File Download |
| CVE-2025-35053 | Newforma Info Exchange (NIX) arbitrary file read and delete |
| CVE-2025-36506 | External control of file name or path issue exists in RICOH Streamline NX V3 PC Client versions 3.5.0 to 3.242.0. If an attac... |
| CVE-2025-3812 | WPBot Pro Wordpress Chatbot <= 13.6.2 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2025-4602 | eMagicOne Store Manager for WooCommerce <= 1.2.5 - Unauthenticated Arbitrary File Read |
| CVE-2025-4603 | eMagicOne Store Manager for WooCommerce <= 1.2.5 - Unauthenticated Arbitrary File Deletion |
| CVE-2025-46762 | Apache Parquet Java: Potential malicious code execution from trusted packages in the parquet-avro module when reading an Avro... |
| CVE-2025-47956 | Windows Security App Spoofing Vulnerability |
| CVE-2025-48067 | OctoPrint vulnerable to possible file extraction via upload endpoints |
| CVE-2025-48385 | Git alllows arbitrary file writes via bundle-uri parameter injection |
| CVE-2025-48781 | Soar Cloud HRD Human Resource Management System - External Control of File Name or Path |
| CVE-2025-48783 | Soar Cloud HRD Human Resource Management System - External Control of File Name or Path |
| CVE-2025-49138 | HAX CMS vulnerable to Local File Inclusion via saveOutline API Location Parameter |
| CVE-2025-49588 | Linkwarden Local File Inclusion Vulnerability |
| CVE-2025-49760 | Windows Storage Spoofing Vulnerability |
| CVE-2025-53363 | Dpanel has an arbitrary file read vulnerability |
| CVE-2025-53769 | Windows Security App Spoofing Vulnerability |
| CVE-2025-5393 | Alone – Charity Multipurpose Non-profit WordPress Theme <= 7.8.3 - Missing Authorization to Unauthenticated Arbitrary File De... |
| CVE-2025-54780 | glpi-screenshot-plugin exposes local files in /ajax/screenshot.php |
| CVE-2025-54945 | SUNNET Corporate Training Management System - External Control of File Name or Path |
| CVE-2025-55316 | Azure Connected Machine Agent Elevation of Privilege Vulnerability |
| CVE-2025-55746 | Directus allows unauthenticated file upload and file modification due to lacking input sanitization |
| CVE-2025-58158 | Harness Affected by Arbitrary File Write in Gitness LFS server |
| CVE-2025-58762 | Tautulli vulnerable to Authenticated Remote Code Execution via write primitive and `Script` notification agent |
| CVE-2025-58769 | auth0-PHP: Improper File Type Handling in Bulk User Import |
| CVE-2025-59049 | Mockoon has a Path Traversal and LFI in the static file serving endpoint |
| CVE-2025-59185 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2025-59200 | Data Sharing Service Spoofing Vulnerability |
| CVE-2025-59244 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2025-59291 | Confidential Azure Container Instances Elevation of Privilege Vulnerability |
| CVE-2025-59292 | Azure Compute Gallery Elevation of Privilege Vulnerability |
| CVE-2025-59483 | BIG-IP Configuration utility and tmsh vulnerability |
| CVE-2025-59511 | Windows WLAN Service Elevation of Privilege Vulnerability |
| CVE-2025-59516 | Windows Storage VSP Driver Elevation of Privilege Vulnerability |
| CVE-2025-6237 | Path Traversal and Arbitrary File Deletion in invoke-ai/invokeai |
| CVE-2025-62382 | Frigate Vulnerable to Arbitrary File Read via Export Thumbnail "image_path" parameter |
| CVE-2025-62611 | aiomysql allows arbitrary access to client files through vulnerability of a malicious MySQL server |
| CVE-2025-62842 | HBS 3 Hybrid Backup Sync |
| CVE-2025-64486 | calibre is vulnerable to arbitrary code execution when opening FB2 files |
| CVE-2025-6463 | Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.44.2 - Unauthenticated Arbitrary File Deletion Trigg... |
| CVE-2025-64712 | Unstructured has Path Traversal via Malicious MSG Attachment that Allows Arbitrary File Write |
| CVE-2025-64714 | PrivateBin's template-switching feature allows arbitrary local file inclusion through path traversal |
| CVE-2025-64738 | Zoom Workplace for macOS - External Control of File Name or Path |
| CVE-2025-64739 | Zoom Clients - External Control of File Name or Path |
| CVE-2025-66003 | Local users can perform a local root exploit via smb4k mounthelper |
| CVE-2025-66254 | Unauthenticated Arbitrary File Deletion (upgrade_contents.php) |
| CVE-2025-66257 | Unauthenticated Arbitrary File Deletion (patch_contents.php) |
| CVE-2025-66292 | DPanel has an arbitrary file deletion vulnerability in /api/common/attach/delete interface |
| CVE-2025-66449 | ConvertX has Path Traversal that leads to Arbitrary File Write and Arbitrary Code Execution |
| CVE-2025-6691 | SureForms – Drag and Drop Form Builder for WordPress <= 1.7.3 - Unauthenticated Arbitrary File Deletion Triggered via Adminis... |
| CVE-2025-67461 | Zoom Rooms for macOS - External Control of File Name or Path |
| CVE-2025-68155 | @vitejs/plugin-rsc has Arbitrary File Read via `/__vite_rsc_findSourceMapURL` Endpoint on Development |
| CVE-2025-68428 | jsPDF has Local File Inclusion/Path Traversal vulnerability |
| CVE-2025-68478 | Langflow Vulnerable to External Control of File Name or Path |
