Каталог уязвимостей - CWE - CWE-732

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

Каталог Справка открывает раздел документации по каталогам.

Уязвимости CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-732

Incorrect Permission Assignment for Critical Resource

The product specifies permissions for a security-critical resource in a way that allows that resource to be read or modified by unintended actors.

Тип уязвимости:	Не зависит от других уязвимостей
Вероятность эксплойта:	High

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2015-03469	Уязвимости операционной системы Debian GNU/Linux, позволяющие локальному злоумышленнику нарушить конфиденциальность защищаемой информации
BDU:2015-06738	Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-06739	Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-06791	Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-06964	Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить целостность и доступность защищаемой информации
BDU:2015-06965	Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить целостность и доступность защищаемой информации
BDU:2015-08478	Уязвимость операционной системы CentOS, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-08479	Уязвимость операционной системы CentOS, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-08806	Уязвимость операционной системы CentOS, позволяющая злоумышленнику нарушить целостность и доступность защищаемой информации
BDU:2015-08807	Уязвимость операционной системы CentOS, позволяющая злоумышленнику нарушить целостность и доступность защищаемой информации
BDU:2015-09402	Уязвимость операционной системы Gentoo Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2017-01547	Уязвимость операционной системы Linux, позволяющая нарушителю считывать или записывать в ячейки памяти ядра
BDU:2019-01545	Уязвимость программного обеспечения для взаимодействия виртуальных машин Linux и FreeBSD с контроллером структуры Azure Windows Azure Linux Agent, связанная с неправильным назначением разрешений для файлов подкачки, позволяющая нарушителю получить не...
BDU:2019-03834	Уязвимость операционной системы JunOS, существующая из-за небезопасных прав доступа к файлам ключей, экспортируемых с помощью команды "run request security pki key-pair export", позволяющая нарушителю получить несанкционированный доступ на чтение и и...
BDU:2019-03859	Уязвимость системы управления базами данных Microsoft SQL Server Management Studio, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю получить доступ к защищаемой информации
BDU:2019-03861	Уязвимость системы управления базами данных Microsoft SQL Server Management Studio, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю получить доступ к защищаемой информации
BDU:2019-04232	Уязвимость реализации команды "pg_upgrade" системы управления базами данных PostgreSQL, позволяющая нарушителю получить доступ к произвольным файлам
BDU:2019-04299	Уязвимость системы для разработки дополнений WebExtensions браузеров Firefox, Firefox ESR, позволяющая нарушителю повысить свои привилегии
BDU:2019-04861	Уязвимость системы управления базами данных IBM DB2, связанная с ошибками управления привилегиями, позволяющая нарушителю повысить свои привилегии
BDU:2020-00612	Уязвимость сервера DNS BIND, связанная с ошибкой управления передачей данных к динамическим зонам (DLZ), позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2020-00817	Уязвимость установщика драйверов Intel NVMe и Intel RSTe, связанная с ошибками управления привилегиями, позволяющая нарушителю повысить свои привилегии
BDU:2020-01074	Уязвимость функции fpregs_state_valid (arch/x86/include/asm/fpu/internal.h) ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
BDU:2020-01472	Уязвимость гипервизора Xen, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2020-01537	Уязвимость системы хранения данных Ceph, связанная с ошибкой процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к ключам шифрования dm-crypt
BDU:2020-01610	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю получить несанкционированный доступ к информации и нарушить ее целостность и доступность
BDU:2020-01611	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01613	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю получить несанкционированный доступ к информации
BDU:2020-01615	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01616	Уязвимость пользовательского интерфейса Chromium браузера Google Chrome, позволяющая нарушителю нарушить целостность данных
BDU:2020-01623	Уязвимость инструментов разработчика браузера Google Chrome, позволяющая нарушителю нарушить целостность данных
BDU:2020-01626	Уязвимость модуля отображения Blink браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01627	Уязвимость модуля отображения Blink браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01628	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01673	Уязвимость инструментов разработчика браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю получить несанкционированный доступ
BDU:2020-01674	Уязвимость адресной строки Omnibox браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01695	Уязвимость браузера Google Chrome, связанная с неправильным назначением прав доступа для критического ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и нарушить ее целостность и доступность
BDU:2020-01704	Уязвимость браузера Google Chrome, связанная с неправильным назначением прав доступа для критического ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и нарушить ее целостность и доступность
BDU:2020-01781	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю получить несанкционированный доступ
BDU:2020-01826	Уязвимость браузера Firefox, связанная с неправильным назначением прав доступа для критического ресурса, позволяющая нарушителю получить несанкционированный доступ к информации
BDU:2020-02517	Уязвимость конфигурации политики приложений межсетевых экранов Cisco Firepower Threat Defense, позволяющая нарушителю получить доступ на чтение данных
BDU:2020-02563	Уязвимость реализации команды getACL() централизованной службы для поддержки информации о конфигурации, именования, обеспечения распределенной синхронизации и предоставления групповых служб Apache ZooKeeper, позволяющая нарушителю раскрыть некоторые...
BDU:2020-02773	Уязвимость служб Connected User Experience и Telemetry Service операционных систем Microsoft Windows, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2020-02868	Уязвимость виртуальной машины Eclipse OpenJ9, связанная с ошибками разграничения доступа к диагностическим операциям, позволяющая нарушителю повысить свои привилегии
BDU:2020-02982	Уязвимость служб Connected User Experience и Telemetry Service операционных систем Microsoft Windows, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2020-02999	Уязвимость веб-браузера Microsoft Edge, связана с недостаточной проверкой присвоения разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2020-03331	Уязвимость клиента системы виртуализации рабочих станций VMware Horizon Client, гипервизоров VMware Remote Console и VMware Workstation для операционных систем Windows, связанная с неправильным назначением разрешений для файлов, позволяющая нарушител...
BDU:2020-03475	Уязвимость функции dev_open() программного пакета для просмотра телевизионных программ на PC LinuxTV Xawtv, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2020-03920	Уязвимость библиотеки управления виртуализацией Libvirt, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2020-04320	Уязвимость средства контроля приложений Управление приложениями в Защитнике Windows (Windows Defender Application Control, WDAC) средства автоматизации PowerShell Core, позволяющая нарушителю выполнить произвольный код
BDU:2020-04323	Уязвимость функции безопасности проектирования файловой системы операционной системы Windows, позволяющая нарушителю удалить целевой файл
BDU:2020-04538	Уязвимость микропрограммного обеспечения серверных плат, серверных систем и вычислительных модулей Intel, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю повысить свои привилегии
BDU:2020-05513	Уязвимость операционной системы Synology Router Manager (SRM), связанная с отсутствием флага "HttpOnly" в файлах cookie сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2020-05656	Уязвимость rbd-драйвера операционной системы Linux, позволяющая нарушителю повысить свои привилегии
BDU:2021-00179	Уязвимость модуля WebExtensions браузера Mozilla Firefox, позволяющая нарушителю повысить свои привилегии
BDU:2021-01423	Уязвимость драйвера SCSI ядра операционных систем Linux, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуж...
BDU:2021-01756	Уязвимость модуля отображения Blink браузера Google Chrome, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2021-01769	Уязвимость компонента debian/sympa.postinst менеджера электронных списков рассылки Sympa, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2021-01902	Уязвимость модуля TLS системы управления конфигурациями и удалённого выполнения операций Salt, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2021-02144	Уязвимость модуля ZRAM ядра операционных систем Linux, Ubuntu и OpenSUSE Leap, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-02413	Уязвимость реализации функции Files.createTempDir() набора Java-библиотек Google Guava, позволяюшая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-02929	Уязвимость антивирусных программных средств Apex One и OfficeScan, связанная с недостаточной проверкой присвоения разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2021-02930	Уязвимость антивирусных программных средств Apex One и OfficeScan, связанная с недостаточной проверкой присвоения разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-03005	Уязвимость VPN-клиента Aviatrix VPN Client, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю выполнить произвольный код
BDU:2021-03013	Уязвимость системы управления базами данных IBM DB2, связанная с неправильным назначением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2021-03188	Уязвимость компонента fs/nfsd/vfs.c ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-03268	Уязвимость компонента portal/patient/_machine_config.php программного обеспечения для управления медицинской организацией OpenEMR, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-03297	Уязвимость распределенной системы управления базами данных Apache Impala, связанная с ошибками при шифровании информации, позволяющая нарушителю повысить свои привилегии
BDU:2021-03387	Уязвимость операционных систем SUSE Linux Enterprise Server и openSUSE Leap, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю запустить демон arpwatch и повысить свои привилегии до уровня root
BDU:2021-04031	Уязвимость программного обеспечения управления кластерами Kubernets Rancher, связанная с ошибками назначения разрешений, позволяющая нарушителю изменять ресурсы в кластере
BDU:2021-04376	Уязвимость менеджера загрузок Adobe Download Manager, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю повысить свои привилегии
BDU:2021-04501	Уязвимость системы безопасности в программном стеке Intel Manycore Platform Software Stack (MPSS), связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2021-04535	Уязвимость модуля pam_shells пакета файлов конфигурации и настройки системы Setup операционных систем Red Hat Enterprise Linux и Fedora, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-04567	Уязвимость диспетчера очереди печати Windows Print Spooler операционных систем Windows, позволяющая нарушителю выполнить произвольный код
BDU:2021-04683	Уязвимость аннотации сервера почтового сервера Cyrus IMAP, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-04850	Уязвимость ядра операционной системы Linux , связанная с недостаточной проверкой присвоения разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-04890	Уязвимость демона InspIRCd, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2021-05344	Уязвимость инструмента для поиска приложений Elastic App Search, связанная с неправильным назначением разрешений, позволяющая нарушителю повысить свои привилегии
BDU:2021-05918	Уязвимость платформы для разработки и доставки контейнерных приложений Docker Desktop for Windows, связанная с неправильным назначением разрешений для файла docker-credential-wincred.exe, позволяющая нарушителю повысить свои привилегии
BDU:2021-06042	Уязвимость командной оболочки UNIX Zsh операционных систем Mac OS, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2021-06323	Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060 и Adam-6050 D, связанная с недостатками процедуры проверок ввода текущего пароля, позволяющая нарушителю получить полный доступ к устройству с привилегии администратора
BDU:2022-00731	Уязвимость компонента /proc/self/setgroups утилиты для управления учетными записями shadow, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю повысить свои привилегии
BDU:2022-01385	Уязвимость приложения для управления персональными файлами EdgeRover, связанная с недостаточной проверкой присвоения разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии или вызвать отказ в обслуживании
BDU:2022-02192	Уязвимость реализации протокола ICMPv4 стека Treck TCP/IP, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2022-02986	Уязвимость обработчика командной строки платформы мониторинга и управления приложениями NGINX Ingress Controller, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-03007	Уязвимость программного средства моделирования участков для роботизации FANUC ROBOGUIDE, связанная с ошибками при назначении разрешений для файлов, позволяющая нарушителю повысить свои привилегии
BDU:2022-03779	Уязвимость компонента Infrastructure программного средства для обработки платежей в режиме реального времени Oracle Banking Payments, позволяющая нарушителю создать, удалить или изменить доступ к критически важным данным, получить доступ на чтение да...
