Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-73
CWE-73: External Control of File Name or Path
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2014-00400 | Уязвимость сервера управления IP-адресами NameSurfer, позволяющая злоумышленнику выполнить несанкционированное повышение привилегий в системе |
| BDU:2017-02186 | Уязвимость плагина для веб-браузера программного обеспечения удаленного мониторинга Advantech WebAccess, позволяющая нарушителю выполнить произвольный код |
| BDU:2019-04155 | Уязвимость системы управления ресурсами предприятия Галактика ERP, позволяющая нарушителю получить произвольный файл с сервера или перезаписать произвольный файл фиксированными данными |
| BDU:2020-03735 | Уязвимость программного средства расследования инцидентов безопасности Secdo, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю создавать папки или добавлять данные в корне диска операционной системы для получения систе... |
| BDU:2020-04043 | Уязвимость клиента с интерфейсом командной строки osc инструментов для разработки SUSE Linux Enterprise Software Development Kit, SUSE Linux Enterprise Module for Development Tools, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-05525 | Уязвимость файловой системы программного средства управления сетью IoT Field Network Director, позволяющая нарушителю получить доступ на изменение, добавление или удаление данных |
| BDU:2021-02671 | Уязвимость системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure, программного средства управления сетевыми сервисами Cisco Evolved Programmable Network (EPN) Manager и платформы управления политиками соединений Cisco Iden... |
| BDU:2021-05659 | Уязвимость микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD), связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-06050 | Уязвимость компонента nginx.ingress.kubernetes.io/auth-type контроллера входящего трафика в кластере Kubernetes ingress-nginx, связанная с некорректным внешним управлением именем файла, позволяющая нарушителю получить доступ на создание, изменение ил... |
| BDU:2021-06199 | Уязвимость утилиты F2fs-Tools, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю удалять произвольные файлы |
| BDU:2022-02979 | Уязвимость процесса обновления систем обработки вызовов Cisco Unified Communications Manager (CM) и Cisco Unified Communications Manager Session Management Edition (SME), позволяющая нарушителю записывать произвольные файлы |
| BDU:2022-03971 | Уязвимость модуля nxos_file_copy системы управления конфигурациями Ansible, позволяющая нарушителю выполнить произвольные команды |
| BDU:2022-04246 | Уязвимость реализации команд diagnose и import операционных систем Fireware устройств для обеспечения сетевой безопасности WatchGuard Firebox и XTM, позволяющая нарушителю загружать и скачивать произвольные файлы |
| BDU:2022-04411 | Уязвимость микропрограммного обеспечения коммуникационного модуля OPC UA Modicon Communication Module (BMENUA0100), X80 advanced RTU Communication Module (BMENOR2200H), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-05373 | Уязвимость API-интерфейса микропрограммного обеспечения шлюза Cisco Expressway и микропрограммного обеспечения устройства управления вызовами Cisco TelePresence Video Communication Server, позволяющая нарушителю раскрыть защищаемую информацию и вызва... |
| BDU:2022-07203 | Уязвимость установщика FortiClient.msi средства защиты Fortinet FortiClient for Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-00692 | Уязвимость программного средства управления лицензиями Automation License Manager, связанная с внешним управлением именем, позволяющая нарушителю переименовывать и перемещать файлы как системный пользователь |
| BDU:2023-00722 | Уязвимость службы HTTP/HTTPS операционных систем Juniper Networks Junos, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-00751 | Уязвимость веб-интерфейса платформы для организации безопасности, автоматизации и реагирования Cortex XSOAR, позволяющая нарушителю читать произвольные файлы |
| BDU:2023-00773 | Уязвимость компонента обмена сообщениями модуля загрузки пользовательских файлов системы автоматизации образования Апекс-ВУЗ, позволяющая нарушителю загружать произвольные файлы на сервер |
| BDU:2023-00805 | Уязвимость компонента keyUpload средства управления доступом к сети Fortinet FortiNAC, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-01182 | Уязвимость менеджера паролей TeamPass, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю удалять произвольные файлы |
| BDU:2023-03001 | Уязвимость сценария /model/__lang_msg.php микропрограммного обеспечения маршрутизаторов D-LINK DIR-300, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2023-03896 | Уязвимость программного средства мониторинга состояния и функций маршрутизаторов Advantech R-SeeNet, позволяющая нарушителю получить несанкционированный доступ к локальным файлам |
| BDU:2023-05206 | Уязвимость плагина TinyMCE виртуальной обучающей среды Moodle, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2023-05428 | Уязвимость функции Imagick() (~/includes/mla-stream-image.php) плагина Media Library Assistant системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06579 | Уязвимость функции curl_easy_duphandle библиотеки libcurl, позволяющая нарушителю создать или перезаписать файлы cookie |
| BDU:2023-07457 | Уязвимость файла bitrix/modules/main/classes/general/user_options.php модуля main сервиса для управления бизнесом Битрикс24, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии |
| BDU:2023-07464 | Уязвимость компонента bitrix/modules/crm/lib/order/import/instagram.php модуля crm сервиса для управления бизнесом Битрикс24, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии |
| BDU:2023-07863 | Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR, почтового клиента Mozilla Thunderbird, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защи... |
