Каталог уязвимостей - CWE - CWE-732

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-732

Incorrect permission assignment for critical resource

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2015-03469	Уязвимости операционной системы Debian GNU/Linux, позволяющие локальному злоумышленнику нарушить конфиденциальность защищаемой информации
BDU:2015-06738	Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-06739	Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-06791	Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-06964	Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить целостность и доступность защищаемой информации
BDU:2015-06965	Уязвимость операционной системы Red Hat Enterprise Linux, позволяющая злоумышленнику нарушить целостность и доступность защищаемой информации
BDU:2015-08478	Уязвимость операционной системы CentOS, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-08479	Уязвимость операционной системы CentOS, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2015-08806	Уязвимость операционной системы CentOS, позволяющая злоумышленнику нарушить целостность и доступность защищаемой информации
BDU:2015-08807	Уязвимость операционной системы CentOS, позволяющая злоумышленнику нарушить целостность и доступность защищаемой информации
BDU:2015-09402	Уязвимость операционной системы Gentoo Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
BDU:2017-01547	Уязвимость операционной системы Linux, позволяющая нарушителю считывать или записывать в ячейки памяти ядра
BDU:2019-01545	Уязвимость программного обеспечения для взаимодействия виртуальных машин Linux и FreeBSD с контроллером структуры Azure Windows Azure Linux Agent, связанная с неправильным назначением разрешений для файлов подкачки, позволяющая нарушителю получить не...
BDU:2019-03834	Уязвимость операционной системы JunOS, существующая из-за небезопасных прав доступа к файлам ключей, экспортируемых с помощью команды "run request security pki key-pair export", позволяющая нарушителю получить несанкционированный доступ на чтение и и...
BDU:2019-03859	Уязвимость системы управления базами данных Microsoft SQL Server Management Studio, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю получить доступ к защищаемой информации
BDU:2019-03861	Уязвимость системы управления базами данных Microsoft SQL Server Management Studio, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю получить доступ к защищаемой информации
BDU:2019-04232	Уязвимость реализации команды "pg_upgrade" системы управления базами данных PostgreSQL, позволяющая нарушителю получить доступ к произвольным файлам
BDU:2019-04299	Уязвимость системы для разработки дополнений WebExtensions браузеров Firefox, Firefox ESR, позволяющая нарушителю повысить свои привилегии
BDU:2019-04861	Уязвимость системы управления базами данных IBM DB2, связанная с ошибками управления привилегиями, позволяющая нарушителю повысить свои привилегии
BDU:2020-00612	Уязвимость сервера DNS BIND, связанная с ошибкой управления передачей данных к динамическим зонам (DLZ), позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2020-00817	Уязвимость установщика драйверов Intel NVMe и Intel RSTe, связанная с ошибками управления привилегиями, позволяющая нарушителю повысить свои привилегии
BDU:2020-01074	Уязвимость функции fpregs_state_valid (arch/x86/include/asm/fpu/internal.h) ядра операционной системы Linux, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
BDU:2020-01472	Уязвимость гипервизора Xen, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2020-01537	Уязвимость системы хранения данных Ceph, связанная с ошибкой процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к ключам шифрования dm-crypt
BDU:2020-01610	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю получить несанкционированный доступ к информации и нарушить ее целостность и доступность
BDU:2020-01611	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01613	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю получить несанкционированный доступ к информации
BDU:2020-01615	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01616	Уязвимость пользовательского интерфейса Chromium браузера Google Chrome, позволяющая нарушителю нарушить целостность данных
BDU:2020-01623	Уязвимость инструментов разработчика браузера Google Chrome, позволяющая нарушителю нарушить целостность данных
BDU:2020-01626	Уязвимость модуля отображения Blink браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01627	Уязвимость модуля отображения Blink браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01628	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01673	Уязвимость инструментов разработчика браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю получить несанкционированный доступ
BDU:2020-01674	Уязвимость адресной строки Omnibox браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю нарушить целостность данных
BDU:2020-01695	Уязвимость браузера Google Chrome, связанная с неправильным назначением прав доступа для критического ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и нарушить ее целостность и доступность
BDU:2020-01704	Уязвимость браузера Google Chrome, связанная с неправильным назначением прав доступа для критического ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и нарушить ее целостность и доступность
BDU:2020-01781	Уязвимость браузера Google Chrome, связанная с неправильным контролем доступа к критическому ресурсу, позволяющая нарушителю получить несанкционированный доступ
BDU:2020-01826	Уязвимость браузера Firefox, связанная с неправильным назначением прав доступа для критического ресурса, позволяющая нарушителю получить несанкционированный доступ к информации
BDU:2020-02517	Уязвимость конфигурации политики приложений межсетевых экранов Cisco Firepower Threat Defense, позволяющая нарушителю получить доступ на чтение данных
BDU:2020-02563	Уязвимость реализации команды getACL() централизованной службы для поддержки информации о конфигурации, именования, обеспечения распределенной синхронизации и предоставления групповых служб Apache ZooKeeper, позволяющая нарушителю раскрыть некоторые...
BDU:2020-02773	Уязвимость служб Connected User Experience и Telemetry Service операционных систем Microsoft Windows, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2020-02868	Уязвимость виртуальной машины Eclipse OpenJ9, связанная с ошибками разграничения доступа к диагностическим операциям, позволяющая нарушителю повысить свои привилегии
BDU:2020-02982	Уязвимость служб Connected User Experience и Telemetry Service операционных систем Microsoft Windows, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2020-02999	Уязвимость веб-браузера Microsoft Edge, связана с недостаточной проверкой присвоения разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2020-03331	Уязвимость клиента системы виртуализации рабочих станций VMware Horizon Client, гипервизоров VMware Remote Console и VMware Workstation для операционных систем Windows, связанная с неправильным назначением разрешений для файлов, позволяющая нарушител...
BDU:2020-03475	Уязвимость функции dev_open() программного пакета для просмотра телевизионных программ на PC LinuxTV Xawtv, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2020-03920	Уязвимость библиотеки управления виртуализацией Libvirt, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2020-04320	Уязвимость средства контроля приложений Управление приложениями в Защитнике Windows (Windows Defender Application Control, WDAC) средства автоматизации PowerShell Core, позволяющая нарушителю выполнить произвольный код
BDU:2020-04323	Уязвимость функции безопасности проектирования файловой системы операционной системы Windows, позволяющая нарушителю удалить целевой файл
BDU:2020-04538	Уязвимость микропрограммного обеспечения серверных плат, серверных систем и вычислительных модулей Intel, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю повысить свои привилегии
BDU:2020-05513	Уязвимость операционной системы Synology Router Manager (SRM), связанная с отсутствием флага "HttpOnly" в файлах cookie сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2020-05656	Уязвимость rbd-драйвера операционной системы Linux, позволяющая нарушителю повысить свои привилегии
BDU:2021-00179	Уязвимость модуля WebExtensions браузера Mozilla Firefox, позволяющая нарушителю повысить свои привилегии
BDU:2021-01423	Уязвимость драйвера SCSI ядра операционных систем Linux, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуж...