BDU:2022-04164	Уязвимость программного средства редактирования электрических принципиальных схем Xpedition Designer, связана с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслужив...
BDU:2022-04368	Уязвимость программного средства системы энергоменеджмента SIMATIC Energy Manager Basic и SIMATIC Energy Manager PRO, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2022-04690	Уязвимость программного средства системы энергоменеджмента SIMATIC Energy Manager Basic и SIMATIC Energy Manager PRO, связанная с неправильным назначением разрешений для файлов и каталогов, позволяющая нарушителю повысить свои привилегии или выполнит...
BDU:2022-05535	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2022-05827	Уязвимость плагина deref сервера службы каталогов 389 Directory Server, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2022-05974	Уязвимость модуля DBI интерфейса базы данных Perl DBI, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
BDU:2022-06078	Уязвимость интерфейса операционных систем Talos Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2022-06328	Уязвимость компонента управления памятью микропрограммного обеспечения устройства управления конференц-связью Cisco TelePresence Collaboration Endpoint (CE) и операционной системы Cisco RoomOS, позволяющая нарушителю вызвать перезагрузку устройства
BDU:2023-00091	Уязвимость средства управления доступом к сети Fortinet FortiNAC, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным и повысить свои привилегии
BDU:2023-00109	Уязвимость программного средства C-Bus Toolkit, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии или выполнить произвольный код
BDU:2023-00215	Уязвимость среды выполнения контейнеров Containerd, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживани...
BDU:2023-00723	Уязвимость операционных систем Fortinet FortiOS, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить учетные данные для входа на сервер LDAP
BDU:2023-01143	Уязвимость средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager...
BDU:2023-01158	Уязвимость программного обеспечения для онлайн-мониторинга APC Easy UPS Online Monitoring Software, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющее нарушителю повысить свои привилегии
BDU:2023-01720	Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживан...
BDU:2023-01991	Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с ошибками при назначении разрешений для файлов, позволяющая нарушителю выполнить произвольный код
BDU:2023-02013	Уязвимость LDAP-сервера пакета программ сетевого взаимодействия Samba, позволяющая нарушителю удалить атрибут DNS-Host-Name из любого объекта в каталоге
BDU:2023-02089	Уязвимость программного продукта для мониторинга устройств в реальном времени Delta Electronics InfraSuite Device Master, связанная с установкой неправильного разрешения каталога, позволяющая нарушителю повысить свои привилегии
BDU:2023-02395	Уязвимость технологии контейнеризации на основе платформы Docker операционных систем Juniper Networks Junos OS Evolved, позволяющая нарушителю выполнить произвольный код
BDU:2023-02791	Уязвимость платформы интеграции данных Apache InLong ,связанная связана с некорректным контролем идентификаторов ресурсов, позволяющая нарушителю оказать воздействие на целостность и доступность защищаемой информации
BDU:2023-02861	Уязвимость платформы интеграции данных Apache InLong, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и осуществить привязку произвольного кластера
BDU:2023-02883	Уязвимость интерфейса PMBus модуля VRM (Voltage Regulator Module) BMC-контроллеров Supermicro, позволяющая нарушителю физически вывести из строя CPU без возможности его последующего восстановления
BDU:2023-02886	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-03565	Уязвимость интерфейса командной строки (CLI) операционной системы Juniper Networks Junos OS Evolved, позволяющая нарушителю выполнять произвольные команды
BDU:2023-04056	Уязвимость SCADA-системы SIMATIC WinCC, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код или повысить свои привилегии
BDU:2023-04058	Уязвимость многофункциональных измерительных устройств Siemens SICAM Q200, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2023-04297	Уязвимость клиента комплексной защиты конечных точек сети Check Point Endpoint Security, позволяющая нарушителю повысить свои привилегии
BDU:2023-04412	Уязвимость системы управления реляционными базами данных SAP SQL Anywhere, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании или оказать другое воздействие
BDU:2023-04437	Уязвимость службы zenHelpCheck программной платформы управления операционными данными для оптимизации производства ABB Ability zenon, позволяющая нарушителю выполнить произвольный код
BDU:2023-04938	Уязвимость сервера Local Discovery Server (LDS) программного обеспечения Siemens, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2023-05146	Уязвимость инженерного программного обеспечения SICAM TOOLBOX II, позволяющая нарушителю получить доступ к конфиденциальным данным и повысить свои привилегии
BDU:2023-05255	Уязвимость платформы для распределенной разработки и выполнения программ Apache Hadoop , связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю обойти ограничения на доступ к файлам
BDU:2023-05577	Уязвимость интерфейса командной строки операционной системы Cisco FX-OS устройств Cisco серии Firepower 1000, Firepower 2100, Firepower 4100, Firepower 9300 Security Appliances, Secure Firewall 3100 Series, позволяющая нарушителю создать файл или пер...
BDU:2023-05578	Уязвимость cредства управления информационной инфраструктурой Cisco Application Policy Infrastructure Controller, связанная с неправильным присвоением разрешений для критичного ресурса. позволяющая нарушителю читать, изменять или удалять политики дос...
BDU:2023-05761	Уязвимость программного обеспечения Spectrum Power, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии
BDU:2023-06028	Уязвимость программного обеспечения, для управления и мониторинга систем автоматического контроля и защиты Schweitzer Engineering Laboratories SEL-5033 AcSELerator RTAC, позволяющая нарушителю манипулировать данными в конфигурационных файлах
BDU:2023-06230	Уязвимость централизованной системы управления сетью Cisco Catalyst SD-WAN Manager, связанная с недостатками процедуры авторизации, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2023-06853	Уязвимость операционных систем Juniper Networks Junos OS и Juniper Networks Junos OS Evolved, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2023-06971	Уязвимость программного обеспечения автоматизации систем управления электроэнергетическими объектами SICAM PAS/PQS, связанная с неправильным присвоением разрешений для критичного ресурса при проверке запроса на подпись сертификата, позволяющая наруши...
BDU:2023-07040	Уязвимость файла includes/page/Article.php программного средства для реализации гипертекстовой среды MediaWiki, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-07241	Уязвимость корпоративной версии платформы GitHub Enterprise Server, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю получить пароль MySQL
BDU:2023-08251	Уязвимость программной платформы для удаленного контроля и управления зданий Honeywell ProWatch, связанная с ошибками обработка данных, позволяющая нарушителю выполнить произвольный код
BDU:2023-08308	Уязвимость реализации технологии хранения данных Intel Rapid Storage Technology, связанная с ошибками управления привилегиями, позволяющая нарушителю повысить свои привилегии
BDU:2023-08526	Уязвимость облачного хранилища данных CubeFS, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к устройству
BDU:2023-08773	Уязвимость микропрограммного обеспечения контроллеров Phoenix Contact Automation Worx Software Suite, AXC 1050, AXC 1050 XC, AXC 3050, Config+, FC 350 PCI ETH, ILC1x0, ILC1x1, ILC 3xx, PC Worx, PC Worx Express, PC WORX RT BASIC, PC WORX SRT, RFC 430...
BDU:2023-08948	Уязвимость средства программирования и отладки ПЛК-приложений MULTIPROG, встроенной операционной системы ProConOS/ProConOS eCLR, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код...
BDU:2024-00177	Уязвимость сервера связи RSLinx Classic, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2024-00201	Уязвимость компонента Archive Utility операционных систем macOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-00710	Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю удалить произвольные файлы
BDU:2024-00935	Уязвимость SCADA-системы Rapid SCADA, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2024-01086	Уязвимость приложения для синхронизации файлов Qsync Central, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных
BDU:2024-01162	Уязвимость клиента комплексной защиты конечных точек сети Check Point Endpoint Security, позволяющая нарушителю выполнить произвольный код с правами уровня SYSTEM
BDU:2024-01409	Уязвимость компонента correctMkdir пакетного менеджера npm, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2024-01564	Уязвимость веб-интерфейса сервисной платформы FactoryTalk, позволяющая нарушителю повысить свои привилегии
BDU:2024-02308	Уязвимость поискового сервера Apache Solr, связанная с некорректным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2024-02419	Уязвимость агента универсальной системы мониторинга Zabbix, неверным назначением разрешений для критического ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2024-02428	Уязвимость библиотеки управления виртуализацией Libvirt, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2024-02752	Уязвимость расширения PageTriage программного средства для реализации гипертекстовой среды MediaWiki, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-03263	Уязвимость средства антивирусной защиты Check Point ZoneAlarm Extreme Security NextGen и программных средств идентификации Check Point Identity Agent for Windows и Identity Agent for Windows Terminal Server, связанная с неправильным присвоением разре...
BDU:2024-03961	Уязвимость компонента DBTest программного обеспечения для расчета позиций отдельных RTLS-транспондеров SIMATIC RTLS Locating Manager, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-03998	Уязвимость медицинского программного обеспечения GE HealthCare EchoPAC, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, повысить свои привилегии...