| BDU:2023-08379 | Уязвимость программы для просмотра электронных документов в стандарте PDF Foxit PDF Reader (ранее Foxit Reader), связанная с ошибками при обработке гипертекстовых ссылок, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-08380 | Уязвимость программы для просмотра электронных документов в стандарте PDF Foxit PDF Reader (ранее Foxit Reader), связанная с ошибками при обработке гипертекстовых ссылок, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-08454 | Уязвимость программного обеспечения для программирования ПЛК Mitsubishi Electric GX Works3, программных средств управления приложениями для промышленных автоматизированных систем MELSOFT iQ AppPortal, MELSOFT Navigator и Motion Control Setting, позво... |
| BDU:2023-08591 | Уязвимость компонента /lib/tinymce/examples/index.html программного обеспечения автоматизации службы поддержки и контроля аппаратного и программного обеспечения SysAid, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и д... |
| BDU:2024-00756 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с ошибками управления именем или путем файла, позволяющая нарушителю получить доступ для чтения к файловой системе |
| BDU:2024-00802 | Уязвимость официального образа для использования при разработке контейнерных приложений Plone Docker, существующая из-за непринятия мер по нейтрализации специальных элементов, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01090 | Уязвимость функций setTemplate(), renderPhp() и path_join() плагина Shield Security - Smart Bot Blocking Intrusion Prevention Security системы управления содержимым сайта WordPress, позволяющая нарушителю загрузить произвольные PHP-файлы |
| BDU:2024-01223 | Уязвимость компонента exportDataObject API программы для просмотра текста Foxit Reader, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-02027 | Уязвимость облачной платформы анализа, организации и управления данными IBM Cloud Pak for Data (CP4D), связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю изменить произвольные файлы или данные в системе |
| BDU:2024-03855 | Уязвимость средства защиты FortiClient for MAC, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03946 | Уязвимость операционной системы PowerScale OneFS, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2024-03965 | Уязвимость функционального пакета Tail-f High Availability Cluster Communications (HCC) программного средства автоматизации Cisco Network Services Orchestrator (NSO), позволяющая нарушителю выполнить произвольный код с root-привилегиями |
| BDU:2024-04031 | Уязвимость функции компонента Firmware Upload Handler системы безопасного управления доступом к IED Siemens RUGGEDCOM CROSSBOW, позволяющая нарушителю загрузить произвольные файлы и выполнить произвольный код |
| BDU:2024-04032 | Уязвимость компонента Firmware Upload Handler системы безопасного управления доступом к IED Siemens RUGGEDCOM CROSSBOW, позволяющая нарушителю загрузить произвольные файлы и выполнить произвольный код |
| BDU:2024-04362 | Уязвимость модуля единого входа в приложения LogPoint SAML (Security Assertion Markup Language) Authentication, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю удалить произвольный файл и вызвать сбой аутен... |
| BDU:2024-04470 | Уязвимость библиотеки анализа и рендеринга файлов векторной графики php-svg-lib, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05382 | Уязвимость службы Microsoft Distributed Transaction Coordinator (MSDTC) операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05750 | Уязвимость компонента Firmware Upload Handler системы безопасного управления доступом к IED Siemens RUGGEDCOM CROSSBOW, позволяющая нарушителю загрузить произвольные файлы и выполнить произвольный код |
| BDU:2024-06606 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с внешним контролем имени файла или пути, позволяющая нарушителю загрузить произвольный PHP-скрипт и перехватить загрузчик плагинов для выполнения этого... |
| BDU:2024-07054 | Уязвимость компонента валидации пакетов операционной системы "Аврора", связанная с отсутствием контроля имен устанавливаемых файлов приложений, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой инф... |
| BDU:2024-07102 | Уязвимость операционных систем Windows, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю получить несанкционированный доступ на изменение содержимого сжатых папок |
| BDU:2024-07693 | Уязвимость почтового клиента Microsoft Outlook для операционных систем Windows связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07993 | Уязвимость конфигурации -Oallow-remote-pkcs11 службы ssh-agent средства криптографической защиты OpenSSH операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-08012 | Уязвимость средства криптографической защиты OpenSSH операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-08013 | Уязвимость средства криптографической защиты OpenSSH операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-09341 | Уязвимость веб-портала Portal for ArcGIS, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-09487 | Уязвимость реализации протокола аутентификации NTLMv2 операционных систем Windows, позволяющая нарушителю реализовать атаку Pass-the-hash |
| BDU:2024-10695 | Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11466 | Уязвимость функции handle_api2_request() интерфейса платформы виртуализации Proxmox Virtual Environmen и средства защиты электронной почты Proxmox Mail Gateway, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2025-00309 | Уязвимость инструмента миграции конфигурации Palo Alto Networks Expedition, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю удалять произвольные файлы |
| BDU:2025-01109 | Уязвимость функций unzip() и untar() библиотеки для глубокого обучения Deep Java Library (DJL), позволяющая нарушителю записывать произвольные файлы |