BDU:2021-01756	Уязвимость модуля отображения Blink браузера Google Chrome, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2021-01769	Уязвимость компонента debian/sympa.postinst менеджера электронных списков рассылки Sympa, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2021-01902	Уязвимость модуля TLS системы управления конфигурациями и удалённого выполнения операций Salt, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2021-02144	Уязвимость модуля ZRAM ядра операционных систем Linux, Ubuntu и OpenSUSE Leap, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-02413	Уязвимость реализации функции Files.createTempDir() набора Java-библиотек Google Guava, позволяюшая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-02929	Уязвимость антивирусных программных средств Apex One и OfficeScan, связанная с недостаточной проверкой присвоения разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2021-02930	Уязвимость антивирусных программных средств Apex One и OfficeScan, связанная с недостаточной проверкой присвоения разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-03005	Уязвимость VPN-клиента Aviatrix VPN Client, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю выполнить произвольный код
BDU:2021-03013	Уязвимость системы управления базами данных IBM DB2, связанная с неправильным назначением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2021-03188	Уязвимость компонента fs/nfsd/vfs.c ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-03268	Уязвимость компонента portal/patient/_machine_config.php программного обеспечения для управления медицинской организацией OpenEMR, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-03297	Уязвимость распределенной системы управления базами данных Apache Impala, связанная с ошибками при шифровании информации, позволяющая нарушителю повысить свои привилегии
BDU:2021-03387	Уязвимость операционных систем SUSE Linux Enterprise Server и openSUSE Leap, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю запустить демон arpwatch и повысить свои привилегии до уровня root
BDU:2021-04031	Уязвимость программного обеспечения управления кластерами Kubernets Rancher, связанная с ошибками назначения разрешений, позволяющая нарушителю изменять ресурсы в кластере
BDU:2021-04376	Уязвимость менеджера загрузок Adobe Download Manager, связанная с недостаточной проверкой подлинности данных, позволяющая нарушителю повысить свои привилегии
BDU:2021-04501	Уязвимость системы безопасности в программном стеке Intel Manycore Platform Software Stack (MPSS), связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2021-04535	Уязвимость модуля pam_shells пакета файлов конфигурации и настройки системы Setup операционных систем Red Hat Enterprise Linux и Fedora, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-04567	Уязвимость диспетчера очереди печати Windows Print Spooler операционных систем Windows, позволяющая нарушителю выполнить произвольный код
BDU:2021-04683	Уязвимость аннотации сервера почтового сервера Cyrus IMAP, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-04850	Уязвимость ядра операционной системы Linux , связанная с недостаточной проверкой присвоения разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-04890	Уязвимость демона InspIRCd, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2021-05344	Уязвимость инструмента для поиска приложений Elastic App Search, связанная с неправильным назначением разрешений, позволяющая нарушителю повысить свои привилегии
BDU:2021-05918	Уязвимость платформы для разработки и доставки контейнерных приложений Docker Desktop for Windows, связанная с неправильным назначением разрешений для файла docker-credential-wincred.exe, позволяющая нарушителю повысить свои привилегии
BDU:2021-06042	Уязвимость командной оболочки UNIX Zsh операционных систем Mac OS, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2021-06323	Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060 и Adam-6050 D, связанная с недостатками процедуры проверок ввода текущего пароля, позволяющая нарушителю получить полный доступ к устройству с привилегии администратора
BDU:2022-00731	Уязвимость компонента /proc/self/setgroups утилиты для управления учетными записями shadow, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю повысить свои привилегии
BDU:2022-01385	Уязвимость приложения для управления персональными файлами EdgeRover, связанная с недостаточной проверкой присвоения разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии или вызвать отказ в обслуживании
BDU:2022-02192	Уязвимость реализации протокола ICMPv4 стека Treck TCP/IP, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2022-02986	Уязвимость обработчика командной строки платформы мониторинга и управления приложениями NGINX Ingress Controller, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-03007	Уязвимость программного средства моделирования участков для роботизации FANUC ROBOGUIDE, связанная с ошибками при назначении разрешений для файлов, позволяющая нарушителю повысить свои привилегии
BDU:2022-03779	Уязвимость компонента Infrastructure программного средства для обработки платежей в режиме реального времени Oracle Banking Payments, позволяющая нарушителю создать, удалить или изменить доступ к критически важным данным, получить доступ на чтение да...
BDU:2022-04164	Уязвимость программного средства редактирования электрических принципиальных схем Xpedition Designer, связана с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслужив...
BDU:2022-04368	Уязвимость программного средства системы энергоменеджмента SIMATIC Energy Manager Basic и SIMATIC Energy Manager PRO, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2022-04690	Уязвимость программного средства системы энергоменеджмента SIMATIC Energy Manager Basic и SIMATIC Energy Manager PRO, связанная с неправильным назначением разрешений для файлов и каталогов, позволяющая нарушителю повысить свои привилегии или выполнит...
BDU:2022-05535	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2022-05827	Уязвимость плагина deref сервера службы каталогов 389 Directory Server, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2022-05974	Уязвимость модуля DBI интерфейса базы данных Perl DBI, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
BDU:2022-06078	Уязвимость интерфейса операционных систем Talos Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2022-06328	Уязвимость компонента управления памятью микропрограммного обеспечения устройства управления конференц-связью Cisco TelePresence Collaboration Endpoint (CE) и операционной системы Cisco RoomOS, позволяющая нарушителю вызвать перезагрузку устройства
BDU:2023-00091	Уязвимость средства управления доступом к сети Fortinet FortiNAC, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным и повысить свои привилегии
BDU:2023-00109	Уязвимость программного средства C-Bus Toolkit, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии или выполнить произвольный код
BDU:2023-00215	Уязвимость среды выполнения контейнеров Containerd, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживани...
BDU:2023-00723	Уязвимость операционных систем Fortinet FortiOS, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить учетные данные для входа на сервер LDAP
BDU:2023-01143	Уязвимость средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager...
BDU:2023-01158	Уязвимость программного обеспечения для онлайн-мониторинга APC Easy UPS Online Monitoring Software, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющее нарушителю повысить свои привилегии
BDU:2023-01720	Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживан...
BDU:2023-01991	Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с ошибками при назначении разрешений для файлов, позволяющая нарушителю выполнить произвольный код
BDU:2023-02013	Уязвимость LDAP-сервера пакета программ сетевого взаимодействия Samba, позволяющая нарушителю удалить атрибут DNS-Host-Name из любого объекта в каталоге
BDU:2023-02089	Уязвимость программного продукта для мониторинга устройств в реальном времени Delta Electronics InfraSuite Device Master, связанная с установкой неправильного разрешения каталога, позволяющая нарушителю повысить свои привилегии
BDU:2023-02395	Уязвимость технологии контейнеризации на основе платформы Docker операционных систем Juniper Networks Junos OS Evolved, позволяющая нарушителю выполнить произвольный код
BDU:2023-02791	Уязвимость платформы интеграции данных Apache InLong ,связанная связана с некорректным контролем идентификаторов ресурсов, позволяющая нарушителю оказать воздействие на целостность и доступность защищаемой информации
BDU:2023-02861	Уязвимость платформы интеграции данных Apache InLong, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и осуществить привязку произвольного кластера
BDU:2023-02883	Уязвимость интерфейса PMBus модуля VRM (Voltage Regulator Module) BMC-контроллеров Supermicro, позволяющая нарушителю физически вывести из строя CPU без возможности его последующего восстановления
BDU:2023-02886	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-03565	Уязвимость интерфейса командной строки (CLI) операционной системы Juniper Networks Junos OS Evolved, позволяющая нарушителю выполнять произвольные команды
BDU:2023-04056	Уязвимость SCADA-системы SIMATIC WinCC, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код или повысить свои привилегии
BDU:2023-04058	Уязвимость многофункциональных измерительных устройств Siemens SICAM Q200, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2023-04297	Уязвимость клиента комплексной защиты конечных точек сети Check Point Endpoint Security, позволяющая нарушителю повысить свои привилегии
BDU:2023-04412	Уязвимость системы управления реляционными базами данных SAP SQL Anywhere, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании или оказать другое воздействие
BDU:2023-04437	Уязвимость службы zenHelpCheck программной платформы управления операционными данными для оптимизации производства ABB Ability zenon, позволяющая нарушителю выполнить произвольный код
BDU:2023-04938	Уязвимость сервера Local Discovery Server (LDS) программного обеспечения Siemens, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2023-05146	Уязвимость инженерного программного обеспечения SICAM TOOLBOX II, позволяющая нарушителю получить доступ к конфиденциальным данным и повысить свои привилегии
BDU:2023-05255	Уязвимость платформы для распределенной разработки и выполнения программ Apache Hadoop , связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю обойти ограничения на доступ к файлам
BDU:2023-05577	Уязвимость интерфейса командной строки операционной системы Cisco FX-OS устройств Cisco серии Firepower 1000, Firepower 2100, Firepower 4100, Firepower 9300 Security Appliances, Secure Firewall 3100 Series, позволяющая нарушителю создать файл или пер...