BDU:2024-04476	Уязвимость систем ультразвуковой диагностики GE HealthCare, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и повысить свои привилегии
BDU:2024-04608	Уязвимость функции GetTempPathW набора инструментов создания установочных пакетов WiX Toolset операционной системы Windows, позволяющая нарушителю повысить свои привилегии
BDU:2024-04830	Уязвимость микропрограммного обеспечения BIOS ноутбуков и рабочих станций HP, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2024-04842	Уязвимость программы для обновления приложений Google Updator, позволяющая нарушителю повысить свои привилегии
BDU:2024-04847	Уязвимость микропрограммного обеспечения BIOS ноутбуков и рабочих станций HP, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2024-04860	Уязвимость программного средства управления человеко-машинными интерфейсами (HMI) Rockwell Automation FactoryTalk View SE, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2024-04953	Уязвимость компонента User Management программного обеспечения для расчета позиций отдельных RTLS-транспондеров SIMATIC RTLS Locating Manager, позволяющая нарушителю повысить свои привилегии
BDU:2024-05043	Уязвимость операционных систем QTS, QuTS hero сетевых устройств Qnap, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2024-05542	Уязвимость пакета rpm-ostree операционных систем Red Hat Enterprise Linux и Fedora, позволяющая нарушителю получить несанкционированный доступ к аутентификационным данным
BDU:2024-05823	Уязвимость менеджера пакетов Cargo языка программирования Rust, позволяющая нарушителю выполнить произвольный код
BDU:2024-05953	Уязвимость веб-клиента IBM Datacap Navigator программного обеспечения для сбора и обработки документов IBM Datacap, связанная с отсутствием флага "Secure" в файлах cookie сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой...
BDU:2024-06028	Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с неправильным назначением разрешений для критического ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2024-06445	Уязвимость операционной системы Cisco IOS XR, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю обойти функциональность Cisco Secure Boot и загрузить непроверенное программное обеспечение
BDU:2024-06789	Уязвимость программного средства для обеспечения безопасного удаленного доступа к данным Palo Alto Networks GlobalProtect App, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2024-06936	Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживан...
BDU:2024-07162	Уязвимость средства антивирусной защиты AVG Internet Security, связанная с использованием опасных методов или функций, позволяющая нарушителю повысить свои привилегии
BDU:2024-08092	Уязвимость виртуальной клавиатуры операционной системы visionOS, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды
BDU:2024-09313	Уязвимость программного обеспечения программируемых логических контроллеров Siemens Sinumerik, связанная с неправильным присвоением разрешений для выполняемых системой скриптов, позволяющая нарушителю повысить свои привилегии
BDU:2024-09479	Уязвимость компонента Docker Daemon программного обеспечения для управления сетью Brocade SANnav, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-09486	Уязвимость компонента NVIDIA Virtual GPU Manager драйвера виртуальных графических процессоров NVIDIA Virtual GPU, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, повысить свои привилегии
BDU:2024-09636	Уязвимость средств защиты Fortinet FortiClientWindows, связанная с неправильным присвоением разрешений для критичного ресурса и некорректной синхронизацией ("Состояние гонки"), позволяющая нарушителю выполнить произвольные команды
BDU:2024-09642	Уязвимость программы создания производственной отчетности и аналитики Dream Report, связаная с неправильный присвоением разрешений, позволяющая нарушителю повысить свои привилегии и вызвать отказ в обслуживании
BDU:2024-09649	Уязвимость компонента ThinServer платформы для централизованного управления приложениями Rockwell Automation ThinManager, позволяющая нарушителю выполнить произвольный код
BDU:2024-09660	Уязвимость утилиты для проверки и восстановления файловых систем fsck.fat набора программ dosfstools, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2024-09774	Уязвимость функции fs.statfs программной платформы Node.js, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-10320	Уязвимость системы сетевого управления для мониторинга промышленными сетями Siemens SINEC NMS, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю записывать произвольные данные в произвольное место файловой...
BDU:2024-10325	Уязвимость системы контроля доступа и учёта рабочего времени в рамках SIPORT, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2024-10355	Уязвимость компонента Group Membership Handler сервера Siemens SINEMA Remote Connect, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-10559	Уязвимость установщика драйвера Intel HID Event Filter микропрограммного обеспечения ноутбуков Intel NUC, позволяющая нарушителю повысить свои привилегии
BDU:2024-10569	Уязвимость системы управления лицензиями Flexlm License Daemons для программного обеспечения проектирования и разработки Intel FPGA, связанная с ошибками наследуемых разрешений, позволяющая нарушителю повысить свои привилегии
BDU:2024-10621	Уязвимость программно-аппаратных средств контроля и защиты SCADA-систем ABB REX640, связанная с использованием Sensitive Cookie без флага "HttpOnly", позволяющая нарушителю проводить межсайтовый скриптинг
BDU:2024-10772	Уязвимость файла конфигурации confluence-cfg.xml дата центра Confluence Data Center операционных систем Windows, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации
BDU:2024-11131	Уязвимость микропрограммного обеспечения маршрутизатора I-O Data Device UD-LT1 и UD-LT1/EX, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-11161	Уязвимость компонента TeamViewer Patch Asset Management программного обеспечения для удалённого управления компьютером TeamViewer, позволяющая нарушителю выполнять удаление произвольных файлов
BDU:2025-00184	Уязвимость программного инструмента для управления Kubernetes-кластерами Rancher Manager, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-00254	Уязвимость программного обеспечения разработки и выполнения приложений на языке ABAP SAP NetWeaver Application Server ABAP, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю оказать воздействие на конфиден...
BDU:2025-00512	Уязвимость операционной системы PowerScale OneFS, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-00686	Уязвимость прокси-сервера IBM Sterling Secure Proxy, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных
BDU:2025-01108	Уязвимость СУБД Apache Hive, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-01235	Уязвимость функции загрузки файлов резервных копий системы управления контентом CMSimple, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и выполнить произвольный код
BDU:2025-01242	Уязвимость компонента Agile Integration Services программного средства управления жизненным циклом продукта для предприятий Oracle Agile PLM Framework, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защища...
BDU:2025-01269	Уязвимость компонента Server: Optimizer системы управления базами данных MySQL, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-01314	Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-01473	Уязвимость механизма Windows Secure Kernel Mode операционной системы Windows, позволяющая нарушителю повысить свои привилегии
BDU:2025-03464	Уязвимость компонента Core среды виртуализации Oracle VM VirtualBox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и вызвать отказ в обслуживании
BDU:2025-04584	Уязвимость микропрограммного обеспечения маршрутизаторов Linksys Velop WHW01, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю повысить свои привилегии
BDU:2025-05064	Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05068	Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05069	Уязвимость компонента Server: DDL системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05072	Уязвимость компонента Server: Replication системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05073	Уязвимость компонента Server: Replication системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05238	Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05429	Уязвимость VPN-сервиса HPE Aruba Networking Virtual Intranet Access Client (VIA), связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05746	Уязвимость веб-интерфейса Zabbix UI системы мониторинга ИТ-инфраструктуры Zabbix, позволяющая нарушителю вызвать отказ в обслуживании или нарушить целостность ресурсов веб-интерфейса Zabbix
BDU:2025-06083	Уязвимость микропрограммного обеспечения промышленных коммутаторов Siemens Scalance LPE9403, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ...
BDU:2025-06086	Уязвимость микропрограммного обеспечения промышленных коммутаторов Siemens Scalance LPE9403, связанная с ошибками назначения разрешений для критически важных ресурсов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-06263	Уязвимость компонента Server:Options системы управления базами данных Oracle MySQL Server и компонента Cluster:General системы управления базами данных MySQL Cluster, позволяющая нарушителю получить несанкционированный доступ на чтение защищаемой инф...
BDU:2025-06436	Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-06439	Уязвимость программного обеспечения защиты данных Acronis Cyber Protect 16, связанная с некорректной настройкой прав доступа к важным ресурсам системы, позволяющая нарушителю повысить свои привилегии
BDU:2025-06721	Уязвимость платформы для автоматизации и оркестровки процессов SD-WAN Versa Concerto, связанная с неправильным присвоением разрешений для критичного ресурса при проверке запроса на подпись сертификата, позволяющая нарушителю выполнить произвольный ко...
BDU:2025-06752	Уязвимость реализации протокола PROFINET микропрограммного обеспечения модульной системы безопасности SIRIUS 3RK3 и микропрограммного обеспечения реле безопасности SIRIUS 3SK2, позволяющая нарушителю получить несанкционированный доступ к защищаемой и...
BDU:2025-07702	Уязвимость компонента socket.c оконного менеджера GNU Screen, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-07709	Уязвимость компонента apr.h библиотеки APR, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2025-07755	Уязвимость пакетных менеджеров Nix, Lix и Guix, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ на чтение и изменение данных
BDU:2025-07918	Уязвимость приложения для трансляции видео Canon EOS Webcam Utility Pro операционных систем macOS, связанная с неправильным назначением разрешений для критического ресурса, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии
BDU:2025-08106	Уязвимость компонента Server: Optimizer системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08556	Уязвимость компонента Verify языка программирования Go, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2025-08603	Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с неправильным назначением разрешений для критического ресурса, позволяющая нарушителю обойти процесс аутентификации
BDU:2025-08760	Уязвимость операционной системы Juniper Networks Junos OS, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-09135	Уязвимость платформы управления устройствами систем отопления, вентиляции и кондиционирования воздуха, освещения и энергопотребления Niagara Framework и средства контроля доступа и обеспечения безопасности Niagara Enterprise Security, связанная с нев...
BDU:2025-09154	Уязвимость платформы управления устройствами систем отопления, вентиляции и кондиционирования воздуха, освещения и энергопотребления Niagara Framework и средства контроля доступа и обеспечения безопасности Niagara Enterprise Security, связанная с нев...
BDU:2025-09563	Уязвимость сервиса Vagrant VMWare Utility, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ на чтение и изменение файлов
BDU:2025-09998	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/CE, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ на чтение и изменение данных
BDU:2025-10372	Уязвимость компонента NVIDIA Virtual GPU Manager драйвера виртуальных графических процессоров NVIDIA Virtual GPU, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-10480	Уязвимость VPN-шлюза корпоративных сетей Ivanti Secure Access Client (ISAC) (ранее Pulse Secure Desktop Client), связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-10929	Уязвимость инструмента для настройки облачного сервера Cloud-init, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнять произвольные команды
BDU:2025-11166	Уязвимость встроенного программного обеспечения ПЛК Fastwel, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольные команды и повысить свои привилегии до уровня суперпользователя
BDU:2025-11168	Уязвимость встроенного программного обеспечения ПЛК Fastwel, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-11347	Уязвимость программного обеспечения для управления видео AXIS Camera Station Pro, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ на удаление произвольных файлов и вызвать отказ в обслужи...