| BDU:2025-01598 | Уязвимость средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю записывать произвольные файлы |
| BDU:2025-01633 | Уязвимость компонента NTLM Hash операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-01870 | Уязвимость пользовательского интерфейса (UI) операционных систем Windows, позволяющая нарушителю скрыть от пользователей файлы, распакованные из специально сформированного архива |
| BDU:2025-02196 | Уязвимость функции SearchQueryUtils программного средства для управления идентификацией и доступом Keycloak, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-02370 | Уязвимость сервера ArcGIS Server, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02463 | Уязвимость операционной системы PAN-OS, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-02621 | Уязвимость компонента NTLM Hash операционной системы Windows, позволяющая нарушителю проводить спуфинг атаки |
| BDU:2025-02683 | Уязвимость операционной системы PAN-OS, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю удалить произвольные файлы |
| BDU:2025-02760 | Уязвимость реализации протокола NTLM операционной системы Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-02849 | Уязвимость установщика средства защиты FortiClient for MAC, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-04980 | Уязвимость средства управления серверами Windows Admin Center, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-05392 | Уязвимость средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю записывать произвольные файлы |
| BDU:2025-05442 | Уязвимость Защитника Microsoft (Microsoft Defender for Endpoint) операционных систем Linux, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-05444 | Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, программной платформы Microsoft.NET и набора инструментов Build Tools for Visual Studio, связанная с некорректным внешним управлением именем или путем файла, позволяющая... |
| BDU:2025-06673 | Уязвимость реализации протокола WebDAV операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-07082 | Уязвимость антивирусной программы Windows Security App операционной системы Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-07178 | Уязвимость сервера системы наблюдения и ведения записи для устройств AXIS Camera Station Pro, позволяющая нарушителю создать или изменить произвольные файлы |
| BDU:2025-07290 | Уязвимость клиента SLNX PC Client комплекса встраиваемых приложений и инструментов для управления документооборотом RICOH Streamline NX, позволяющая нарушителю перезаписывать произвольные файлы |
| BDU:2025-07429 | Уязвимость механизма обновления системы сбора и анализа событий IBM QRadar SIEM, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-07590 | Уязвимость плагина развертывания программного обеспечения и сети GLPI Inventory, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-08307 | Уязвимость хранилища операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-09216 | Уязвимость операционной системы PAN-OS, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09317 | Уязвимость функции entry_delete_upload_files() плагина Forminator системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-09875 | Уязвимость языка программирования Golang, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-10145 | Уязвимость антивирусной программы Windows Security App операционной системы Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-10351 | Уязвимость веб-интерфейса управления программного средства управления сетевыми сервисами Cisco Evolved Programmable Network Manager и программного средства управления жизненным циклом сетей Cisco Prime Infrastructure, позволяющая нарушителю получить... |
| BDU:2025-10438 | Уязвимость компонента NetNTLMv2 пакета wazuh-agent платформы для мониторинга безопасности и обнаружения угроз Wazuh, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии до уровня system |
| BDU:2025-11094 | Уязвимость программного средства управления серверами и виртуальными машинами Azure Connected Machine Agent, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-11746 | Уязвимость DHCP-сервера с открытым исходным кодом Kea, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю получить доступ на запись произвольных файлов |
| BDU:2025-12997 | Уязвимость программного средства для создания и управления образов виртуальных машин (VM) и контейнеров Azure Compute Gallery, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-12998 | Уязвимость программного средства для создания и управления образов виртуальных машин (VM) и контейнеров Azure Compute Gallery, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-13001 | Уязвимость реализации протокола NTLM операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-13103 | Уязвимость службы обмена данными Data Sharing Service операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-13106 | Уязвимость компонента NTLM Hash операционной системы Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2025-14195 | Уязвимость службы Windows WLAN операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-14420 | Уязвимость сценария getprofile.sh инструмента для мониторинга Nagios XI, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-14827 | Уязвимость модуля SCA (Security Configuration Assessment) компонента Wazuh Agent платформы для мониторинга безопасности и обнаружения угроз Wazuh, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-15501 | Уязвимость драйвера Storage VSP Driver операционных систем Windows, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-15607 | Уязвимость библиотеки доступа к базе данных MySQL aiomysql, связанная с внешним контролем имени файла или пути, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-00398 | Уязвимость реализации протокола NTLM (NT LAN Manager) операционных систем Windows, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2026-00431 | Уязвимость реализации протокола NTLM операционной системы Windows, позволяющая нарушителю проводить спуфинг-атаки |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2011-10030 | Foxit PDF Reader < 4.3.1.0218 JavaScript File Write |