BDU:2023-05578	Уязвимость cредства управления информационной инфраструктурой Cisco Application Policy Infrastructure Controller, связанная с неправильным присвоением разрешений для критичного ресурса. позволяющая нарушителю читать, изменять или удалять политики дос...
BDU:2023-05761	Уязвимость программного обеспечения Spectrum Power, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии
BDU:2023-06028	Уязвимость программного обеспечения, для управления и мониторинга систем автоматического контроля и защиты Schweitzer Engineering Laboratories SEL-5033 AcSELerator RTAC, позволяющая нарушителю манипулировать данными в конфигурационных файлах
BDU:2023-06230	Уязвимость централизованной системы управления сетью Cisco Catalyst SD-WAN Manager, связанная с недостатками процедуры авторизации, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2023-06853	Уязвимость операционных систем Juniper Networks Junos OS и Juniper Networks Junos OS Evolved, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2023-06971	Уязвимость программного обеспечения автоматизации систем управления электроэнергетическими объектами SICAM PAS/PQS, связанная с неправильным присвоением разрешений для критичного ресурса при проверке запроса на подпись сертификата, позволяющая наруши...
BDU:2023-07040	Уязвимость файла includes/page/Article.php программного средства для реализации гипертекстовой среды MediaWiki, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-07241	Уязвимость корпоративной версии платформы GitHub Enterprise Server, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю получить пароль MySQL
BDU:2023-08251	Уязвимость программной платформы для удаленного контроля и управления зданий Honeywell ProWatch, связанная с ошибками обработка данных, позволяющая нарушителю выполнить произвольный код
BDU:2023-08308	Уязвимость реализации технологии хранения данных Intel Rapid Storage Technology, связанная с ошибками управления привилегиями, позволяющая нарушителю повысить свои привилегии
BDU:2023-08526	Уязвимость облачного хранилища данных CubeFS, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к устройству
BDU:2023-08773	Уязвимость микропрограммного обеспечения контроллеров Phoenix Contact Automation Worx Software Suite, AXC 1050, AXC 1050 XC, AXC 3050, Config+, FC 350 PCI ETH, ILC1x0, ILC1x1, ILC 3xx, PC Worx, PC Worx Express, PC WORX RT BASIC, PC WORX SRT, RFC 430...
BDU:2023-08948	Уязвимость средства программирования и отладки ПЛК-приложений MULTIPROG, встроенной операционной системы ProConOS/ProConOS eCLR, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код...
BDU:2024-00177	Уязвимость сервера связи RSLinx Classic, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2024-00201	Уязвимость компонента Archive Utility операционных систем macOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-00710	Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю удалить произвольные файлы
BDU:2024-00935	Уязвимость SCADA-системы Rapid SCADA, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2024-01086	Уязвимость приложения для синхронизации файлов Qsync Central, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных
BDU:2024-01162	Уязвимость клиента комплексной защиты конечных точек сети Check Point Endpoint Security, позволяющая нарушителю выполнить произвольный код с правами уровня SYSTEM
BDU:2024-01409	Уязвимость компонента correctMkdir пакетного менеджера npm, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2024-01564	Уязвимость веб-интерфейса сервисной платформы FactoryTalk, позволяющая нарушителю повысить свои привилегии
BDU:2024-02308	Уязвимость поискового сервера Apache Solr, связанная с некорректным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2024-02419	Уязвимость агента универсальной системы мониторинга Zabbix, неверным назначением разрешений для критического ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2024-02428	Уязвимость библиотеки управления виртуализацией Libvirt, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю получить доступ к конфиденциальной информации
BDU:2024-02752	Уязвимость расширения PageTriage программного средства для реализации гипертекстовой среды MediaWiki, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-03263	Уязвимость средства антивирусной защиты Check Point ZoneAlarm Extreme Security NextGen и программных средств идентификации Check Point Identity Agent for Windows и Identity Agent for Windows Terminal Server, связанная с неправильным присвоением разре...
BDU:2024-03961	Уязвимость компонента DBTest программного обеспечения для расчета позиций отдельных RTLS-транспондеров SIMATIC RTLS Locating Manager, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-03998	Уязвимость медицинского программного обеспечения GE HealthCare EchoPAC, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, повысить свои привилегии...
BDU:2024-04476	Уязвимость систем ультразвуковой диагностики GE HealthCare, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и повысить свои привилегии
BDU:2024-04608	Уязвимость функции GetTempPathW набора инструментов создания установочных пакетов WiX Toolset операционной системы Windows, позволяющая нарушителю повысить свои привилегии
BDU:2024-04830	Уязвимость микропрограммного обеспечения BIOS ноутбуков и рабочих станций HP, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2024-04842	Уязвимость программы для обновления приложений Google Updator, позволяющая нарушителю повысить свои привилегии
BDU:2024-04847	Уязвимость микропрограммного обеспечения BIOS ноутбуков и рабочих станций HP, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2024-04860	Уязвимость программного средства управления человеко-машинными интерфейсами (HMI) Rockwell Automation FactoryTalk View SE, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2024-04953	Уязвимость компонента User Management программного обеспечения для расчета позиций отдельных RTLS-транспондеров SIMATIC RTLS Locating Manager, позволяющая нарушителю повысить свои привилегии
BDU:2024-05043	Уязвимость операционных систем QTS, QuTS hero сетевых устройств Qnap, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольный код
BDU:2024-05542	Уязвимость пакета rpm-ostree операционных систем Red Hat Enterprise Linux и Fedora, позволяющая нарушителю получить несанкционированный доступ к аутентификационным данным
BDU:2024-05823	Уязвимость менеджера пакетов Cargo языка программирования Rust, позволяющая нарушителю выполнить произвольный код
BDU:2024-05953	Уязвимость веб-клиента IBM Datacap Navigator программного обеспечения для сбора и обработки документов IBM Datacap, связанная с отсутствием флага "Secure" в файлах cookie сеанса, позволяющая нарушителю получить несанкционированный доступ к защищаемой...
BDU:2024-06028	Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с неправильным назначением разрешений для критического ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2024-06445	Уязвимость операционной системы Cisco IOS XR, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю обойти функциональность Cisco Secure Boot и загрузить непроверенное программное обеспечение
BDU:2024-06789	Уязвимость программного средства для обеспечения безопасного удаленного доступа к данным Palo Alto Networks GlobalProtect App, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2024-06936	Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживан...
BDU:2024-07162	Уязвимость средства антивирусной защиты AVG Internet Security, связанная с использованием опасных методов или функций, позволяющая нарушителю повысить свои привилегии
BDU:2024-08092	Уязвимость виртуальной клавиатуры операционной системы visionOS, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды
BDU:2024-09313	Уязвимость программного обеспечения программируемых логических контроллеров Siemens Sinumerik, связанная с неправильным присвоением разрешений для выполняемых системой скриптов, позволяющая нарушителю повысить свои привилегии
BDU:2024-09479	Уязвимость компонента Docker Daemon программного обеспечения для управления сетью Brocade SANnav, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-09486	Уязвимость компонента NVIDIA Virtual GPU Manager драйвера виртуальных графических процессоров NVIDIA Virtual GPU, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, повысить свои привилегии
BDU:2024-09636	Уязвимость средств защиты Fortinet FortiClientWindows, связанная с неправильным присвоением разрешений для критичного ресурса и некорректной синхронизацией ("Состояние гонки"), позволяющая нарушителю выполнить произвольные команды
BDU:2024-09642	Уязвимость программы создания производственной отчетности и аналитики Dream Report, связаная с неправильный присвоением разрешений, позволяющая нарушителю повысить свои привилегии и вызвать отказ в обслуживании
BDU:2024-09649	Уязвимость компонента ThinServer платформы для централизованного управления приложениями Rockwell Automation ThinManager, позволяющая нарушителю выполнить произвольный код
BDU:2024-09660	Уязвимость утилиты для проверки и восстановления файловых систем fsck.fat набора программ dosfstools, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2024-09774	Уязвимость функции fs.statfs программной платформы Node.js, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-10320	Уязвимость системы сетевого управления для мониторинга промышленными сетями Siemens SINEC NMS, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю записывать произвольные данные в произвольное место файловой...