BDU:2025-11403	Уязвимость терминального мультиплексора GNU screen, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-12644	Уязвимость программного обеспечения систем диспетчерского контроля и сбора данных ABB MicroSCADA, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии до уровня SYSTEM
BDU:2025-12647	Уязвимость комплексного программного обеспечения для проектирования и конфигурирования систем автоматизации на базе ПЛК и роботов ABB, связанная с непарвильным назначением разрешений для файлов, позволяющая нарушителю выполнить произвольный код
BDU:2025-12737	Уязвимость микропрограммного обеспечения сетевых устройств ZyXEL USG FLEX H, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-13197	Уязвимость модуля /.ssh/authorized_keys пакета программ для организации сеансов связи по протоколу SSH Dropbear, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-13248	Уязвимость инструмента для записи и отображения системных данных Below, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-13371	Уязвимость компонента /var/db/etcupdate/conflicts операционных систем FreeBSD, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-13765	Уязвимость микропрограммного обеспечения IP-камер Dahua, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-13816	Уязвимость системы управления базами данных MongoDB, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю получить доступ к вызвать отказ в обслуживании
BDU:2025-14338	Уязвимость платформы виртуализации SIMATIC Virtualization as a Service (SiVaaS), связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несакционированный доступ на чтение и изменение данных
BDU:2025-14346	Уязвимость программного обеспечения Spectrum Power 4, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-14349	Уязвимость программного обеспечения Spectrum Power 4, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный команды
BDU:2025-14491	Уязвимость инструмента для мониторинга ИТ-инфраструктуры Nagios XI, связанная с неправильным назначением разрешений для критического ресурса, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2025-14542	Уязвимость программного средства мониторинга и анализа логов Nagios Log Server, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2025-14628	Уязвимость FTP-сервера Freefloat FTP Server, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю выполнить удаленный код
BDU:2025-14692	Уязвимость компонента AsusSwitchAgent драйвера ASUS System Control Interface (ASCI), позволяющая нарушителю выполнить произвольный код с правами system
BDU:2025-14702	Уязвимость сценария process_perfdata.pl инструмента для мониторинга ИТ-инфраструктуры Nagios XI, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2025-15670	Уязвимость сервера Siemens SINEMA Remote Connect, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить атаку типа "человек посередине"
BDU:2025-16301	Уязвимость платформы для операционного анализа Splunk Enterprise, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к каталогу установки (по умолчанию C:\Program Files\Splunk) и всему его с...
BDU:2025-16302	Уязвимость приложения для мониторинга и сбора данных с различных источников Splunk Universal Forwarder, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к каталогу установки (по умолчанию...
BDU:2026-00081	Уязвимость программных продуктов CODESYS, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2026-00195	Уязвимость микропрограммного обеспечения устройств SIMATIC IPC, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю обойти существующие ограничения безопасности и повысить свои привилегии
BDU:2026-00203	Уязвимость программного обеспечения восстановления поврежденных файлов Wondershare Repairit, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2026-00212	Уязвимость плагина java-plugin-runner облачного API-шлюза Apache APISIX, позволяющая нарушителю повысить свои привилегии
BDU:2026-00588	Уязвимость программного обеспечения TeamViewer Remote Full Client, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю удалить произвольные файлы
BDU:2026-00648	Уязвимость операционной системы Dell PowerScale OneFS, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2026-00672	Уязвимость демона jdhcpd операционных систем Juniper Networks Junos OS и Junos OS Evolved, позволяющая нарушителю получить полный контроль над системой
BDU:2026-01028	Уязвимость функции path.join() менеджера пакетов pnpm, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и повысить свои привилегии
BDU:2026-01064	Уязвимость компонента NVIDIA Virtual GPU Manager драйвера виртуальных графических процессоров NVIDIA Virtual GPU, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2026-01712	Уязвимость интерфейса командной строки программной платформы Node.js, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2026-01761	Уязвимость оболочки обслуживания программного средства управления облачными системами Cisco Intersight Virtual Appliance, позволяющая нарушителю получить полный контроль над устройством
BDU:2026-02081	Уязвимость программного обеспечения для быстрого отображения и доступа к информации о клиентах Znuny, связанная с отсутствием флага "HttpOnly" в файлах cookie сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2026-02165	Уязвимость конфигурации платформы для разработки и доставки контейнерных приложений Docker Desktop, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2026-02527	Уязвимость системы обнаружения аномалий операционных систем Juniper Networks Junos OS Evolved, позволяющая нарушителю выполнить произвольный код с правами root
BDU:2026-03020	Уязвимость брокера регистрации вспомогательных технологий Windows Accessibility Infrastructure (ATBroker.exe) операционных систем Windows, позволяющая нарушителю повысить свои привилегии

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2012-0433	insecure permissions on files containing confidential data
CVE-2012-10030	FreeFloat FTP Server Arbitrary File Upload
CVE-2014-0068	It was reported that watchman in openshift node-utils creates /var/run/watchman.pid and /var/log/watchman.ouput with world wr...
CVE-2014-125121	Array Networks vAPV and vxAG Default Credential Privilege Escalation
CVE-2016-2121	A permissions flaw was found in redis, which sets weak permissions on certain files and directories that could potentially co...
CVE-2016-8637	A local information disclosure issue was found in dracut before 045 when generating initramfs images with world-readable perm...
CVE-2016-9604	It was discovered in the Linux kernel before 4.11-rc8 that root can gain direct access to an internal keyring, such as '.dns_...
CVE-2017-12167	It was found in EAP 7 before 7.0.9 that properties based files of the management and the application realm configuration that...
CVE-2017-12713	An Incorrect Permission Assignment for Critical Resource issue was discovered in Advantech WebAccess versions prior to V8.2_2...
CVE-2017-20198	DC/OS Marathon UI < 1.9.0 Unauthenticated RCE via Docker Mount Abuse
CVE-2017-2590	A vulnerability was found in ipa before 4.4. IdM's ca-del, ca-disable, and ca-enable commands did not properly check the user...
CVE-2017-8449	X-Pack Security 5.2.x would allow access to more fields than the user should have seen if the field level security rules used...
CVE-2017-8450	X-Pack 5.1.1 did not properly apply document and field level security to multi-search and multi-get requests so users without...
CVE-2018-1115	postgresql before versions 10.4, 9.6.9 is vulnerable in the adminpack extension, the pg_catalog.pg_logfile_rotate() function...
CVE-2018-14650	It was discovered that sos-collector does not properly set the default permissions of newly created files, making all files c...
CVE-2018-17892	NUUO CMS all versions 3.1 and prior, The application implements a method of user account control that causes standard account...
CVE-2019-0073	Junos OS: PKI key pairs are exported with insecure file permissions
CVE-2019-10132	A vulnerability was found in libvirt >= 4.1.0 in the virtlockd-admin.socket and virtlogd-admin.socket systemd units. A missin...
CVE-2019-13321	This vulnerability allows network adjacent attackers to execute arbitrary code on affected installations of Xiaomi Browser Pr...
CVE-2019-14824	A flaw was found in the 'deref' plugin of 389-ds-base where it could use the 'search' permission to display attribute values....
CVE-2019-18243	HMI/SCADA iFIX (Versions 6.1 and prior) allows a local authenticated user to modify system-wide iFIX configurations through t...
CVE-2019-18255	HMI/SCADA iFIX (Versions 6.1 and prior) allows a local authenticated user to modify system-wide iFIX configurations through s...
CVE-2019-18577	Dell EMC XtremIO XMS versions prior to 6.3.0 contain an incorrect permission assignment vulnerability. A malicious local user...
CVE-2019-19335	During installation of an OpenShift 4 cluster, the `openshift-install` command line tool creates an `auth` directory, with `k...
CVE-2019-19341	A flaw was found in Ansible Tower, versions 3.6.x before 3.6.2, where files in '/var/backup/tower' are left world-readable. T...
CVE-2019-2389	Process termination via PID file manipulation
CVE-2019-3683	keystone_json_assignment backend granted access to any project for users in user-project-map.json
CVE-2019-3765	Dell EMC Avamar Server versions 7.4.1, 7.5.0, 7.5.1, 18.2 and 19.1 and Dell EMC Integrated Data Protection Appliance (IDPA) v...
CVE-2019-3866	An information-exposure vulnerability was discovered where openstack-mistral's undercloud log files containing clear-text inf...
CVE-2019-3893	In Foreman it was discovered that the delete compute resource operation, when executed from the Foreman API, leads to the dis...
CVE-2019-5642	MAGICK
CVE-2020-10140	Acronis True Image 2021 fails to properly set ACLs of the C:\ProgramData\Acronis directory. Because some privileged processes...
CVE-2020-10642	In Rockwell Automation RSLinx Classic versions 4.11.00 and prior, an authenticated local attacker could modify a registry key...
CVE-2020-10699	A flaw was found in Linux, in targetcli-fb versions 2.1.50 and 2.1.51 where the socket used by targetclid was world-writable....
CVE-2020-10762	An information-disclosure flaw was found in the way that gluster-block before 0.5.1 logs the output from gluster-block CLI op...
CVE-2020-10781	A flaw was found in the Linux Kernel before 5.8-rc6 in the ZRAM kernel module, where a user with a local account and the abil...
CVE-2020-10883	This vulnerability allows local attackers to escalate privileges on affected installations of TP-Link Archer A7 Firmware Ver:...
CVE-2020-12041	The Baxter Spectrum WBM (v17, v20D29, v20D30, v20D31, and v22D24) telnet Command-Line Interface, grants access to sensitive d...
CVE-2020-15708	Libvirt Service Arbitrary File Write Privilege Escalation Vulnerability
CVE-2020-16202	WebAccess Node (All versions prior to 9.0.1) has incorrect permissions set for resources used by specific services, which may...
CVE-2020-1701	A flaw was found in the KubeVirt main virt-handler versions before 0.26.0 regarding the access permissions of virt-handler. A...
CVE-2020-1706	It has been found that in openshift-enterprise version 3.11 and openshift-enterprise versions 4.1 up to, including 4.3, multi...
CVE-2020-1707	A vulnerability was found in all openshift/postgresql-apb 4.x.x versions prior to 4.3.0, where an insecure modification vulne...
CVE-2020-1709	A vulnerability was found in all openshift/mediawiki 4.x.x versions prior to 4.3.0, where an insecure modification vulnerabil...
CVE-2020-1736	A flaw was found in Ansible Engine when a file is moved using atomic_move primitive as the file mode cannot be specified. Thi...
CVE-2020-17402	This vulnerability allows local attackers to disclose sensitive information on affected installations of Parallels Desktop 15...
CVE-2020-17414	This vulnerability allows local attackers to escalate privileges on affected installations of Foxit Reader 10.0.0.35798. An a...