| CVE-2014-125044 | soshtolsus wing-tight index.php file inclusion |
| CVE-2014-125059 | sternenseemann sternenblog main.c blog_index file inclusion |
| CVE-2014-2375 | Ecava IntegraXor SCADA Server External Control of File Name or Path |
| CVE-2018-14820 | Advantech WebAccess 8.3.1 and earlier has a .dll component that is susceptible to external control of file name or path vulne... |
| CVE-2018-17246 | Kibana versions before 6.4.3 and 5.6.13 contain an arbitrary file inclusion flaw in the Console plugin. An attacker with acce... |
| CVE-2018-19945 | Improper Limitation of a Pathname to a Restricted Directory in QTS |
| CVE-2018-7495 | In Advantech WebAccess versions V8.2_20170817 and prior, WebAccess versions V8.3.0 and prior, WebAccess Dashboard versions V.... |
| CVE-2019-14905 | A vulnerability was found in Ansible Engine versions 2.9.x before 2.9.3, 2.8.x before 2.8.8, 2.7.x before 2.7.16 and earlier,... |
| CVE-2019-3681 | osc: stores downloaded (supposed) RPM in network-controlled filesystem paths |
| CVE-2020-15264 | Privilege Escalation in Boxstarter |
| CVE-2020-1631 | Out of Cycle Security Advisory: Junos OS: Security vulnerability in J-Web and web based (HTTP/HTTPS) services |
| CVE-2020-1984 | Secdo: Privilege escalation via hardcoded script path |
| CVE-2020-2003 | PAN-OS: Authenticated administrator can delete arbitrary system file |
| CVE-2020-2008 | PAN-OS: OS command injection or arbitrary file deletion vulnerability |
| CVE-2020-2009 | PAN-OS: Panorama SD WAN arbitrary file creation |
| CVE-2020-2504 | Absolute path traversal vulnerability in QES |
| CVE-2020-25161 | The WADashboard component of WebAccess/SCADA Versions 9.0 and prior may allow an attacker to control or influence a path used... |
| CVE-2020-26078 | Cisco IoT Field Network Director File Overwrite Vulnerability |
| CVE-2020-36772 | CloudLinux CageFS 7.0.8-2 or below insufficiently restricts file paths supplied to the sendmail proxy command. This allows lo... |
| CVE-2020-36868 | Nagios XI < 5.7.3 Privilege escalation via Insecure getprofile.sh Script |
| CVE-2020-5296 | Arbitrary File Deletion vulnerability in OctoberCMS |
| CVE-2020-5297 | Upload whitelisted files to any directory in OctoberCMS |
| CVE-2020-6105 | An exploitable code execution vulnerability exists in the multiple devices functionality of F2fs-Tools F2fs.Fsck 1.13. A spec... |
| CVE-2020-8553 | Kubernetes ingress-nginx Compromise of auth via subset/superset namespace names |
| CVE-2020-9752 | Naver Cloud Explorer before 2.2.2.11 allows the attacker can move a local file in any path on the filesystem as a system priv... |
| CVE-2021-1306 | Cisco ADE-OS Local File Inclusion Vulnerability |
| CVE-2021-21343 | XStream is vulnerable to an Arbitrary File Deletion on the local host when unmarshalling as long as the executing process has... |
| CVE-2021-22539 | Code execution in VSCode-bazel via malicious Bazel config files |
| CVE-2021-24966 | Error Log Viewer Plugin <= 1.1.1 - Admin+ Arbitrary File Clearing |
| CVE-2021-27250 | This vulnerability allows network-adjacent attackers to disclose sensitive information on affected installations of D-Link DA... |
| CVE-2021-34761 | Cisco Firepower Threat Defense Software CLI Arbitrary File Write Vulnerability |
| CVE-2021-3626 | Windows version of Multipass unauthenticated localhost tcp control socket can perform mounts |
| CVE-2021-3845 | External Control of File Name or Path in netristv/ws-scrcpy |
| CVE-2021-38477 | AUVESY Versiondog |
| CVE-2022-0246 | iQ Block Country < 1.2.13 - Admin+ Arbitrary File Deletion via Zip Slip |
| CVE-2022-0593 | Login with phone number < 1.3.7 - Unauthenticated remote plugin deletion |
| CVE-2022-20789 | Cisco Unified Communications Products Arbitrary File Write Vulnerability |
| CVE-2022-23536 | Alertmanager can expose local files content via specially crafted config |
| CVE-2022-2400 | External Control of File Name or Path in dompdf/dompdf |
| CVE-2022-2431 | Download Manager <= 3.2.50 - Authenticated (Contributor+) Arbitrary File Deletion |
| CVE-2022-24900 | Absolute Path Traversal due to incorrect use of `send_file` call in Piano LED Visualizer |
| CVE-2022-2638 | Export All URLs < 4.4 - Admin+ Arbitrary System File Removal |
| CVE-2022-28710 | An information disclosure vulnerability exists in the chunkFile functionality of WWBN AVideo 11.6 and dev master commit 3f7c0... |
| CVE-2022-32761 | An information disclosure vulnerability exists in the aVideoEncoderReceiveImage functionality of WWBN AVideo 11.6 and dev mas... |
| CVE-2022-34669 | NVIDIA GPU Display Driver for Windows contains a vulnerability in the user mode layer, where an unprivileged regular user can... |
| CVE-2022-34765 | A CWE-73: External Control of File Name or Path vulnerability exists that could cause loading of unauthorized firmware images... |
| CVE-2022-39952 | A external control of file name or path in Fortinet FortiNAC versions 9.4.0, 9.2.0 through 9.2.5, 9.1.0 through 9.1.7, 8.8.0... |
| CVE-2022-42732 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2022-42733 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2022-42734 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2022-42891 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2022-42893 | A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). syngo Dynamics application server hosts a... |
| CVE-2022-43513 | A vulnerability has been identified in Automation License Manager V5 (All versions), Automation License Manager V6 (All versi... |