BDU:2024-10325	Уязвимость системы контроля доступа и учёта рабочего времени в рамках SIPORT, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2024-10355	Уязвимость компонента Group Membership Handler сервера Siemens SINEMA Remote Connect, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-10559	Уязвимость установщика драйвера Intel HID Event Filter микропрограммного обеспечения ноутбуков Intel NUC, позволяющая нарушителю повысить свои привилегии
BDU:2024-10569	Уязвимость системы управления лицензиями Flexlm License Daemons для программного обеспечения проектирования и разработки Intel FPGA, связанная с ошибками наследуемых разрешений, позволяющая нарушителю повысить свои привилегии
BDU:2024-10621	Уязвимость программно-аппаратных средств контроля и защиты SCADA-систем ABB REX640, связанная с использованием Sensitive Cookie без флага "HttpOnly", позволяющая нарушителю проводить межсайтовый скриптинг
BDU:2024-10772	Уязвимость файла конфигурации confluence-cfg.xml дата центра Confluence Data Center операционных систем Windows, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации
BDU:2024-11131	Уязвимость микропрограммного обеспечения маршрутизатора I-O Data Device UD-LT1 и UD-LT1/EX, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-11161	Уязвимость компонента TeamViewer Patch Asset Management программного обеспечения для удалённого управления компьютером TeamViewer, позволяющая нарушителю выполнять удаление произвольных файлов
BDU:2025-00184	Уязвимость программного инструмента для управления Kubernetes-кластерами Rancher Manager, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-00254	Уязвимость программного обеспечения разработки и выполнения приложений на языке ABAP SAP NetWeaver Application Server ABAP, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю оказать воздействие на конфиден...
BDU:2025-00512	Уязвимость операционной системы PowerScale OneFS, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-00686	Уязвимость прокси-сервера IBM Sterling Secure Proxy, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных
BDU:2025-01108	Уязвимость СУБД Apache Hive, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-01235	Уязвимость функции загрузки файлов резервных копий системы управления контентом CMSimple, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и выполнить произвольный код
BDU:2025-01242	Уязвимость компонента Agile Integration Services программного средства управления жизненным циклом продукта для предприятий Oracle Agile PLM Framework, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защища...
BDU:2025-01269	Уязвимость компонента Server: Optimizer системы управления базами данных MySQL, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-01314	Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-01473	Уязвимость механизма Windows Secure Kernel Mode операционной системы Windows, позволяющая нарушителю повысить свои привилегии
BDU:2025-03464	Уязвимость компонента Core среды виртуализации Oracle VM VirtualBox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и вызвать отказ в обслуживании
BDU:2025-04584	Уязвимость микропрограммного обеспечения маршрутизаторов Linksys Velop WHW01, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю повысить свои привилегии
BDU:2025-05064	Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05068	Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05069	Уязвимость компонента Server: DDL системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05072	Уязвимость компонента Server: Replication системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05073	Уязвимость компонента Server: Replication системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05238	Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05429	Уязвимость VPN-сервиса HPE Aruba Networking Virtual Intranet Access Client (VIA), связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05746	Уязвимость веб-интерфейса Zabbix UI системы мониторинга ИТ-инфраструктуры Zabbix, позволяющая нарушителю вызвать отказ в обслуживании или нарушить целостность ресурсов веб-интерфейса Zabbix
BDU:2025-06083	Уязвимость микропрограммного обеспечения промышленных коммутаторов Siemens Scalance LPE9403, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ...
BDU:2025-06086	Уязвимость микропрограммного обеспечения промышленных коммутаторов Siemens Scalance LPE9403, связанная с ошибками назначения разрешений для критически важных ресурсов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-06263	Уязвимость компонента Server:Options системы управления базами данных Oracle MySQL Server и компонента Cluster:General системы управления базами данных MySQL Cluster, позволяющая нарушителю получить несанкционированный доступ на чтение защищаемой инф...
BDU:2025-06436	Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-06439	Уязвимость программного обеспечения защиты данных Acronis Cyber Protect 16, связанная с некорректной настройкой прав доступа к важным ресурсам системы, позволяющая нарушителю повысить свои привилегии
BDU:2025-06721	Уязвимость платформы для автоматизации и оркестровки процессов SD-WAN Versa Concerto, связанная с неправильным присвоением разрешений для критичного ресурса при проверке запроса на подпись сертификата, позволяющая нарушителю выполнить произвольный ко...
BDU:2025-06752	Уязвимость реализации протокола PROFINET микропрограммного обеспечения модульной системы безопасности SIRIUS 3RK3 и микропрограммного обеспечения реле безопасности SIRIUS 3SK2, позволяющая нарушителю получить несанкционированный доступ к защищаемой и...
BDU:2025-07702	Уязвимость компонента socket.c оконного менеджера GNU Screen, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-07709	Уязвимость компонента apr.h библиотеки APR, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2025-07755	Уязвимость пакетных менеджеров Nix, Lix и Guix, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ на чтение и изменение данных
BDU:2025-07918	Уязвимость приложения для трансляции видео Canon EOS Webcam Utility Pro операционных систем macOS, связанная с неправильным назначением разрешений для критического ресурса, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии
BDU:2025-08106	Уязвимость компонента Server: Optimizer системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08556	Уязвимость компонента Verify языка программирования Go, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2025-08603	Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с неправильным назначением разрешений для критического ресурса, позволяющая нарушителю обойти процесс аутентификации
BDU:2025-08760	Уязвимость операционной системы Juniper Networks Junos OS, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-09135	Уязвимость платформы управления устройствами систем отопления, вентиляции и кондиционирования воздуха, освещения и энергопотребления Niagara Framework и средства контроля доступа и обеспечения безопасности Niagara Enterprise Security, связанная с нев...
BDU:2025-09154	Уязвимость платформы управления устройствами систем отопления, вентиляции и кондиционирования воздуха, освещения и энергопотребления Niagara Framework и средства контроля доступа и обеспечения безопасности Niagara Enterprise Security, связанная с нев...
BDU:2025-09563	Уязвимость сервиса Vagrant VMWare Utility, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ на чтение и изменение файлов
BDU:2025-09998	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/CE, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ на чтение и изменение данных
BDU:2025-10372	Уязвимость компонента NVIDIA Virtual GPU Manager драйвера виртуальных графических процессоров NVIDIA Virtual GPU, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-10480	Уязвимость VPN-шлюза корпоративных сетей Ivanti Secure Access Client (ISAC) (ранее Pulse Secure Desktop Client), связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-10929	Уязвимость инструмента для настройки облачного сервера Cloud-init, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнять произвольные команды
BDU:2025-11166	Уязвимость встроенного программного обеспечения ПЛК Fastwel, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить произвольные команды и повысить свои привилегии до уровня суперпользователя
BDU:2025-11168	Уязвимость встроенного программного обеспечения ПЛК Fastwel, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-11347	Уязвимость программного обеспечения для управления видео AXIS Camera Station Pro, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ на удаление произвольных файлов и вызвать отказ в обслужи...