CVE-2020-17415	This vulnerability allows local attackers to escalate privileges on affected installations of Foxit PhantomPDF 10.0.0.35798....
CVE-2020-24681	Automation Studio and PVI Multiple incorrect permission assignments for services
CVE-2020-25191	Incorrect permissions are set by default for an API entry-point of a specific service, allowing a non-authenticated user to t...
CVE-2020-26194	Dell EMC PowerScale OneFS versions 8.1.2 and 8.2.2 contain an Incorrect Permission Assignment for a Critical Resource vulnera...
CVE-2020-26196	Dell EMC PowerScale OneFS versions 8.1.0-9.1.0 contain a Backup/Restore Privilege implementation issue. A user with the Backu...
CVE-2020-27836	A flaw was found in cluster-ingress-operator. A change to how the router-default service allows only certain IP source ranges...
CVE-2020-5358	Dell Encryption versions prior to 10.7 and Dell Endpoint Security Suite versions prior to 2.7 contain a privilege escalation...
CVE-2020-5369	Dell EMC Isilon OneFS versions 8.2.2 and earlier and Dell EMC PowerScale OneFS version 9.0.0 contain a privilege escalation v...
CVE-2020-5371	Dell EMC Isilon OneFS versions 8.2.2 and earlier and Dell EMC PowerScale version 9.0.0 contain a file permissions vulnerabili...
CVE-2020-5385	Dell Encryption versions prior to 10.8 and Dell Endpoint Security Suite versions prior to 2.8 contain a privilege escalation...
CVE-2020-5417	Cloud Controller may allow developers to claim sensitive routes
CVE-2020-7314	Privilege Escalation vulnerability in McAfee DXL for Mac
CVE-2020-7337	Incorrect Permission Assignment for Critical Resource
CVE-2020-8029	skuba: Insecure handling of private key
CVE-2020-8472	ABB System 800xA Weak File Permissions - different products
CVE-2020-8473	ABB System 800xA Weak File Permissions - ABB System 800xA Base
CVE-2021-20996	WAGO: Managed Switches: Unsecure Cookie settings
CVE-2021-21364	Generated Code Contains Local Information Disclosure Vulnerability
CVE-2021-21567	Dell PowerScale OneFS 9.1.0.x contains an improper privilege management vulnerability. It may allow an authenticated user wit...
CVE-2021-22147	Elasticsearch before 7.14.0 did not apply document and field level security to searchable snapshots. This could lead to an au...
CVE-2021-22148	Elastic Enterprise Search App Search versions before 7.14.0 was vulnerable to an issue where API keys were not bound to the s...
CVE-2021-22149	Elastic Enterprise Search App Search versions before 7.14.0 are vulnerable to an issue where API keys were missing authorizat...
CVE-2021-22284	SECURITY - OPC Server for AC 800M - Remote Code Execution Vulnerability
CVE-2021-22669	Incorrect permissions are set to default on the ‘Project Management’ page of WebAccess/SCADA portal of WebAccess/SCADA Versio...
CVE-2021-22716	A CWE-732: Incorrect Permission Assignment for Critical Resource vulnerability exists that could allow remote code execution...
CVE-2021-22850	HGiga OAKloud Portal - Security Misconfiguration
CVE-2021-22921	Node.js before 16.4.1, 14.17.2, and 12.22.2 is vulnerable to local privilege escalation attacks under certain conditions on W...
CVE-2021-23021	The Nginx Controller 3.x before 3.7.0 agent configuration file /etc/controller-agent/agent.conf is world readable with curren...
CVE-2021-23055	On version 2.x before 2.0.3 and 1.x before 1.12.3, the command line restriction that controls snippet use with NGINX Ingress...
CVE-2021-24703	Download Plugin < 1.6.1 - Subscriber+ Arbitrary Plugin Activation
CVE-2021-25318	rancher: API group not properly specified when creating Kubernetes RBAC resources
CVE-2021-31377	Junos OS: A local authenticated attacker can cause RPD to core
CVE-2021-31475	This vulnerability allows remote attackers to execute arbitrary code on affected installations of SolarWinds Orion Job Schedu...
CVE-2021-31894	A vulnerability has been identified in SIMATIC PCS 7 V8.2 and earlier (All versions), SIMATIC PCS 7 V9.X (All versions < V9.1...
CVE-2021-32526	QSAN Storage Manager - Incorrect Permission Assignment for Critical Resource
CVE-2021-34758	Cisco TelePresence Collaboration Endpoint and RoomOS Software Denial of Service Vulnerability
CVE-2021-35248	Unrestricted access to Orion.UserSettings SWIS entity for low-privilege users
CVE-2021-3557	A flaw was found in argocd. Any unprivileged user is able to deploy argocd in their namespace and with the created ServiceAcc...
CVE-2021-36279	Dell EMC PowerScale OneFS versions 8.2.x - 9.2.x contain an incorrect permission assignment for critical resource vulnerabili...
CVE-2021-36280	Dell EMC PowerScale OneFS versions 8.2.x - 9.2.x contain an incorrect permission assignment for critical resource vulnerabili...
CVE-2021-36290	Dell VNX2 for File version 8.1.21.266 and earlier, contain a privilege escalation vulnerability. A local malicious admin may...
CVE-2021-3631	A flaw was found in libvirt while it generates SELinux MCS category pairs for VMs' dynamic labels. This flaw allows one explo...
CVE-2021-37207	A vulnerability has been identified in SENTRON powermanager V3 (All versions). The affected application assigns improper acce...
CVE-2021-3747	MacOS version of Multipass incorrect owner for application directory
CVE-2021-38475	AUVESY Versiondog
CVE-2021-38483	ICSA-22-109-03 FANUC ROBOGUIDE Simulation Platform
CVE-2021-39235	Access mode of block tokens are not enforced
CVE-2021-40331	Permissions problem in the Apache Ranger Hive Plugin
CVE-2021-4199	Incorrect Permission Assignment for Critical Resource vulnerability in BDReinit.exe (VA-10017)
CVE-2021-43019	Adobe Creative Cloud Incorrect Permission Assignment Privilege Escalation Vulnerability
CVE-2021-43359	Sunnet eHRD - Broken Access Control
CVE-2022-0247	Write access to VMO data through copy-on-write in Fuchsia
CVE-2022-0277	Incorrect Permission Assignment for Critical Resource in microweber/microweber
CVE-2022-0532	An incorrect sysctls validation vulnerability was found in CRI-O 1.18 and earlier. The sysctls from the list of "safe" sysctl...
CVE-2022-1316	Incorrect Permission Assignment for Critical Resource in zerotier/zerotierone
CVE-2022-1348	A vulnerability was found in logrotate in how the state file is created. The state file is used to prevent parallel execution...
CVE-2022-1412	Log WP_Mail <= 0.1 - Email Logs Publicly Accessible
CVE-2022-1596	ABB Relion REX640 Insufficient file access control
CVE-2022-1655	An Incorrect Permission Assignment for Critical Resource flaw was found in Horizon on Red Hat OpenStack. Horizon session cook...
CVE-2022-21694	OTF-006: Broken Website Hardening Control: The CSP can be turned on or off but not configured for the specific needs of the w...
CVE-2022-21819	NVIDIA distributions of Jetson Linux contain a vulnerability where an error in the IOMMU configuration may allow an unprivile...
CVE-2022-21946	suddoers configuration for cscreen not restrictive enough
CVE-2022-22141	'Long-term Data Archive Package' service implemented in the following Yokogawa Electric products creates some named pipe with...
CVE-2022-22148	'Root Service' service implemented in the following Yokogawa Electric products creates some named pipe with improper ACL conf...
CVE-2022-22248	Junos OS Evolved: Incorrect file permissions can allow low-privileged user to cause another user to execute arbitrary command...
CVE-2022-22516	CODESYS driver SysDrv3S allows SYSTEM users on Microsoft Windows to read and write in restricted memory space.
CVE-2022-22521	Privilege Escalation in Miele Benchmark Programming Tool
CVE-2022-2332	Honeywell SoftMaster Incorrect Permission Assignment for Critical Resource
CVE-2022-23448	A vulnerability has been identified in SIMATIC Energy Manager Basic (All versions < V7.3 Update 1), SIMATIC Energy Manager PR...
CVE-2022-24769	Default inheritable capabilities for linux container should be empty
CVE-2022-24872	Improper Access Control in shopware
CVE-2022-26340	On F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13.1.x...
CVE-2022-29263	On F5 BIG-IP APM 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13....
CVE-2022-30527	A vulnerability has been identified in SINEC NMS (All versions < V2.0). The affected application assigns improper access righ...
CVE-2022-31465	A vulnerability has been identified in Xpedition Designer VX.2.10 (All versions < VX.2.10 Update 13), Xpedition Designer VX.2...
CVE-2022-3258	Incorrect Permission Assignment for Critical Resource vulnerability in HYPR Workforce Access on Windows allows Authentication...
CVE-2022-32777	An information disclosure vulnerability exists in the cookie functionality of WWBN AVideo 11.6 and dev master commit 3f7c0364...
CVE-2022-32778	An information disclosure vulnerability exists in the cookie functionality of WWBN AVideo 11.6 and dev master commit 3f7c0364...
CVE-2022-33163	IBM Security Directory Suite VA information disclosure
CVE-2022-33695	Use of improper permission in InputManagerService prior to SMR Jul-2022 Release 1 allows unauthorized access to the service.
CVE-2022-34891	This vulnerability allows local attackers to escalate privileges on affected installations of Parallels Desktop Parallels Des...
CVE-2022-36103	Talos worker join token can be used to get elevated access level to the Talos API
CVE-2022-37435	Apache ShenYu Admin Improper Privilege Management
CVE-2022-39062	A vulnerability has been identified in SICAM TOOLBOX II (All versions < V07.10). Affected applications do not properly set pe...
CVE-2022-41699	Incorrect permission assignment for critical resource in some Intel(R) QAT drivers for Windows before version 1.9.0 may allow...
CVE-2022-41771	Incorrect permission assignment for critical resource in some Intel(R) QAT drivers for Windows before version 1.9.0 may allow...
CVE-2022-41926	Nextcloud Talk Android broadcast incorrect permission handling
CVE-2022-42972	A CWE-732: Incorrect Permission Assignment for Critical Resource vulnerability exists that could cause local privilege escala...
CVE-2022-43517	A vulnerability has been identified in Simcenter STAR-CCM+ (All versions < V2306). The affected application improperly assign...