| CVE-2025-8048 | External Control of File path vulnerability has been discovered on Openext Flipper. |
| CVE-2025-8050 | External Control of File vulnerability has been discovered in opentext Flipper. |
| CVE-2025-8422 | Propovoice <= 1.7.6.7 - Unauthenticated Arbitrary File Read |
| CVE-2025-8998 | It was possible to upload files with a specific name to a temporary directory, which may result in process crashes and impact... |
| CVE-2025-9048 | Wptobe-memberships <= 3.4.2 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2025-9529 | Campcodes Payroll Management System index.php include file inclusion |
| CVE-2025-9920 | Campcodes Recruitment Management System index.php include file inclusion |
| CVE-2026-1669 | Arbitrary File Read in Keras via HDF5 External Datasets |
| CVE-2026-20872 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2026-20925 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2026-20931 | Windows Telephony Service Elevation of Privilege Vulnerability |
| CVE-2026-21249 | Windows NTLM Spoofing Vulnerability |
| CVE-2026-22783 | Iris Allows Arbitrary File Deletion via Mass Assignment in Datastore File Management |
| CVE-2026-23521 | Traccar vulnerable to Path Traversal and External Control of File Name or Path |
| CVE-2026-23529 | Arbitrary File Read in Google BigQuery Sink connector |
| CVE-2026-23835 | LobeHub Vulnerable to Improper Authorization in Presigned Upload |
| CVE-2026-24287 | Windows Kernel Elevation of Privilege Vulnerability |
| CVE-2026-25573 | A vulnerability has been identified in SICAM SIAPP SDK (All versions < V2.1.7). The affected application builds shell command... |
| CVE-2026-25605 | A vulnerability has been identified in SICAM SIAPP SDK (All versions < V2.1.7). The affected application performs file deleti... |
| CVE-2026-25628 | Qdrant affected by arbitrary file write via `/logger` endpoint |
| CVE-2026-25636 | calibre has a Path Traversal Leading to Arbitrary File Corruption and Code Execution |
| CVE-2026-25964 | Tandoor Recipes Affected by Authenticated Local File Disclosure (LFD) via Recipe Import leads to Arbitrary File Read |
| CVE-2026-26157 | Busybox: busybox: arbitrary file overwrite and potential code execution via incomplete path sanitization |
| CVE-2026-26158 | Busybox: busybox: arbitrary file modification and privilege escalation via unvalidated tar archive entries |
| CVE-2026-26202 | Penpot has Arbitrary File Read via create-font-variant RPC endpoint |
| CVE-2026-26228 | VLC for Android < 3.7.0 Remote Access Path Traversal |
| CVE-2026-26359 | Dell Unisphere for PowerMax, version(s) 10.2, contain(s) an External Control of File Name or Path vulnerability. A low privil... |
| CVE-2026-26360 | Dell Unisphere for PowerMax, version(s) 10.2, contain(s) an External Control of File Name or Path vulnerability. A low privil... |
| CVE-2026-26361 | Dell Unisphere for PowerMax, version(s) 10.2, contain(s) an External Control of File Name or Path vulnerability. A low privil... |
| CVE-2026-26975 | Music Assistant Server Path Traversal in Playlist Update API Allows Remote Code Execution |
| CVE-2026-27008 | OpenClaw hardened the skill download target directory validation |
| CVE-2026-27115 | ADB Explorer is Vulnerable to Arbitrary Directory Deletion via Command-Line Argument |
| CVE-2026-27211 | Cloud Hypervisor: Host File Exfiltration via QCOW Backing File Abuse |
| CVE-2026-27825 | MCP Atlassian has an arbitrary file write leading to arbitrary code execution via unconstrained download_path in confluence_d... |
| CVE-2026-28286 | ZimaOS: Unauthorized Creation of Files/Folders in Restricted System Directories via API |
| CVE-2026-28442 | ZimaOS: Arbitrary Deletion of Internal System Files via API Path Manipulation |
| CVE-2026-28459 | OpenClaw < 2026.2.12 - Arbitrary File Write via Untrusted sessionFile Path |
| CVE-2026-29611 | OpenClaw < 2026.2.14 - Local File Inclusion via mediaPath Parameter in BlueBubbles Media Handling |
| CVE-2026-30240 | Budibase PWA ZIP Upload Path Traversal Allows Reading Arbitrary Server Files Including All Environment Secrets |
| CVE-2026-30903 | External Control of File Name or Path in the Mail feature of Zoom Workplace for Windows before 6.6.0 may allow an unauthentic... |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230626-2 | 26.06.2023 | Чтение локальных файлов в Advantech R-SeeNet |
| VULN:20231107-7 | 07.11.2023 | Выполнение произвольного кода в Bitrix24 |
| VULN:20231107-8 | 07.11.2023 | Выполнение произвольного кода в Bitrix24 |
| VULN:20231208-9 | 08.12.2023 | Выполнение произвольного кода в Mitsubishi Electric FA Engineering Software Products |
| VULN:20240426-24 | 26.04.2024 | Чтение локальных файлов в CrushFTP |
| VULN:20240617-72 | 17.06.2024 | Выполнение произвольного кода в Crosswork Network Services Orchestrator |
| VULN:20250317-84 | 17.03.2025 | Получение конфиденциальной информации в Google Chrome |
| VULN:20250618-1 | 18.06.2025 | Выполнение произвольного кода в Microsoft Windows MSHTML |
| VULN:20260316-71 | 16.03.2026 | Получение конфиденциальной информации в Zoom Workplace for Windows Mail feature |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.