BDU:2025-11403	Уязвимость терминального мультиплексора GNU screen, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-12644	Уязвимость программного обеспечения систем диспетчерского контроля и сбора данных ABB MicroSCADA, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии до уровня SYSTEM
BDU:2025-12647	Уязвимость комплексного программного обеспечения для проектирования и конфигурирования систем автоматизации на базе ПЛК и роботов ABB, связанная с непарвильным назначением разрешений для файлов, позволяющая нарушителю выполнить произвольный код
BDU:2025-12737	Уязвимость микропрограммного обеспечения сетевых устройств ZyXEL USG FLEX H, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-13197	Уязвимость модуля /.ssh/authorized_keys пакета программ для организации сеансов связи по протоколу SSH Dropbear, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-13248	Уязвимость инструмента для записи и отображения системных данных Below, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-13371	Уязвимость компонента /var/db/etcupdate/conflicts операционных систем FreeBSD, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-13765	Уязвимость микропрограммного обеспечения IP-камер Dahua, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-13816	Уязвимость системы управления базами данных MongoDB, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю получить доступ к вызвать отказ в обслуживании
BDU:2025-14338	Уязвимость платформы виртуализации SIMATIC Virtualization as a Service (SiVaaS), связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить несакционированный доступ на чтение и изменение данных
BDU:2025-14346	Уязвимость программного обеспечения Spectrum Power 4, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии
BDU:2025-14349	Уязвимость программного обеспечения Spectrum Power 4, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный команды
BDU:2025-14491	Уязвимость инструмента для мониторинга ИТ-инфраструктуры Nagios XI, связанная с неправильным назначением разрешений для критического ресурса, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2025-14542	Уязвимость программного средства мониторинга и анализа логов Nagios Log Server, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2025-14628	Уязвимость FTP-сервера Freefloat FTP Server, связанная с неограниченной загрузкой файлов опасного типа, позволяющая нарушителю выполнить удаленный код
BDU:2025-14692	Уязвимость компонента AsusSwitchAgent драйвера ASUS System Control Interface (ASCI), позволяющая нарушителю выполнить произвольный код с правами system
BDU:2025-14702	Уязвимость сценария process_perfdata.pl инструмента для мониторинга ИТ-инфраструктуры Nagios XI, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2025-15670	Уязвимость сервера Siemens SINEMA Remote Connect, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю выполнить атаку типа "человек посередине"
BDU:2025-16301	Уязвимость платформы для операционного анализа Splunk Enterprise, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к каталогу установки (по умолчанию C:\Program Files\Splunk) и всему его с...
BDU:2025-16302	Уязвимость приложения для мониторинга и сбора данных с различных источников Splunk Universal Forwarder, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю получить доступ к каталогу установки (по умолчанию...
BDU:2026-00081	Уязвимость программных продуктов CODESYS, связанная с неверным назначением разрешений для критического ресурса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2026-00195	Уязвимость микропрограммного обеспечения устройств SIMATIC IPC, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю обойти существующие ограничения безопасности и повысить свои привилегии
BDU:2026-00203	Уязвимость программного обеспечения восстановления поврежденных файлов Wondershare Repairit, связанная с неправильным присвоением разрешений для критичного ресурса, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2026-00212	Уязвимость плагина java-plugin-runner облачного API-шлюза Apache APISIX, позволяющая нарушителю повысить свои привилегии
BDU:2026-00588	Уязвимость программного обеспечения TeamViewer Remote Full Client, связанная с неправильным назначением разрешений для файлов, позволяющая нарушителю удалить произвольные файлы

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2012-0433	insecure permissions on files containing confidential data
CVE-2012-10030	FreeFloat FTP Server Arbitrary File Upload
CVE-2014-0068	It was reported that watchman in openshift node-utils creates /var/run/watchman.pid and /var/log/watchman.ouput with world wr...
CVE-2014-125121	Array Networks vAPV and vxAG Default Credential Privilege Escalation
CVE-2016-2121	A permissions flaw was found in redis, which sets weak permissions on certain files and directories that could potentially co...
CVE-2016-8637	A local information disclosure issue was found in dracut before 045 when generating initramfs images with world-readable perm...
CVE-2016-9604	It was discovered in the Linux kernel before 4.11-rc8 that root can gain direct access to an internal keyring, such as '.dns_...
CVE-2017-12167	It was found in EAP 7 before 7.0.9 that properties based files of the management and the application realm configuration that...
CVE-2017-12713	An Incorrect Permission Assignment for Critical Resource issue was discovered in Advantech WebAccess versions prior to V8.2_2...
CVE-2017-20198	DC/OS Marathon UI < 1.9.0 Unauthenticated RCE via Docker Mount Abuse
CVE-2017-2590	A vulnerability was found in ipa before 4.4. IdM's ca-del, ca-disable, and ca-enable commands did not properly check the user...
CVE-2017-8449	X-Pack Security 5.2.x would allow access to more fields than the user should have seen if the field level security rules used...
CVE-2017-8450	X-Pack 5.1.1 did not properly apply document and field level security to multi-search and multi-get requests so users without...
CVE-2018-1115	postgresql before versions 10.4, 9.6.9 is vulnerable in the adminpack extension, the pg_catalog.pg_logfile_rotate() function...
CVE-2018-14650	It was discovered that sos-collector does not properly set the default permissions of newly created files, making all files c...
CVE-2018-17892	NUUO CMS all versions 3.1 and prior, The application implements a method of user account control that causes standard account...
CVE-2019-0073	Junos OS: PKI key pairs are exported with insecure file permissions
CVE-2019-10132	A vulnerability was found in libvirt >= 4.1.0 in the virtlockd-admin.socket and virtlogd-admin.socket systemd units. A missin...
CVE-2019-13321	This vulnerability allows network adjacent attackers to execute arbitrary code on affected installations of Xiaomi Browser Pr...
CVE-2019-14824	A flaw was found in the 'deref' plugin of 389-ds-base where it could use the 'search' permission to display attribute values....
CVE-2019-18243	HMI/SCADA iFIX (Versions 6.1 and prior) allows a local authenticated user to modify system-wide iFIX configurations through t...
CVE-2019-18255	HMI/SCADA iFIX (Versions 6.1 and prior) allows a local authenticated user to modify system-wide iFIX configurations through s...
CVE-2019-18577	Dell EMC XtremIO XMS versions prior to 6.3.0 contain an incorrect permission assignment vulnerability. A malicious local user...
CVE-2019-19335	During installation of an OpenShift 4 cluster, the `openshift-install` command line tool creates an `auth` directory, with `k...
CVE-2019-19341	A flaw was found in Ansible Tower, versions 3.6.x before 3.6.2, where files in '/var/backup/tower' are left world-readable. T...
CVE-2019-2389	Process termination via PID file manipulation
CVE-2019-3683	keystone_json_assignment backend granted access to any project for users in user-project-map.json
CVE-2019-3765	Dell EMC Avamar Server versions 7.4.1, 7.5.0, 7.5.1, 18.2 and 19.1 and Dell EMC Integrated Data Protection Appliance (IDPA) v...
CVE-2019-3866	An information-exposure vulnerability was discovered where openstack-mistral's undercloud log files containing clear-text inf...
CVE-2019-3893	In Foreman it was discovered that the delete compute resource operation, when executed from the Foreman API, leads to the dis...
CVE-2019-5642	MAGICK
CVE-2020-10140	Acronis True Image 2021 fails to properly set ACLs of the C:\ProgramData\Acronis directory. Because some privileged processes...
CVE-2020-10642	In Rockwell Automation RSLinx Classic versions 4.11.00 and prior, an authenticated local attacker could modify a registry key...
CVE-2020-10699	A flaw was found in Linux, in targetcli-fb versions 2.1.50 and 2.1.51 where the socket used by targetclid was world-writable....
CVE-2020-10762	An information-disclosure flaw was found in the way that gluster-block before 0.5.1 logs the output from gluster-block CLI op...
CVE-2020-10781	A flaw was found in the Linux Kernel before 5.8-rc6 in the ZRAM kernel module, where a user with a local account and the abil...
CVE-2020-10883	This vulnerability allows local attackers to escalate privileges on affected installations of TP-Link Archer A7 Firmware Ver:...
CVE-2020-12041	The Baxter Spectrum WBM (v17, v20D29, v20D30, v20D31, and v22D24) telnet Command-Line Interface, grants access to sensitive d...
CVE-2020-15708	Libvirt Service Arbitrary File Write Privilege Escalation Vulnerability
CVE-2020-16202	WebAccess Node (All versions prior to 9.0.1) has incorrect permissions set for resources used by specific services, which may...
CVE-2020-1701	A flaw was found in the KubeVirt main virt-handler versions before 0.26.0 regarding the access permissions of virt-handler. A...
CVE-2020-1706	It has been found that in openshift-enterprise version 3.11 and openshift-enterprise versions 4.1 up to, including 4.3, multi...
CVE-2020-1707	A vulnerability was found in all openshift/postgresql-apb 4.x.x versions prior to 4.3.0, where an insecure modification vulne...
CVE-2020-1709	A vulnerability was found in all openshift/mediawiki 4.x.x versions prior to 4.3.0, where an insecure modification vulnerabil...