CVE-2022-43773	Hitachi Vantara Pentaho Business Analytics Server - Incorrect Permission Assignment for Critical Resource
CVE-2022-43915	IBM App Connect Enterprise Certified Container
CVE-2022-43946	Multiple vulnerabilities including an incorrect permission assignment for critical resource [CWE-732] vulnerability and a tim...
CVE-2023-0207	NVIDIA DGX-2 SBIOS contains a vulnerability where an attacker may modify the ServerSetup NVRAM variable at runtime by executi...
CVE-2023-0225	A flaw was found in Samba. An incomplete access check on dnsHostName allows authenticated but otherwise unprivileged users to...
CVE-2023-0757	Phoenix Contact ProConOS prone to Incorrect Permission Assignment for Critical Resource
CVE-2023-0834	Incorrect Permission Assignment for Critical Resource vulnerability in HYPR Workforce Access on MacOS allows Privilege Escala...
CVE-2023-1135	In Delta Electronics InfraSuite Device Master versions prior to 1.0.5, an attacker could set incorre...
CVE-2023-1516	RoboDK versions 5.5.3 and prior contain an insecure permission assignment to critical directories vulnerability, which could...
CVE-2023-22294	Privilege escalation in Checkmk Appliance
CVE-2023-22326	iControl REST and tmsh vulnerability
CVE-2023-23939	Azure/setup-kubectl: Escalation of privilege vulnerability for v3 and lower
CVE-2023-25648	Weak Folder Permission Vulnerability in ZTE ZXCLOUD iRAI
CVE-2023-28068	Dell Command Monitor, versions 10.9 and prior, contains an improper folder permission vulnerability. A local authenticated m...
CVE-2023-28123	A permission misconfiguration in UI Desktop for Windows (Version 0.59.1.71 and earlier) could allow an user to hijack VPN cre...
CVE-2023-28133	Local privilege escalation in Check Point Endpoint Security Client (version E87.30) via crafted OpenSSL configuration file
CVE-2023-28134	Local Privliege Escalation in Check Point Endpoint Security Remediation Service
CVE-2023-28960	Junos OS Evolved: Docker repository is world-writeable, allowing low-privileged local user to inject files into Docker contai...
CVE-2023-30606	Multisite denial of service through unsanitized dynamic dispatch to SiteSetting in Discourse
CVE-2023-30897	A vulnerability has been identified in SIMATIC WinCC (All versions < V7.5.2.13). Affected applications fail to set proper acc...
CVE-2023-31142	Discourse's general category permissions could be set back to default
CVE-2023-31238	A vulnerability has been identified in SICAM P850 (7KG8500-0AA00-0AA0) (All versions < V3.11), SICAM P850 (7KG8500-0AA00-2AA0...
CVE-2023-31453	Apache InLong: IDOR make users can delete others' subscription
CVE-2023-31454	Apache InLong: IDOR make users can bind any cluster
CVE-2023-32114	Denial of Service in SAP NetWeaver
CVE-2023-32162	Wacom Drivers for Windows Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2023-32303	Planet's secret file is created with excessive permissions
CVE-2023-32723	Inefficient permission check in class CControllerAuthenticationUpdate
CVE-2023-32724	JavaScript engine memory pointers are directly available for Zabbix users for modification
CVE-2023-3282	Cortex XSOAR: Local Privilege Escalation (PE) Vulnerability in Cortex XSOAR Engine
CVE-2023-3322	Code Execution through overwriting service executable in utilities directory
CVE-2023-33990	Denial of Service (DoS) vulnerability in SAP SQL Anywhere
CVE-2023-34437	Baker Hughes Bently Nevada 3500 System Incorrect Permission Assignment for Critical Resource
CVE-2023-35168	DataEase has a privilege bypass vulnerability
CVE-2023-35841	WinFlash Driver Permissions Issue
CVE-2023-35870	Improper Access Control in SAP S/4HANA (Manage Journal Entry Template)
CVE-2023-38557	A vulnerability has been identified in Spectrum Power 7 (All versions < V23Q3). The affected product assigns improper access...
CVE-2023-38640	A vulnerability has been identified in SICAM PAS/PQS (All versions >= V8.00 < V8.22). The affected application is installed w...
CVE-2023-40516	LG Simple Editor Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2023-40622	Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management)
CVE-2023-41776	Local Privilege Escalation Vulnerability of ZTE's ZXCLOUD iRAI
CVE-2023-42489	EisBaer Scada - CWE-732: Incorrect Permission Assignment for Critical Resource
CVE-2023-4332	Broadcom RAID Controller web interface is vulnerable due to Improper permissions on the log file
CVE-2023-44120	A vulnerability has been identified in Spectrum Power 7 (All versions < V23Q4). The affected product's sudo configuration per...
CVE-2023-44201	Junos OS and Junos OS Evolved: A local attacker can retrieve sensitive information and elevate privileges on the device to an...
CVE-2023-44387	Gradle has incorrect permission assignment for symlinked files used in copy or archiving operations
CVE-2023-45205	A vulnerability has been identified in SICAM PAS/PQS (All versions >= V8.00 < V8.20). The affected application is installed w...
CVE-2023-46141	Phoenix Contact: Automation Worx and classic line controllers prone to Incorrect Permission Assignment for Critical Resource
CVE-2023-46142	PHOENIX CONTACT: Insufficient Read and Write Protection to Logic and Runtime Data in PLCnext Control
CVE-2023-47564	Qsync Central
CVE-2023-47712	IBM Security Guardium privilege escalation
CVE-2023-4777	Incorrect Permission Assignment on Qualys Container Scanning Connector Plugin 1.6.2.6 and earlier
CVE-2023-49257	Command execution using the certificate upload utility
CVE-2023-49578	Denial of service (DOS) in SAP Cloud Connector
CVE-2023-49580	Information disclosure in SAP GUI for Windows and SAP GUI for Java
CVE-2023-49582	Apache Portable Runtime (APR): Unexpected lax shared memory permissions
CVE-2023-49797	Local Privilege Escalation in pyinstaller on Windows
CVE-2023-50292	Apache Solr: Solr Schema Designer blindly "trusts" all configsets, possibly leading to RCE by unauthenticated users
CVE-2023-51579	Voltronic Power ViewPower Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2023-5936	Unsafe temporary data privileges on Unix systems in Arc before v1.6.0
CVE-2023-6179	Incorrect Permission assignment to program executable folders
CVE-2024-0128	NVIDIA vGPU software contains a vulnerability in the Virtual GPU Manager that allows a user of the guest OS to access global...
CVE-2024-0949	Improper Access Control in Talya Informatics' Elektraweb
CVE-2024-10018	Improper permission control in the mobile application (com.transsion.aivoiceassistant) can lead to the launch of any unexport...
CVE-2024-10209	Incorrect Permission Assignment in APROL file system
CVE-2024-10228	Vagrant VMWare Utility installation files vulnerable to modification by unprivileged user
CVE-2024-10256	Insufficient permissions in Ivanti Patch SDK before version 9.7.703 allows a local authenticated attacker to delete arbitrary...
CVE-2024-10526	Rapid7 Velociraptor Local Privilege Escalation In Windows Velociraptor Service
CVE-2024-11176	Incorrect evaluation of effective permissions in M-Files Aino
CVE-2024-11497	Phoenix Contact: CHARX-SEC3xxx Charge controllers vulnerable to privilege escalation
CVE-2024-12149	Incorrect permission assignment in temporary access requests component in Devolutions Remote Desktop Manager 2024.3.19.0 and...
CVE-2024-12151	Incorrect permission assignment in the user migration feature in Devolutions Server 2024.3.8.0 and earlier allows users to re...
CVE-2024-12363	Insufficient permissions in the TeamViewer Patch & Asset Management component
CVE-2024-13813	Insufficient permissions in Ivanti Secure Access Client before version 22.8R1 allows a local authenticated attacker to delete...
CVE-2024-13861	A code injection vulnerability in the Debian package component of Taegis Endpoint Agent (Linux) versions older than 1.3.10 al...
CVE-2024-1486	Elevation of privileges via misconfigured access control list in GE HealthCare ultrasound devices
CVE-2024-1724	snapd allows $HOME/bin symlink
CVE-2024-20456	A vulnerability in the boot process of Cisco IOS XR Software could allow an authenticated, local attacker with high privilege...
CVE-2024-21305	Hypervisor-Protected Code Integrity (HVCI) Security Feature Bypass Vulnerability
CVE-2024-21431	Hypervisor-Protected Code Integrity (HVCI) Security Feature Bypass Vulnerability
CVE-2024-21902	QTS, QuTS hero
CVE-2024-21915	Rockwell Automation FactoryTalk® Service Platform Elevated Privileges Vulnerability Through Web Service Functionality
CVE-2024-22016	Incorrect Permission Assignment for Critical Resource in Rapid SCADA
CVE-2024-22029	tomcat packaging allows for escalation to root from tomcat user
CVE-2024-22334	IBM UrbanCode Deploy improper privilege control
CVE-2024-24740	Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP (SAP Kernel)
CVE-2024-24910	LocalprivilegeescalationinCheckPointZoneAlarmExtremeSecurityNextGen,IdentityAgentforWindows,andIdentityAgentforWindowsTermina...
CVE-2024-24912	Local privilege escalation in Harmony Endpoint Security Client for Windows via crafted DLL file
CVE-2024-25644	Information Disclosure vulnerability in NetWeaver (WSRM)
CVE-2024-25645	Information Disclosure vulnerability in SAP NetWeaver (Enterprise Portal)
CVE-2024-25646	Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence
CVE-2024-25956	Dell Grab for Windows, versions 5.0.4 and below, contains an improper file permissions vulnerability. A locally authenticated...
CVE-2024-27108	Non privileged access to critical file vulnerability in GE HealthCare EchoPAC products
CVE-2024-27294	dp-golang Go installation could be owned by wrong user
CVE-2024-28163	Information Disclosure vulnerability in SAP NetWeaver Process Integration (Support Web Pages)
CVE-2024-28827	Privilege escalation in Windows agent
CVE-2024-28955	Affected devices create coredump files when crashed, storing them with world-readable permission. Any local user of the devic...
CVE-2024-2905	Rpm-ostree: world-readable /etc/shadow file
CVE-2024-29187	WiX based installers are vulnerable to binary hijack when run as SYSTEM
CVE-2024-29869	Apache Hive: Credentials file created with non restrictive permissions
CVE-2024-29964	Brocade SANnav versions before v2.3.0a do not correctly set permissions on files, including docker files
CVE-2024-30208	A vulnerability has been identified in SIMATIC RTLS Locating Manager (6GT2780-0DA00) (All versions < V3.0.1.1), SIMATIC RTLS...