| CVE-2022-4983 | TEC-IT TBarCode SDK 11.15 Remote File Create |
| CVE-2023-0003 | Cortex XSOAR: Local File Disclosure Vulnerability in the Cortex XSOAR Server |
| CVE-2023-0008 | PAN-OS: Local File Disclosure Vulnerability in the PAN-OS Web Interface |
| CVE-2023-1070 | External Control of File Name or Path in nilsteampassnet/teampass |
| CVE-2023-1105 | External Control of File Name or Path in flatpressblog/flatpress |
| CVE-2023-20114 | A vulnerability in the file download feature of Cisco Firepower Management Center (FMC) Software could allow an authenticated... |
| CVE-2023-20234 | A vulnerability in the CLI of Cisco FXOS Software could allow an authenticated, local attacker to create a file or overwrite... |
| CVE-2023-2152 | SourceCodester Student Study Center Desk Management System index.php file inclusion |
| CVE-2023-21566 | Visual Studio Elevation of Privilege Vulnerability |
| CVE-2023-21800 | Windows Installer Elevation of Privilege Vulnerability |
| CVE-2023-2554 | External Control of File Name or Path in unilogies/bumsys |
| CVE-2023-26282 | IBM Watson CP4D Data Stores file modificiation |
| CVE-2023-28603 | Zoom VDI client installer prior to 5.14.0 contains an improper access control vulnerability. A malicious user may potential... |
| CVE-2023-29324 | Windows MSHTML Platform Security Feature Bypass Vulnerability |
| CVE-2023-30943 | Moodle: tinymce loaders susceptible to arbitrary folder creation |
| CVE-2023-3256 | Advantech R-SeeNet External Control of File Name or Path |
| CVE-2023-32615 | A file write vulnerability exists in the OAS Engine configuration functionality of Open Automation Software OAS Platform v18.... |
| CVE-2023-34982 | AVEVA Operations Control Logger External Control of File Name or Path |
| CVE-2023-35308 | Windows MSHTML Platform Security Feature Bypass Vulnerability |
| CVE-2023-35384 | Windows HTML Platforms Security Feature Bypass Vulnerability |
| CVE-2023-35985 | An arbitrary file creation vulnerability exists in the Javascript exportDataObject API of Foxit Reader 12.1.3.15356 due to a... |
| CVE-2023-36019 | Microsoft Power Platform Connector Spoofing Vulnerability |
| CVE-2023-3643 | Boss Mini document file inclusion |
| CVE-2023-36634 | An incomplete filtering of one or more instances of special elements vulnerability [CWE-792] in the command line interpreter... |
| CVE-2023-36764 | Microsoft SharePoint Server Elevation of Privilege Vulnerability |
| CVE-2023-39542 | A code execution vulnerability exists in the Javascript saveAs API of Foxit Reader 12.1.3.15356. A specially crafted malforme... |
| CVE-2023-40194 | An arbitrary file creation vulnerability exists in the Javascript exportDataObject API of Foxit Reader 12.1.3.15356 due to mi... |
| CVE-2023-4191 | SourceCodester Resort Reservation System index.php file inclusion |
| CVE-2023-43074 | Dell Unity 5.3 contain(s) an Arbitrary File Creation vulnerability. A remote unauthenticated attacker could potentially expl... |
| CVE-2023-45588 | An external control of file name or path vulnerability [CWE-73] in FortiClientMac version 7.2.3 and below, version 7.0.10 an... |
| CVE-2023-46851 | Apache Allura: sensitive information exposure via import |
| CVE-2023-47147 | IBM Secure Proxy file manipulation |
| CVE-2023-47171 | An information disclosure vulnerability exists in the aVideoEncoder.json.php chunkFile path functionality of WWBN AVideo 11.6... |
| CVE-2023-4749 | SourceCodester Inventory Management System index.php file inclusion |
| CVE-2023-47862 | A local file inclusion vulnerability exists in the getLanguageFromBrowser functionality of WWBN AVideo dev master commit 15fe... |
| CVE-2023-49738 | An information disclosure vulnerability exists in the image404Raw.php functionality of WWBN AVideo dev master commit 15fed957... |
| CVE-2023-49862 | An information disclosure vulnerability exists in the aVideoEncoderReceiveImage.json.php image upload functionality of WWBN A... |
| CVE-2023-49863 | An information disclosure vulnerability exists in the aVideoEncoderReceiveImage.json.php image upload functionality of WWBN A... |
| CVE-2023-49864 | An information disclosure vulnerability exists in the aVideoEncoderReceiveImage.json.php image upload functionality of WWBN A... |
| CVE-2023-5247 | Malicious Code Execution Vulnerability due to External Control of File Name or Path in multiple Mitsubishi Electric FA Engine... |
| CVE-2023-5816 | Code Explorer <= 1.4.5 - Authenticated (Admin+) External File Reading |
| CVE-2023-6569 | External Control of File Name or Path in h2oai/h2o-3 |
| CVE-2023-6618 | SourceCodester Simple Student Attendance System index.php file inclusion |
| CVE-2024-0087 | CVE |
| CVE-2024-0100 | CVE |
| CVE-2024-0265 | SourceCodester Clinic Queuing System GET Parameter index.php file inclusion |
| CVE-2024-0728 | ForU CMS channel.php file inclusion |
| CVE-2024-0849 | Leanote 2.7.0 - Local File Read |
| CVE-2024-10210 | Path traversal in APROL Web Portal |
| CVE-2024-10361 | Arbitrary File Deletion via Path Traversal in danny-avila/librechat |
| CVE-2024-10492 | Keycloak-quarkus-server: keycloak path trasversal |
| CVE-2024-10672 | Multiple Page Generator Plugin – MPG <= 4.0.2 - Authenticated (Editor+) Directory Traversal to Limited File Deletion |
| CVE-2024-10834 | Arbitrary File Write in eosphoros-ai/db-gpt |
| CVE-2024-10902 | Arbitrary File Upload with Path Traversal in eosphoros-ai/db-gpt |
| CVE-2024-11042 | Arbitrary File Delete in invoke-ai/invokeai |
| CVE-2024-11838 | Local File Inclusion |
| CVE-2024-12036 | CS Framework <= 7.1 - Authenticated (Subscriber+) Arbitrary File Read |
| CVE-2024-12058 | External control of a file name in Ivanti Connect Secure before version 22.7R2.6 and Ivanti Policy Secure before version 22.7... |