CVE-2020-1736	A flaw was found in Ansible Engine when a file is moved using atomic_move primitive as the file mode cannot be specified. Thi...
CVE-2020-17402	This vulnerability allows local attackers to disclose sensitive information on affected installations of Parallels Desktop 15...
CVE-2020-17414	This vulnerability allows local attackers to escalate privileges on affected installations of Foxit Reader 10.0.0.35798. An a...
CVE-2020-17415	This vulnerability allows local attackers to escalate privileges on affected installations of Foxit PhantomPDF 10.0.0.35798....
CVE-2020-24681	Automation Studio and PVI Multiple incorrect permission assignments for services
CVE-2020-25191	Incorrect permissions are set by default for an API entry-point of a specific service, allowing a non-authenticated user to t...
CVE-2020-26194	Dell EMC PowerScale OneFS versions 8.1.2 and 8.2.2 contain an Incorrect Permission Assignment for a Critical Resource vulnera...
CVE-2020-26196	Dell EMC PowerScale OneFS versions 8.1.0-9.1.0 contain a Backup/Restore Privilege implementation issue. A user with the Backu...
CVE-2020-27836	A flaw was found in cluster-ingress-operator. A change to how the router-default service allows only certain IP source ranges...
CVE-2020-5358	Dell Encryption versions prior to 10.7 and Dell Endpoint Security Suite versions prior to 2.7 contain a privilege escalation...
CVE-2020-5369	Dell EMC Isilon OneFS versions 8.2.2 and earlier and Dell EMC PowerScale OneFS version 9.0.0 contain a privilege escalation v...
CVE-2020-5371	Dell EMC Isilon OneFS versions 8.2.2 and earlier and Dell EMC PowerScale version 9.0.0 contain a file permissions vulnerabili...
CVE-2020-5385	Dell Encryption versions prior to 10.8 and Dell Endpoint Security Suite versions prior to 2.8 contain a privilege escalation...
CVE-2020-5417	Cloud Controller may allow developers to claim sensitive routes
CVE-2020-7314	Privilege Escalation vulnerability in McAfee DXL for Mac
CVE-2020-7337	Incorrect Permission Assignment for Critical Resource
CVE-2020-8029	skuba: Insecure handling of private key
CVE-2020-8472	ABB System 800xA Weak File Permissions - different products
CVE-2020-8473	ABB System 800xA Weak File Permissions - ABB System 800xA Base
CVE-2021-20996	WAGO: Managed Switches: Unsecure Cookie settings
CVE-2021-21364	Generated Code Contains Local Information Disclosure Vulnerability
CVE-2021-21567	Dell PowerScale OneFS 9.1.0.x contains an improper privilege management vulnerability. It may allow an authenticated user wit...
CVE-2021-22147	Elasticsearch before 7.14.0 did not apply document and field level security to searchable snapshots. This could lead to an au...
CVE-2021-22148	Elastic Enterprise Search App Search versions before 7.14.0 was vulnerable to an issue where API keys were not bound to the s...
CVE-2021-22149	Elastic Enterprise Search App Search versions before 7.14.0 are vulnerable to an issue where API keys were missing authorizat...
CVE-2021-22284	SECURITY - OPC Server for AC 800M - Remote Code Execution Vulnerability
CVE-2021-22669	Incorrect permissions are set to default on the ‘Project Management’ page of WebAccess/SCADA portal of WebAccess/SCADA Versio...
CVE-2021-22716	A CWE-732: Incorrect Permission Assignment for Critical Resource vulnerability exists that could allow remote code execution...
CVE-2021-22850	HGiga OAKloud Portal - Security Misconfiguration
CVE-2021-22921	Node.js before 16.4.1, 14.17.2, and 12.22.2 is vulnerable to local privilege escalation attacks under certain conditions on W...
CVE-2021-23021	The Nginx Controller 3.x before 3.7.0 agent configuration file /etc/controller-agent/agent.conf is world readable with curren...
CVE-2021-23055	On version 2.x before 2.0.3 and 1.x before 1.12.3, the command line restriction that controls snippet use with NGINX Ingress...
CVE-2021-24703	Download Plugin < 1.6.1 - Subscriber+ Arbitrary Plugin Activation
CVE-2021-25318	rancher: API group not properly specified when creating Kubernetes RBAC resources
CVE-2021-31377	Junos OS: A local authenticated attacker can cause RPD to core
CVE-2021-31475	This vulnerability allows remote attackers to execute arbitrary code on affected installations of SolarWinds Orion Job Schedu...
CVE-2021-31894	A vulnerability has been identified in SIMATIC PCS 7 V8.2 and earlier (All versions), SIMATIC PCS 7 V9.X (All versions < V9.1...
CVE-2021-32526	QSAN Storage Manager - Incorrect Permission Assignment for Critical Resource
CVE-2021-34758	Cisco TelePresence Collaboration Endpoint and RoomOS Software Denial of Service Vulnerability
CVE-2021-35248	Unrestricted access to Orion.UserSettings SWIS entity for low-privilege users
CVE-2021-3557	A flaw was found in argocd. Any unprivileged user is able to deploy argocd in their namespace and with the created ServiceAcc...
CVE-2021-36279	Dell EMC PowerScale OneFS versions 8.2.x - 9.2.x contain an incorrect permission assignment for critical resource vulnerabili...
CVE-2021-36280	Dell EMC PowerScale OneFS versions 8.2.x - 9.2.x contain an incorrect permission assignment for critical resource vulnerabili...
CVE-2021-36290	Dell VNX2 for File version 8.1.21.266 and earlier, contain a privilege escalation vulnerability. A local malicious admin may...
CVE-2021-3631	A flaw was found in libvirt while it generates SELinux MCS category pairs for VMs' dynamic labels. This flaw allows one explo...
CVE-2021-37207	A vulnerability has been identified in SENTRON powermanager V3 (All versions). The affected application assigns improper acce...
CVE-2021-3747	MacOS version of Multipass incorrect owner for application directory
CVE-2021-38475	AUVESY Versiondog
CVE-2021-38483	ICSA-22-109-03 FANUC ROBOGUIDE Simulation Platform
CVE-2021-39235	Access mode of block tokens are not enforced
CVE-2021-40331	Permissions problem in the Apache Ranger Hive Plugin
CVE-2021-4199	Incorrect Permission Assignment for Critical Resource vulnerability in BDReinit.exe (VA-10017)
CVE-2021-43019	Adobe Creative Cloud Incorrect Permission Assignment Privilege Escalation Vulnerability
CVE-2021-43359	Sunnet eHRD - Broken Access Control
CVE-2022-0247	Write access to VMO data through copy-on-write in Fuchsia
CVE-2022-0277	Incorrect Permission Assignment for Critical Resource in microweber/microweber
CVE-2022-0532	An incorrect sysctls validation vulnerability was found in CRI-O 1.18 and earlier. The sysctls from the list of "safe" sysctl...
CVE-2022-1316	Incorrect Permission Assignment for Critical Resource in zerotier/zerotierone
CVE-2022-1348	A vulnerability was found in logrotate in how the state file is created. The state file is used to prevent parallel execution...
CVE-2022-1412	Log WP_Mail <= 0.1 - Email Logs Publicly Accessible
CVE-2022-1596	ABB Relion REX640 Insufficient file access control
CVE-2022-1655	An Incorrect Permission Assignment for Critical Resource flaw was found in Horizon on Red Hat OpenStack. Horizon session cook...
CVE-2022-21694	OTF-006: Broken Website Hardening Control: The CSP can be turned on or off but not configured for the specific needs of the w...
CVE-2022-21819	NVIDIA distributions of Jetson Linux contain a vulnerability where an error in the IOMMU configuration may allow an unprivile...
CVE-2022-21946	suddoers configuration for cscreen not restrictive enough
CVE-2022-22141	'Long-term Data Archive Package' service implemented in the following Yokogawa Electric products creates some named pipe with...
CVE-2022-22148	'Root Service' service implemented in the following Yokogawa Electric products creates some named pipe with improper ACL conf...
CVE-2022-22248	Junos OS Evolved: Incorrect file permissions can allow low-privileged user to cause another user to execute arbitrary command...