CVE-2024-30369	A10 Thunder ADC Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-31202	A “CWE-732: Incorrect Permission Assignment for Critical Resource” in the ThermoscanIP installation folder allows a local att...
CVE-2024-32010	A vulnerability has been identified in Spectrum Power 4 (All versions < V4.70 SP12 Update 2). The affected application is vul...
CVE-2024-32014	A vulnerability has been identified in Spectrum Power 4 (All versions < V4.70 SP12 Update 2). The affected application is vul...
CVE-2024-32478	Git Credential Manager (GCM)'s Debian package does not set root ownership on installed files
CVE-2024-33499	A vulnerability has been identified in SIMATIC RTLS Locating Manager (6GT2780-0DA00) (All versions < V3.0.1.1), SIMATIC RTLS...
CVE-2024-3375	Broken Access Control in Havelsan's Dialogue
CVE-2024-37369	Rockwell Automation FactoryTalk® View SE Local Privilege Escalation Vulnerability via Local File Permissions
CVE-2024-38337	IBM Sterling Secure Proxy improper input validation
CVE-2024-38646	Notes Station 3
CVE-2024-38864	User-Readable Private Key in Windows Agent
CVE-2024-39875	A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.2 SP1). The affected application allow...
CVE-2024-41171	A vulnerability has been identified in SINUMERIK 828D V4 (All versions), SINUMERIK 828D V5 (All versions < V5.24), SINUMERIK...
CVE-2024-41820	Cluster-level privilege escalation in kubean
CVE-2024-41954	FOG Weak file permissions
CVE-2024-41970	WAGO: Unauthorized Diagnostic Data Exposure in Multiple Devices
CVE-2024-41974	WAGO: BACNet Service Property Modification Due to Permission Misconfiguration in Multiple Devices
CVE-2024-45497	Openshift-api: openshift-controller-manager/build: build process in openshift allows overwriting of node pull credentials
CVE-2024-45655	IBM Application Gateway incorrect permission assignment
CVE-2024-45657	IBM Security Verify Access incorrect privilege assignment
CVE-2024-45841	Incorrect permission assignment for critical resource issue exists in UD-LT1 firmware Ver.2.1.9 and earlier and UD-LT1/EX fir...
CVE-2024-46881	Develocity (formerly Gradle Enterprise) before 2024.1.8 has Incorrect Access Control. Project-level access control configurat...
CVE-2024-46897	Incorrect permission assignment for critical resource issue exists in Exment v6.1.4 and earlier and Exment v5.0.11 and earlie...
CVE-2024-47104	IBM i incorrect privilege assignment
CVE-2024-47475	Dell PowerScale OneFS 8.2.2.x through 9.8.0.x contains an incorrect permission assignment for critical resource vulnerability...
CVE-2024-47783	A vulnerability has been identified in SIPORT (All versions < V3.4.0). The affected application improperly assigns file permi...
CVE-2024-47808	A vulnerability has been identified in SINEC NMS (All versions < V3.0 SP1). The affected application contains a database func...
CVE-2024-49385	Sensitive information disclosure due to insecure folder permissions. The following products are affected: Acronis True Image...
CVE-2024-50590	Local Privilege Escalation via Weak Service Binary Permissions
CVE-2024-5163	Improper permission settings in com.transsion.carlcare
CVE-2024-52328	ECOVACS lawnmowers and vacuums insecurely store audio warning files
CVE-2024-5618	Broken Access Control in PruvaSoft Informatics' Apinizer Management Console
CVE-2024-5915	GlobalProtect App: Local Privilege Escalation (PE) Vulnerability
CVE-2024-5930	VIPRE Advanced Security Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-6360	Incorrect Permission Assignment for Critical Resource vulnerability has been discovered in OpenText™ Vertica.
CVE-2024-6435	Rockwell Automation Privilege Escalation Vulnerability in Pavilion8®
CVE-2024-6510	Local privilege escalation vulnerability in AVG Internet Security
CVE-2024-6619	Incorrect Permission Assignment for Critical Resource in Ocean Data Systems Dream Report
CVE-2024-6780	Improper permission control in com.android.server.telecom
CVE-2024-6871	G DATA Total Security Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-7245	Panda Security Dome VPN Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-7513	Rockwell Automation FactoryTalk® View Site Edition Code Execution Vulnerability via File Permissions
CVE-2024-7572	Insufficient permissions in Ivanti DSM before version 2024.3.5740 allows a local authenticated attacker to delete arbitrary f...
CVE-2024-7594	Vault SSH Secrets Engine Configuration Did Not Restrict Valid Principals By Default
CVE-2024-7612	Insecure permissions in Ivanti EPMM before 12.1.0.4 allow a local authenticated attacker to modify sensitive application comp...
CVE-2024-7986	Rockwell Automation ThinManager® ThinServer™ Information Disclosure
CVE-2024-8039	Improper permission configurationDomain configuration vulnerability of the mobile application (com.afmobi.boomplayer) can lea...
CVE-2024-8256	Incorrect Permission Assignment in RutOS based routers and TSWOS based managed switches
CVE-2024-8540	Insecure permissions in Ivanti Sentry before versions 9.20.2 and 10.0.2 or 10.1.0 allow a local authenticated attacker to mod...
CVE-2024-9142	Local File Inclusion (LFI) in Olgu Computer Systems' e-Belediye
CVE-2024-9244	Foxit PDF Reader Update Service Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-9245	Foxit PDF Reader Update Service Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-9842	Incorrect permissions in Ivanti Secure Access Client before version 22.7R4 allows a local authenticated attacker to create ar...
CVE-2025-0064	Improper Authorization in SAP BusinessObjects Business Intelligence platform (Central Management Console)
CVE-2025-0066	Information Disclosure vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework)
CVE-2025-0164	IBM QRadar SIEM information disclosure
CVE-2025-0374	Unprivileged access to system files
CVE-2025-0590	Improper permission settings for mobile applications (com.transsion.carlcare) may lead to information leakage risk.
CVE-2025-0758	Hitachi Vantara Pentaho Business Analytics Server - Incorrect Permission Assignment for Critical Resource
CVE-2025-0926	Gee-netics, member of AXIS Camera Station Pro Bug Bounty Program, has found that it is possible for a non-admin user to remov...
CVE-2025-10059	MongoDB Server router will crash when incorrect lsid is set on a sharded query
CVE-2025-10541	Local Privilege Escalation via Insecure Update Mechanism in iMonitor EAM
CVE-2025-10643	Wondershare Repairit Incorrect Permission Assignment Authentication Bypass Vulnerability
CVE-2025-1067	There is a code injection vulnerability in ArcGIS Pro
CVE-2025-10751	MacForge 1.2.0 Beta 1 - Local Privilege Escalation
CVE-2025-1139	IBM Edge Application Manager incorrect permissions
CVE-2025-11906	Privilege escalation via writable configuration files in Progress Flowmon
CVE-2025-12004	The compare API module breaks Extension:Lockdown
CVE-2025-12147	Unauthorized access to fields protected by Field-Level Security (FLS) when those fields are members of an object
CVE-2025-12148	Unauthorized access to fields protected by Field Masking (FM) for fields of type IP
CVE-2025-1413	Dylib Hijacking in DaVinci Resolve
CVE-2025-1731	An incorrect permission assignment vulnerability in the PostgreSQL commands of the Zyxel USG FLEX H series uOS firmware versi...
CVE-2025-20233	Incorrect permissions set by the “chmod“ and “makedirs“ Python functions in Splunk App for Lookup File Editing
CVE-2025-20298	Incorrect permission assignment on Universal Forwarder for Windows during new installation or upgrade
CVE-2025-2098	Dylib Hijacking in Fast CAD Reader
CVE-2025-21325	Windows Secure Kernel Mode Elevation of Privilege Vulnerability
CVE-2025-22454	Insufficiently restrictive permissions in Ivanti Secure Access Client before 22.7R4 allows a local authenticated attacker to...
CVE-2025-23245	NVIDIA vGPU software for Windows and Linux contains a vulnerability in the Virtual GPU Manager (vGPU plugin), where it allows...
CVE-2025-23257	NVIDIA DOCA contains a vulnerability in the collectx-clxapidev Debian package that could allow an actor with low privileges t...
CVE-2025-23258	NVIDIA DOCA contains a vulnerability in the collectx-dpeserver Debian package for arm64 that could allow an attacker with low...
CVE-2025-23285	NVIDIA vGPU software contains a vulnerability in the Virtual GPU Manager, where it allows a guest to access global resources....
CVE-2025-23403	A vulnerability has been identified in SIMATIC IPC DiagBase (All versions), SIMATIC IPC DiagMonitor (All versions). The affec...
CVE-2025-24009	A vulnerability has been identified in SIRIUS 3RK3 Modular Safety System (MSS) (All versions), SIRIUS Safety Relays 3SK2 (All...
CVE-2025-24481	FactoryTalk® View Site Edition - Incorrect Permission Assignment
CVE-2025-24527	An issue was discovered in Akamai Enterprise Application Access (EAA) before 2025-01-17. If an admin knows another tenant's 1...
CVE-2025-2503	An improper permission handling vulnerability was reported in Lenovo PC Manager that could allow a local attacker to perform...
CVE-2025-26168	IXON VPN Client before 1.4.4 on Linux and macOS allows Local Privilege Escalation to root because there is code execution fro...
CVE-2025-26169	IXON VPN Client before 1.4.4 on Windows allows Local Privilege Escalation to SYSTEM because there is code execution from a co...
CVE-2025-26469	An incorrect default permissions vulnerability exists in the CServerSettings::SetRegistryValues functionality of MedDream PAC...
CVE-2025-27141	Metabase Enterprise Edition allows cached questions to leak data to impersonated users
CVE-2025-27446	Apache APISIX Java Plugin Runner: Local listening file permissions in APISIX plugin runner allow a local attacker to elevate...
CVE-2025-2759	GStreamer Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2025-27688	Dell ThinOS 2408 and prior, contains an improper permissions vulnerability. A low privileged attacker with local access could...
CVE-2025-30063	Excessive permissions on configuration files containing database logins and passwords
CVE-2025-30408	Local privilege escalation due to insecure folder permissions. The following products are affected: Acronis Cyber Protect Clo...