| CVE-2024-12066 | SMSA Shipping(official) <= 2.2 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2024-12267 | Drag and Drop Multiple File Upload – Contact Form 7 <= 1.3.8.5 - Limited Arbitrary File Deletion |
| CVE-2024-12357 | SourceCodester Best House Rental Management System index.php file inclusion |
| CVE-2024-1243 | Remote code execution and local privilege escalation in Wazuh Windows agent via NetNTLMv2 hash theft |
| CVE-2024-1244 | Remote code execution and local privilege escalation due to UNC access and NetNTLMv2 hash theft |
| CVE-2024-12861 | W2S – Migrate WooCommerce to Shopify <= 1.2.1 - Missing Authorization to Authenticated (Subscriber+) Arbitrary File Read |
| CVE-2024-12875 | Easy Digital Downloads <= 3.3.2 - Authenticated (Admin+) Arbitrary File Download |
| CVE-2024-13922 | Order Export & Order Import for WooCommerce <= 2.6.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrar... |
| CVE-2024-13984 | Qi'anxin TianQing Management Center rptsvr Arbitrary File Upload |
| CVE-2024-1603 | confirmed |
| CVE-2024-20366 | A vulnerability in the Tail-f High Availability Cluster Communications (HCC) function pack of Cisco Crosswork Network Service... |
| CVE-2024-20652 | Windows HTML Platforms Security Feature Bypass Vulnerability |
| CVE-2024-2150 | SourceCodester Insurance Management System file inclusion |
| CVE-2024-2155 | SourceCodester Best POS Management System index.php file inclusion |
| CVE-2024-21870 | A file write vulnerability exists in the OAS Engine Tags Configuration functionality of Open Automation Software OAS Platform... |
| CVE-2024-22178 | A file write vulnerability exists in the OAS Engine Save Security Configuration functionality of Open Automation Software OAS... |
| CVE-2024-22341 | IBM Watson Query on Cloud Pak for Data information disclosure |
| CVE-2024-23317 | External Control of File Name or Path (CWE-73) in the Controller 6000 and Controller 7000 allows an attacker with local acces... |
| CVE-2024-23634 | GeoServer arbitrary file renaming vulnerability in REST Coverage/Data Store API |
| CVE-2024-25117 | php-svg-lib lacks path validation on font through SVG inline styles |
| CVE-2024-25965 | Dell PowerScale OneFS versions 8.2.x through 9.7.0.2 contains an external control of file name or path vulnerability. A local... |
| CVE-2024-25975 | Arbitrary File Overwrite |
| CVE-2024-26185 | Windows Compressed Folder Tampering Vulnerability |
| CVE-2024-27175 | Local File Inclusion |
| CVE-2024-27943 | A vulnerability has been identified in RUGGEDCOM CROSSBOW (All versions < V5.5). The affected systems allow a privileged user... |
| CVE-2024-27944 | A vulnerability has been identified in RUGGEDCOM CROSSBOW (All versions < V5.5). The affected systems allow a privileged user... |
| CVE-2024-27945 | A vulnerability has been identified in RUGGEDCOM CROSSBOW (All versions < V5.5). The bulk import feature of the affected syst... |
| CVE-2024-28826 | Unrestricted upload and download paths in check_sftp |
| CVE-2024-2917 | Campcodes House Rental Management System index.php file inclusion |
| CVE-2024-30265 | Voilà Local file inclusion |
| CVE-2024-31492 | An external control of file name or path vulnerability [CWE-73] in FortiClientMac version 7.2.3 and below, version 7.0.10 an... |
| CVE-2024-37149 | GLPI allows remote code execution through the plugin loader |
| CVE-2024-37295 | Aimeos Core remote code execution in web server context |
| CVE-2024-38029 | Microsoft OpenSSH for Windows Remote Code Execution Vulnerability |
| CVE-2024-38040 | BUG-000167984 - Portal for ArcGIS has a Local file inclusion (LFI) vulnerability |
| CVE-2024-38049 | Windows Distributed Transaction Coordinator Remote Code Execution Vulnerability |
| CVE-2024-38165 | Windows Compressed Folder Tampering Vulnerability |
| CVE-2024-38173 | Microsoft Outlook Remote Code Execution Vulnerability |
| CVE-2024-39303 | Weblate vulnerabler to improper sanitization of project backups |
| CVE-2024-39904 | Code Execution Vulnerability via Local File Path Traversal in Vnote |
| CVE-2024-4230 | External Control of File Name or Path vulnerability in Edgecross Basic Software for Windows versions 1.00 and later and Edgec... |
| CVE-2024-43451 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2024-43581 | Microsoft OpenSSH for Windows Remote Code Execution Vulnerability |
| CVE-2024-43615 | Microsoft OpenSSH for Windows Remote Code Execution Vulnerability |
| CVE-2024-43658 | Using the <redacted> action or <redacted>.sh script, arbitrary files and directories can be deleted using directory traversal... |
| CVE-2024-46909 | WhatsUp Gold WriteDataFile Directory Traversal Remote Code Execution Vulnerability |
| CVE-2024-47265 | Improper limitation of a pathname to a restricted directory ('Path Traversal') vulnerability in encrypted share umount functi... |
| CVE-2024-4818 | Campcodes Online Laundry Management System index.php file inclusion |
| CVE-2024-51553 | Predictable Filename |
| CVE-2024-51961 | Local file inclusion (LFI) vulnerability in ArcGIS Server |
| CVE-2024-5334 | Local File Read in stitionai/devika |
| CVE-2024-5823 | File Overwrite Vulnerability in gaizhenbiao/chuanhuchatgpt |
| CVE-2024-6714 | An issue was discovered in provd before version 0.1.5 with a setuid binary, which allows a local attacker to escalate their p... |
| CVE-2024-6829 | Arbitrary File Overwrite through tarfile-extraction in aimhubio/aim |
| CVE-2024-6937 | formtools.org Form Tools Import Option List edit.php curl_exec file inclusion |
| CVE-2024-7496 | itsourcecode Airline Reservation System index.php file inclusion |
| CVE-2024-7497 | itsourcecode Airline Reservation System index.php file inclusion |
| CVE-2024-7626 | WP Delicious – Recipe Plugin for Food Bloggers (formerly Delicious Recipes) <= 1.6.9 - Improper Path Validation to Authentica... |
| CVE-2024-7744 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') in Progress WS_FTP Server |