CVE-2022-22516	CODESYS driver SysDrv3S allows SYSTEM users on Microsoft Windows to read and write in restricted memory space.
CVE-2022-22521	Privilege Escalation in Miele Benchmark Programming Tool
CVE-2022-2332	Honeywell SoftMaster Incorrect Permission Assignment for Critical Resource
CVE-2022-23448	A vulnerability has been identified in SIMATIC Energy Manager Basic (All versions < V7.3 Update 1), SIMATIC Energy Manager PR...
CVE-2022-24769	Default inheritable capabilities for linux container should be empty
CVE-2022-24872	Improper Access Control in shopware
CVE-2022-26340	On F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13.1.x...
CVE-2022-29263	On F5 BIG-IP APM 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13....
CVE-2022-30527	A vulnerability has been identified in SINEC NMS (All versions < V2.0). The affected application assigns improper access righ...
CVE-2022-31465	A vulnerability has been identified in Xpedition Designer VX.2.10 (All versions < VX.2.10 Update 13), Xpedition Designer VX.2...
CVE-2022-3258	Incorrect Permission Assignment for Critical Resource vulnerability in HYPR Workforce Access on Windows allows Authentication...
CVE-2022-32777	An information disclosure vulnerability exists in the cookie functionality of WWBN AVideo 11.6 and dev master commit 3f7c0364...
CVE-2022-32778	An information disclosure vulnerability exists in the cookie functionality of WWBN AVideo 11.6 and dev master commit 3f7c0364...
CVE-2022-33163	IBM Security Directory Suite VA information disclosure
CVE-2022-33695	Use of improper permission in InputManagerService prior to SMR Jul-2022 Release 1 allows unauthorized access to the service.
CVE-2022-34891	This vulnerability allows local attackers to escalate privileges on affected installations of Parallels Desktop Parallels Des...
CVE-2022-36103	Talos worker join token can be used to get elevated access level to the Talos API
CVE-2022-37435	Apache ShenYu Admin Improper Privilege Management
CVE-2022-39062	A vulnerability has been identified in SICAM TOOLBOX II (All versions < V07.10). Affected applications do not properly set pe...
CVE-2022-41699	Incorrect permission assignment for critical resource in some Intel(R) QAT drivers for Windows before version 1.9.0 may allow...
CVE-2022-41771	Incorrect permission assignment for critical resource in some Intel(R) QAT drivers for Windows before version 1.9.0 may allow...
CVE-2022-41926	Nextcloud Talk Android broadcast incorrect permission handling
CVE-2022-42972	A CWE-732: Incorrect Permission Assignment for Critical Resource vulnerability exists that could cause local privilege escala...
CVE-2022-43517	A vulnerability has been identified in Simcenter STAR-CCM+ (All versions < V2306). The affected application improperly assign...
CVE-2022-43773	Hitachi Vantara Pentaho Business Analytics Server - Incorrect Permission Assignment for Critical Resource
CVE-2022-43915	IBM App Connect Enterprise Certified Container
CVE-2022-43946	Multiple vulnerabilities including an incorrect permission assignment for critical resource [CWE-732] vulnerability and a tim...
CVE-2023-0207	NVIDIA DGX-2 SBIOS contains a vulnerability where an attacker may modify the ServerSetup NVRAM variable at runtime by executi...
CVE-2023-0225	A flaw was found in Samba. An incomplete access check on dnsHostName allows authenticated but otherwise unprivileged users to...
CVE-2023-0757	Phoenix Contact ProConOS prone to Incorrect Permission Assignment for Critical Resource
CVE-2023-0834	Incorrect Permission Assignment for Critical Resource vulnerability in HYPR Workforce Access on MacOS allows Privilege Escala...
CVE-2023-1135	In Delta Electronics InfraSuite Device Master versions prior to 1.0.5, an attacker could set incorre...
CVE-2023-1516	RoboDK versions 5.5.3 and prior contain an insecure permission assignment to critical directories vulnerability, which could...
CVE-2023-22294	Privilege escalation in Checkmk Appliance
CVE-2023-22326	iControl REST and tmsh vulnerability
CVE-2023-23939	Azure/setup-kubectl: Escalation of privilege vulnerability for v3 and lower
CVE-2023-25648	Weak Folder Permission Vulnerability in ZTE ZXCLOUD iRAI
CVE-2023-28068	Dell Command Monitor, versions 10.9 and prior, contains an improper folder permission vulnerability. A local authenticated m...
CVE-2023-28123	A permission misconfiguration in UI Desktop for Windows (Version 0.59.1.71 and earlier) could allow an user to hijack VPN cre...
CVE-2023-28133	Local privilege escalation in Check Point Endpoint Security Client (version E87.30) via crafted OpenSSL configuration file
CVE-2023-28134	Local Privliege Escalation in Check Point Endpoint Security Remediation Service
CVE-2023-28960	Junos OS Evolved: Docker repository is world-writeable, allowing low-privileged local user to inject files into Docker contai...
CVE-2023-30606	Multisite denial of service through unsanitized dynamic dispatch to SiteSetting in Discourse
CVE-2023-30897	A vulnerability has been identified in SIMATIC WinCC (All versions < V7.5.2.13). Affected applications fail to set proper acc...
CVE-2023-31142	Discourse's general category permissions could be set back to default
CVE-2023-31238	A vulnerability has been identified in SICAM P850 (7KG8500-0AA00-0AA0) (All versions < V3.11), SICAM P850 (7KG8500-0AA00-2AA0...
CVE-2023-31453	Apache InLong: IDOR make users can delete others' subscription
CVE-2023-31454	Apache InLong: IDOR make users can bind any cluster
CVE-2023-32114	Denial of Service in SAP NetWeaver
CVE-2023-32162	Wacom Drivers for Windows Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2023-32303	Planet's secret file is created with excessive permissions
CVE-2023-32723	Inefficient permission check in class CControllerAuthenticationUpdate
CVE-2023-32724	JavaScript engine memory pointers are directly available for Zabbix users for modification
CVE-2023-3282	Cortex XSOAR: Local Privilege Escalation (PE) Vulnerability in Cortex XSOAR Engine
CVE-2023-3322	Code Execution through overwriting service executable in utilities directory
CVE-2023-33990	Denial of Service (DoS) vulnerability in SAP SQL Anywhere
CVE-2023-34437	Baker Hughes Bently Nevada 3500 System Incorrect Permission Assignment for Critical Resource
CVE-2023-35168	DataEase has a privilege bypass vulnerability
CVE-2023-35841	WinFlash Driver Permissions Issue
CVE-2023-35870	Improper Access Control in SAP S/4HANA (Manage Journal Entry Template)
CVE-2023-38557	A vulnerability has been identified in Spectrum Power 7 (All versions < V23Q3). The affected product assigns improper access...
CVE-2023-38640	A vulnerability has been identified in SICAM PAS/PQS (All versions >= V8.00 < V8.22). The affected application is installed w...
CVE-2023-40516	LG Simple Editor Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2023-40622	Information Disclosure vulnerability in SAP BusinessObjects Business Intelligence Platform (Promotion Management)
CVE-2023-41776	Local Privilege Escalation Vulnerability of ZTE's ZXCLOUD iRAI
CVE-2023-42489	EisBaer Scada - CWE-732: Incorrect Permission Assignment for Critical Resource
CVE-2023-4332	Broadcom RAID Controller web interface is vulnerable due to Improper permissions on the log file
CVE-2023-44120	A vulnerability has been identified in Spectrum Power 7 (All versions < V23Q4). The affected product's sudo configuration per...
CVE-2023-44201	Junos OS and Junos OS Evolved: A local attacker can retrieve sensitive information and elevate privileges on the device to an...
CVE-2023-44387	Gradle has incorrect permission assignment for symlinked files used in copy or archiving operations
CVE-2023-45205	A vulnerability has been identified in SICAM PAS/PQS (All versions >= V8.00 < V8.20). The affected application is installed w...