CVE-2025-30661	Junos OS: Low-privileged user can cause script to run as root, leading to privilege escalation
CVE-2025-31702	A vulnerability exists in certain Dahua embedded products. Third-party malicious attacker with obtained normal user credentia...
CVE-2025-32915	Sensitive data exposed during automatic agent updates
CVE-2025-3394	Vulnerability in user management of Automation Builder
CVE-2025-3395	Incorrect Permission Assignment for Critical Resource, Cleartext Storage of Sensitive Information vulnerability in ABB Automa...
CVE-2025-34025	Versa Concerto Insecure Docker Mount Container Escape
CVE-2025-34135	Nagios XI < 2024R1.4.2 Overly Permissive Permissions on Systemd Unit Files
CVE-2025-34189	Vasion Print (formerly PrinterLogic) Insecure Inter-Process Communication Allows Local Session Hijacking
CVE-2025-34206	Vasion Print (formerly PrinterLogic) Insecure Shared Storage Permissions
CVE-2025-34212	Vasion Print (formerly PrinterLogic) Insecure Build Pipeline
CVE-2025-34287	Nagios XI < 2024R2 Privilege Escalation via process_perfdata.pl
CVE-2025-36193	IBM Transformation Advisor incorrect permissions
CVE-2025-38742	Dell iDRAC Service Module (iSM), versions prior to 6.0.3.0, contains an Incorrect Permission Assignment for Critical Resource...
CVE-2025-3936	Incorrect Permission Assignment for Critical Resource
CVE-2025-3944	Incorrect Permission Assignment for Critical Resource
CVE-2025-40572	A vulnerability has been identified in SCALANCE LPE9403 (6GK5998-3GS00-2AC2) (All versions < V4.0 HF0). Affected devices do n...
CVE-2025-40574	A vulnerability has been identified in SCALANCE LPE9403 (6GK5998-3GS00-2AC2) (All versions < V4.0 HF0). Affected devices do n...
CVE-2025-40672	Privilege Escalation in Panloader.exe
CVE-2025-40804	A vulnerability has been identified in SIMATIC Virtualization as a Service (SIVaaS) (All versions). The affected application...
CVE-2025-41659	CODESYS Control PKI Exposure Enables Remote Certificate Access
CVE-2025-41664	Improper Permission Handling Enables Unauthorized Access to Firmware and Certificates
CVE-2025-42997	Information Disclosure vulnerability in SAP Gateway Client
CVE-2025-43729	Dell ThinOS 10, versions prior to 2508_10.0127, contains an Incorrect Permission Assignment for Critical Resource vulnerabili...
CVE-2025-43759	Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.0 through 2024.Q3.13,...
CVE-2025-43808	The Commerce component in Liferay Portal 7.3.0 through 7.4.3.112, and Liferay DXP 2023.Q4.0 through 2023.Q4.8, 2023.Q3.1 thro...
CVE-2025-46093	LiquidFiles before 4.1.2 supports FTP SITE CHMOD for mode 6777 (setuid and setgid), which allows FTPDrop users to execute arb...
CVE-2025-48382	Fess has Insecure Temporary File Permissions
CVE-2025-48961	Local privilege escalation due to insecure folder permissions. The following products are affected: Acronis Cyber Protect 16...
CVE-2025-49131	FastGPT Sandbox Vulnerable to Sandbox Bypass
CVE-2025-4952	Denial-of-service vulnerability in ESET security products for Windows
CVE-2025-52873	Cognex In-Sight Explorer and In-Sight Camera Firmware Incorrect Permission Assignment for Critical Resource
CVE-2025-52923	Sangfor aTrust through 2.4.10 allows users to modify the ExecStartPre command.
CVE-2025-52992	The Nix, Lix, and Guix package managers fail to properly set permissions when a derivation build fails. This may allow arbitr...
CVE-2025-53396	Incorrect permission assignment for critical resource issue exists in SS1 Ver.16.0.0.10 and earlier (Media version:16.0.0a an...
CVE-2025-54497	Cognex In-Sight Explorer and In-Sight Camera Firmware Incorrect Permission Assignment for Critical Resource
CVE-2025-54545	On affected platforms, a restricted user could break out of the CLI sandbox to the system shell and elevate their privileges.
CVE-2025-54546	On affected platforms, restricted users could use SSH port forwarding to access host-internal services
CVE-2025-57741	An Incorrect Permission Assignment for Critical Resource vulnerability [CWE-732] in FortiClientMac 7.4.0 through 7.4.3, 7.2.0...
CVE-2025-5819	Incorrect Permission Assignment for Critical Resource in GitLab
CVE-2025-58372	Roo Code: Potential Remote Code Execution via .code-workspace
CVE-2025-59349	Directories created via os.MkdirAll are not checked for permissions
CVE-2025-59373	A local privilege escalation vulnerability exists in the restore mechanism of ASUS System Control Interface. It can be t...
CVE-2025-5995	Canon EOS Webcam Utility Pro for MAC OS contains an insecure permission issue potentially leading to code execution and privi...
CVE-2025-59961	Junos OS and Junos OS Evolved: Unix socket used to control the jdhcpd process is world-writable
CVE-2025-61969	Incorrect permission assignment in AMD µProf may allow a local user-privileged attacker to achieve privilege escalation, pote...
CVE-2025-62251	Liferay Portal 7.3.0 through 7.4.3.119, and Liferay DXP 2023.Q3.1 through 2023.Q3.8, 2023.Q4.0 through 2023.Q4.5, 7.4 GA thro...
CVE-2025-62575	Mirion Medical EC2 Software NMIS BioDose Incorrect Permission Assignment for Critical Resource
CVE-2025-62688	AutomationDirect Productivity Suite Incorrect Permission Assignment for Critical Resource
CVE-2025-64298	Mirion Medical EC2 Software NMIS BioDose Incorrect Permission Assignment for Critical Resource
CVE-2025-64319	Incorrect Permission Assignment for Critical Resource vulnerability in Salesforce Mulesoft Anypoint Code Builder allows Manip...
CVE-2025-64322	Incorrect Permission Assignment for Critical Resource vulnerability in Salesforce Agentforce Vibes Extension allows Manipulat...
CVE-2025-64324	KubeVirt Vulnerable to Arbitrary Host File Read and Write
CVE-2025-64642	Mirion Medical EC2 Software NMIS BioDose Incorrect Permission Assignment for Critical Resource
CVE-2025-64996	Overly broad file permissions in the mk_inotify plugin allows reading and manipulating the plugin's output
CVE-2025-6779	An ACAP configuration file has improper permissions, which could allow command injection and potentially lead to privilege es...
CVE-2025-68462	Freedombox before 25.17.1 does not set proper permissions for the backups-data directory, allowing the reading of dump files...
CVE-2025-69426	Ruckus vRIoT IoT Controller < 3.0.0.0 Hardcoded SSH Credentials RCE
CVE-2025-8108	An ACAP configuration file has improper permissions and lacks input validation, which could potentially lead to privilege esc...
CVE-2025-8148	CVE-2025-8148 Improper Access Control in SFTP service of GoAnywhere MFT
CVE-2025-8886	Authorization Bypass in Usta Information Systems' Aybs Interaktif
CVE-2025-9578	Local privilege escalation due to insecure folder permissions. The following products are affected: Acronis Cyber Protect Clo...
CVE-2026-0775	npm cli Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2026-1344	Insecure file permissions in Enforce Recovery Key Portal
CVE-2026-20092	Cisco Intersight Virtual Appliance Privilege Escalation Vulnerability
CVE-2026-21902	Junos OS Evolved: PTX Series: A vulnerability allows a unauthenticated, network-based attacker to execute code as root
CVE-2026-22280	Dell PowerScale OneFS, versions 9.5.0.0 through 9.5.1.5, versions 9.6.0.0 through 9.7.1.10, versions 9.8.0.0 through 9.10.1.3...
CVE-2026-23648	Glory RBG-100 Recycler System Local Privilege Escalation via Insecure File Permissions
CVE-2026-24049	wheel Allows Arbitrary File Permission Modification via Path Traversal
CVE-2026-24131	pnpm has Path Traversal via arbitrary file permission modification
CVE-2026-24291	Windows Accessibility Infrastructure (ATBroker.exe) Elevation of Privilege Vulnerability
CVE-2026-24732	Improper permission checks in Extension:NSFileRepo
CVE-2026-24834	Kata Container to Guest micro VM privilege escalation
CVE-2026-26095	Incorrect Permission Assignment for Critical Resource in Owl opds
CVE-2026-26096	Incorrect Permission Assignment for Critical Resource in Owl opds
CVE-2026-26100	Incorrect Permission Assignment for Critical Resource in Owl opds
CVE-2026-26101	Incorrect Permission Assignment for Critical Resource in Owl opds
CVE-2026-26102	Incorrect Permission Assignment for Critical Resource in Owl opds
CVE-2026-2637	iBoysoft NTFS for Mac contains a local privilege escalation vulnerability in its privileged helper daemon ntfshelperd. The da...
CVE-2026-28725	Sensitive information disclosure due to improper configuration of a headless browser. The following products are affected: Ac...
CVE-2026-29125	IDC SFX2100 Satellite Receiver allows unprivileged modification of DNS configuration due to world-writable `/etc/resolv.conf`
CVE-2026-29126	World-Writable, Root Owned/Run `/etc/udhcpc/default.script` in IDC SFX2100 Satellite Receiver Leads To Potential LPE
CVE-2026-29188	File Browser: TUS Delete Endpoint Bypasses Delete Permission Check
CVE-2026-32704	SiYuan renderSprig: missing admin check allows any user to read full workspace DB
CVE-2026-3315	Local Privilege Escalation Due to Writable Executable in Privileged Visionline Service Path

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20230512-12	12.05.2023	Перезапись произвольных файлов в Junos OS Evolved
VULN:20240221-18	21.02.2024	Выполнение произвольного кода в Apache Solr
VULN:20240619-4	19.06.2024	Повышение привилегий в FactoryTalk View SE
VULN:20240830-21	30.08.2024	Повышение привилегий в Rockwell Automation ThinManager and ThinServer
VULN:20250915-1	15.09.2025	Получение конфиденциальной информации в Siemens SIMATIC Virtualization as a Service (SIVaaS)
VULN:20251222-2	22.12.2025	Выполнение произвольного кода в Foxit PDF Reader and PDF Editor for Windows
VULN:20260302-21	02.03.2026	Выполнение произвольного кода в Juniper Networks Junos OS Evolved on PTX Series

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.