| CVE-2024-7911 | SourceCodester Simple Online Bidding System index.php file inclusion |
| CVE-2024-8517 | SPIP Bigup Multipart File Upload OS Command Injection |
| CVE-2024-8524 | Directory Traversal in modelscope/agentscope |
| CVE-2024-8616 | Arbitrary File Overwrite in h2oai/h2o-3 |
| CVE-2024-9142 | Local File Inclusion (LFI) in Olgu Computer Systems' e-Belediye |
| CVE-2024-9275 | jeanmarc77 123solar admin_invt2.php file inclusion |
| CVE-2024-9575 | Local File Inclusion in pretix-widget WordPress plugin |
| CVE-2025-0105 | Expedition: Arbitrary File Deletion Vulnerability |
| CVE-2025-0109 | PAN-OS: Unauthenticated File Deletion Vulnerability on the Management Web Interface |
| CVE-2025-0111 | PAN-OS: Authenticated File Read Vulnerability in the Management Web Interface |
| CVE-2025-0124 | PAN-OS: Authenticated File Deletion Vulnerability on the Management Web Interface |
| CVE-2025-0202 | TCS BaNCS REPORTS_SHOW_FILE.jsp file inclusion |
| CVE-2025-0211 | Campcodes School Faculty Scheduling System index.php file inclusion |
| CVE-2025-0452 | Arbitrary File Deletion in eosphoros-ai/DB-GPT |
| CVE-2025-0630 | Western Telematic Inc NPS Series, DSM Series, CPM Series External Control of File Name or Path |
| CVE-2025-0851 | Path traversal issue in Deep Java Library |
| CVE-2025-10043 | Без описания... |
| CVE-2025-10058 | WP Import – Ultimate CSV XML Importer for WordPress <= 7.27 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2025-10134 | Goza - Nonprofit Charity WordPress Theme <= 3.2.2 - Missing Authorization to Unauthenticated Arbitrary File Deletion |
| CVE-2025-10306 | Backup Bolt <= 1.4.1 - Authenticated (Admin+) Arbitrary File Download |
| CVE-2025-10494 | Motors – Car Dealership & Classified Listings Plugin <= 1.4.89 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2025-1056 | Gee-netics, member of AXIS Camera Station Pro Bug Bounty Program, has identified an issue with a specific file that the serve... |
| CVE-2025-10916 | FormGent < 1.0.4 - Unauthenticated Arbitrary File Deletion |
| CVE-2025-11451 | Auto Amazon Links – Amazon Associates Affiliate Plugin <= 5.4.3 - Unauthenticated Arbitrary File Read |
| CVE-2025-11738 | Media Library Assistant <= 3.29 - Unauthenticated Limited File Read |
| CVE-2025-12137 | Import WP – Export and Import CSV and XML files to WordPress <= 2.14.16 - Authenticated (Admin+) Arbitrary File Read |
| CVE-2025-12915 | 70mai X200 Init Script file inclusion |
| CVE-2025-1730 | Simple Download Counter <= 2.0 - Authenticated (Author+) Arbitrary File Read |
| CVE-2025-1911 | Product Import Export for WooCommerce <= 2.5.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File... |
| CVE-2025-1972 | Export and Import Users and Customers <= 2.6.2 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File... |
| CVE-2025-2004 | Simple WP Events <= 1.8.17 - Unauthenticated Arbitrary File Deletion |
| CVE-2025-20269 | Cisco Evolved Programmable Network Manager and Prime Infrastructure Arbitrary File Download Vulnerability |
| CVE-2025-20614 | External control of file name or path for some Intel(R) CIP software before version WIN_DCA_2.4.0.11001 within Ring 3: User A... |
| CVE-2025-21377 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2025-24054 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2025-2409 | Admin Authorized System File corruption |
| CVE-2025-24996 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2025-26646 | .NET, Visual Studio, and Build Tools for Visual Studio Spoofing Vulnerability |
| CVE-2025-26684 | Microsoft Defender Elevation of Privilege Vulnerability |
| CVE-2025-27137 | Dependency-Track vulnerable to local file inclusion via custom notification templates |
| CVE-2025-27147 | GLPI Inventory plugin has Improper Access Control Vulnerability |
| CVE-2025-29819 | Windows Admin Center in Azure Portal Information Disclosure Vulnerability |
| CVE-2025-2982 | Legrand SMS PowerView file inclusion |
| CVE-2025-29866 | : External Control of File Name or Path vulnerability in TAGFREE X-Free Uploader XFU allows : Parameter Injection.This issue... |
| CVE-2025-29930 | imFAQ allows local file inclusion in seo.php |
| CVE-2025-3103 | CLEVER - HTML5 Radio Player With History - Shoutcast and Icecast - Elementor Widget Addon <= 2.4 - Unauthenticated Arbitrary... |
| CVE-2025-32802 | Insecure handling of file paths allows multiple local attacks |
| CVE-2025-33053 | Internet Shortcut Files Remote Code Execution Vulnerability |
| CVE-2025-33117 | IBM QRadar SIEM command execution |
| CVE-2025-3419 | Event Manager, Events Calendar, Tickets, Registrations – Eventin <= 4.0.26 - Unauthenticated Arbitrary File Read |
| CVE-2025-3431 | ZoomSounds - WordPress Wave Audio Player with Playlist <= 6.91 - Unauthenticated Arbitrary File Download |
| CVE-2025-35053 | Newforma Info Exchange (NIX) arbitrary file read and delete |
| CVE-2025-36506 | External control of file name or path issue exists in RICOH Streamline NX V3 PC Client versions 3.5.0 to 3.242.0. If an attac... |
| CVE-2025-3812 | WPBot Pro Wordpress Chatbot <= 13.6.2 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2025-4602 | eMagicOne Store Manager for WooCommerce <= 1.2.5 - Unauthenticated Arbitrary File Read |
| CVE-2025-4603 | eMagicOne Store Manager for WooCommerce <= 1.2.5 - Unauthenticated Arbitrary File Deletion |
| CVE-2025-46762 | Apache Parquet Java: Potential malicious code execution from trusted packages in the parquet-avro module when reading an Avro... |
| CVE-2025-47956 | Windows Security App Spoofing Vulnerability |
| CVE-2025-48067 | OctoPrint vulnerable to possible file extraction via upload endpoints |
| CVE-2025-48385 | Git alllows arbitrary file writes via bundle-uri parameter injection |
| CVE-2025-48781 | Soar Cloud HRD Human Resource Management System - External Control of File Name or Path |
| CVE-2025-48783 | Soar Cloud HRD Human Resource Management System - External Control of File Name or Path |
| CVE-2025-49138 | HAX CMS vulnerable to Local File Inclusion via saveOutline API Location Parameter |
| CVE-2025-49588 | Linkwarden Local File Inclusion Vulnerability |
| CVE-2025-49760 | Windows Storage Spoofing Vulnerability |
| CVE-2025-53363 | Dpanel has an arbitrary file read vulnerability |
| CVE-2025-53769 | Windows Security App Spoofing Vulnerability |
| CVE-2025-5393 | Alone – Charity Multipurpose Non-profit WordPress Theme <= 7.8.3 - Missing Authorization to Unauthenticated Arbitrary File De... |
| CVE-2025-54780 | glpi-screenshot-plugin exposes local files in /ajax/screenshot.php |
| CVE-2025-54945 | SUNNET Corporate Training Management System - External Control of File Name or Path |
| CVE-2025-55316 | Azure Connected Machine Agent Elevation of Privilege Vulnerability |
| CVE-2025-55746 | Directus allows unauthenticated file upload and file modification due to lacking input sanitization |
| CVE-2025-58158 | Harness Affected by Arbitrary File Write in Gitness LFS server |
| CVE-2025-58762 | Tautulli vulnerable to Authenticated Remote Code Execution via write primitive and `Script` notification agent |
| CVE-2025-58769 | auth0-PHP: Improper File Type Handling in Bulk User Import |
| CVE-2025-59049 | Mockoon has a Path Traversal and LFI in the static file serving endpoint |
| CVE-2025-59185 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2025-59200 | Data Sharing Service Spoofing Vulnerability |
| CVE-2025-59244 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2025-59291 | Confidential Azure Container Instances Elevation of Privilege Vulnerability |
| CVE-2025-59292 | Azure Compute Gallery Elevation of Privilege Vulnerability |
| CVE-2025-59483 | BIG-IP Configuration utility and tmsh vulnerability |
| CVE-2025-59511 | Windows WLAN Service Elevation of Privilege Vulnerability |
| CVE-2025-59516 | Windows Storage VSP Driver Elevation of Privilege Vulnerability |
| CVE-2025-6237 | Path Traversal and Arbitrary File Deletion in invoke-ai/invokeai |
| CVE-2025-62382 | Frigate Vulnerable to Arbitrary File Read via Export Thumbnail "image_path" parameter |
| CVE-2025-62611 | aiomysql allows arbitrary access to client files through vulnerability of a malicious MySQL server |
| CVE-2025-62842 | HBS 3 Hybrid Backup Sync |
| CVE-2025-64486 | calibre is vulnerable to arbitrary code execution when opening FB2 files |
| CVE-2025-6463 | Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.44.2 - Unauthenticated Arbitrary File Deletion Trigg... |
| CVE-2025-64714 | PrivateBin's template-switching feature allows arbitrary local file inclusion through path traversal |
| CVE-2025-64738 | Zoom Workplace for macOS - External Control of File Name or Path |
| CVE-2025-64739 | Zoom Clients - External Control of File Name or Path |
| CVE-2025-66003 | Local users can perform a local root exploit via smb4k mounthelper |
| CVE-2025-66254 | Unauthenticated Arbitrary File Deletion (upgrade_contents.php) |
| CVE-2025-66257 | Unauthenticated Arbitrary File Deletion (patch_contents.php) |
| CVE-2025-66292 | DPanel has an arbitrary file deletion vulnerability in /api/common/attach/delete interface |
| CVE-2025-66449 | ConvertX has Path Traversal that leads to Arbitrary File Write and Arbitrary Code Execution |
| CVE-2025-6691 | SureForms – Drag and Drop Form Builder for WordPress <= 1.7.3 - Unauthenticated Arbitrary File Deletion Triggered via Adminis... |
| CVE-2025-67461 | Zoom Rooms for macOS - External Control of File Name or Path |
| CVE-2025-68155 | @vitejs/plugin-rsc has Arbitrary File Read via `/__vite_rsc_findSourceMapURL` Endpoint on Development |
| CVE-2025-68428 | jsPDF has Local File Inclusion/Path Traversal vulnerability |
| CVE-2025-68478 | Langflow Vulnerable to External Control of File Name or Path |
| CVE-2025-8048 | External Control of File path vulnerability has been discovered on Openext Flipper. |
| CVE-2025-8050 | External Control of File vulnerability has been discovered in opentext Flipper. |
| CVE-2025-8422 | Propovoice <= 1.7.6.7 - Unauthenticated Arbitrary File Read |
| CVE-2025-8998 | It was possible to upload files with a specific name to a temporary directory, which may result in process crashes and impact... |
| CVE-2025-9048 | Wptobe-memberships <= 3.4.2 - Authenticated (Subscriber+) Arbitrary File Deletion |
| CVE-2025-9529 | Campcodes Payroll Management System index.php include file inclusion |
| CVE-2025-9920 | Campcodes Recruitment Management System index.php include file inclusion |
| CVE-2026-20872 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2026-20925 | NTLM Hash Disclosure Spoofing Vulnerability |
| CVE-2026-20931 | Windows Telephony Service Elevation of Privilege Vulnerability |
| CVE-2026-22783 | Iris Allows Arbitrary File Deletion via Mass Assignment in Datastore File Management |
| CVE-2026-23529 | Arbitrary File Read in Google BigQuery Sink connector |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230626-2 | 26.06.2023 | Чтение локальных файлов в Advantech R-SeeNet |
| VULN:20231107-7 | 07.11.2023 | Выполнение произвольного кода в Bitrix24 |
| VULN:20231107-8 | 07.11.2023 | Выполнение произвольного кода в Bitrix24 |
| VULN:20231208-9 | 08.12.2023 | Выполнение произвольного кода в Mitsubishi Electric FA Engineering Software Products |
| VULN:20240426-24 | 26.04.2024 | Чтение локальных файлов в CrushFTP |
| VULN:20240617-72 | 17.06.2024 | Выполнение произвольного кода в Crosswork Network Services Orchestrator |
| VULN:20250317-84 | 17.03.2025 | Получение конфиденциальной информации в Google Chrome |
| VULN:20250618-1 | 18.06.2025 | Выполнение произвольного кода в Microsoft Windows MSHTML |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.