CVE-2023-46141	Phoenix Contact: Automation Worx and classic line controllers prone to Incorrect Permission Assignment for Critical Resource
CVE-2023-46142	PHOENIX CONTACT: Insufficient Read and Write Protection to Logic and Runtime Data in PLCnext Control
CVE-2023-47564	Qsync Central
CVE-2023-47712	IBM Security Guardium privilege escalation
CVE-2023-4777	Incorrect Permission Assignment on Qualys Container Scanning Connector Plugin 1.6.2.6 and earlier
CVE-2023-49257	Command execution using the certificate upload utility
CVE-2023-49578	Denial of service (DOS) in SAP Cloud Connector
CVE-2023-49580	Information disclosure in SAP GUI for Windows and SAP GUI for Java
CVE-2023-49582	Apache Portable Runtime (APR): Unexpected lax shared memory permissions
CVE-2023-49797	Local Privilege Escalation in pyinstaller on Windows
CVE-2023-50292	Apache Solr: Solr Schema Designer blindly "trusts" all configsets, possibly leading to RCE by unauthenticated users
CVE-2023-51579	Voltronic Power ViewPower Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2023-5936	Unsafe temporary data privileges on Unix systems in Arc before v1.6.0
CVE-2023-6179	Incorrect Permission assignment to program executable folders
CVE-2024-0128	NVIDIA vGPU software contains a vulnerability in the Virtual GPU Manager that allows a user of the guest OS to access global...
CVE-2024-0949	Improper Access Control in Talya Informatics' Elektraweb
CVE-2024-10018	Improper permission control in the mobile application (com.transsion.aivoiceassistant) can lead to the launch of any unexport...
CVE-2024-10209	Incorrect Permission Assignment in APROL file system
CVE-2024-10228	Vagrant VMWare Utility installation files vulnerable to modification by unprivileged user
CVE-2024-10256	Insufficient permissions in Ivanti Patch SDK before version 9.7.703 allows a local authenticated attacker to delete arbitrary...
CVE-2024-10526	Rapid7 Velociraptor Local Privilege Escalation In Windows Velociraptor Service
CVE-2024-11176	Incorrect evaluation of effective permissions in M-Files Aino
CVE-2024-11497	Phoenix Contact: CHARX-SEC3xxx Charge controllers vulnerable to privilege escalation
CVE-2024-12149	Incorrect permission assignment in temporary access requests component in Devolutions Remote Desktop Manager 2024.3.19.0 and...
CVE-2024-12151	Incorrect permission assignment in the user migration feature in Devolutions Server 2024.3.8.0 and earlier allows users to re...
CVE-2024-12363	Insufficient permissions in the TeamViewer Patch & Asset Management component
CVE-2024-13813	Insufficient permissions in Ivanti Secure Access Client before version 22.8R1 allows a local authenticated attacker to delete...
CVE-2024-13861	A code injection vulnerability in the Debian package component of Taegis Endpoint Agent (Linux) versions older than 1.3.10 al...
CVE-2024-1486	Elevation of privileges via misconfigured access control list in GE HealthCare ultrasound devices
CVE-2024-1724	snapd allows $HOME/bin symlink
CVE-2024-20456	A vulnerability in the boot process of Cisco IOS XR Software could allow an authenticated, local attacker with high privilege...
CVE-2024-21305	Hypervisor-Protected Code Integrity (HVCI) Security Feature Bypass Vulnerability
CVE-2024-21431	Hypervisor-Protected Code Integrity (HVCI) Security Feature Bypass Vulnerability
CVE-2024-21902	QTS, QuTS hero
CVE-2024-21915	Rockwell Automation FactoryTalk® Service Platform Elevated Privileges Vulnerability Through Web Service Functionality
CVE-2024-22016	Incorrect Permission Assignment for Critical Resource in Rapid SCADA
CVE-2024-22029	tomcat packaging allows for escalation to root from tomcat user
CVE-2024-22334	IBM UrbanCode Deploy improper privilege control
CVE-2024-24740	Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP (SAP Kernel)
CVE-2024-24910	LocalprivilegeescalationinCheckPointZoneAlarmExtremeSecurityNextGen,IdentityAgentforWindows,andIdentityAgentforWindowsTermina...
CVE-2024-24912	Local privilege escalation in Harmony Endpoint Security Client for Windows via crafted DLL file
CVE-2024-25644	Information Disclosure vulnerability in NetWeaver (WSRM)
CVE-2024-25645	Information Disclosure vulnerability in SAP NetWeaver (Enterprise Portal)
CVE-2024-25646	Information Disclosure vulnerability in SAP BusinessObjects Web Intelligence
CVE-2024-25956	Dell Grab for Windows, versions 5.0.4 and below, contains an improper file permissions vulnerability. A locally authenticated...
CVE-2024-27108	Non privileged access to critical file vulnerability in GE HealthCare EchoPAC products
CVE-2024-27294	dp-golang Go installation could be owned by wrong user
CVE-2024-28163	Information Disclosure vulnerability in SAP NetWeaver Process Integration (Support Web Pages)
CVE-2024-28827	Privilege escalation in Windows agent
CVE-2024-28955	Affected devices create coredump files when crashed, storing them with world-readable permission. Any local user of the devic...
CVE-2024-2905	Rpm-ostree: world-readable /etc/shadow file
CVE-2024-29187	WiX based installers are vulnerable to binary hijack when run as SYSTEM
CVE-2024-29869	Apache Hive: Credentials file created with non restrictive permissions
CVE-2024-29964	Brocade SANnav versions before v2.3.0a do not correctly set permissions on files, including docker files
CVE-2024-30208	A vulnerability has been identified in SIMATIC RTLS Locating Manager (6GT2780-0DA00) (All versions < V3.0.1.1), SIMATIC RTLS...
CVE-2024-30369	A10 Thunder ADC Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-31202	A “CWE-732: Incorrect Permission Assignment for Critical Resource” in the ThermoscanIP installation folder allows a local att...
CVE-2024-32010	A vulnerability has been identified in Spectrum Power 4 (All versions < V4.70 SP12 Update 2). The affected application is vul...
CVE-2024-32014	A vulnerability has been identified in Spectrum Power 4 (All versions < V4.70 SP12 Update 2). The affected application is vul...
CVE-2024-32478	Git Credential Manager (GCM)'s Debian package does not set root ownership on installed files
CVE-2024-33499	A vulnerability has been identified in SIMATIC RTLS Locating Manager (6GT2780-0DA00) (All versions < V3.0.1.1), SIMATIC RTLS...
CVE-2024-3375	Broken Access Control in Havelsan's Dialogue
CVE-2024-37369	Rockwell Automation FactoryTalk® View SE Local Privilege Escalation Vulnerability via Local File Permissions
CVE-2024-38337	IBM Sterling Secure Proxy improper input validation
CVE-2024-38646	Notes Station 3
CVE-2024-38864	User-Readable Private Key in Windows Agent
CVE-2024-39875	A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.2 SP1). The affected application allow...
CVE-2024-41171	A vulnerability has been identified in SINUMERIK 828D V4 (All versions), SINUMERIK 828D V5 (All versions < V5.24), SINUMERIK...
CVE-2024-41820	Cluster-level privilege escalation in kubean
CVE-2024-41954	FOG Weak file permissions
CVE-2024-41970	WAGO: Unauthorized Diagnostic Data Exposure in Multiple Devices
CVE-2024-41974	WAGO: BACNet Service Property Modification Due to Permission Misconfiguration in Multiple Devices
CVE-2024-45497	Openshift-api: openshift-controller-manager/build: build process in openshift allows overwriting of node pull credentials
CVE-2024-45655	IBM Application Gateway incorrect permission assignment
CVE-2024-45657	IBM Security Verify Access incorrect privilege assignment
CVE-2024-45841	Incorrect permission assignment for critical resource issue exists in UD-LT1 firmware Ver.2.1.9 and earlier and UD-LT1/EX fir...
CVE-2024-46881	Develocity (formerly Gradle Enterprise) before 2024.1.8 has Incorrect Access Control. Project-level access control configurat...
CVE-2024-46897	Incorrect permission assignment for critical resource issue exists in Exment v6.1.4 and earlier and Exment v5.0.11 and earlie...
CVE-2024-47104	IBM i incorrect privilege assignment
CVE-2024-47475	Dell PowerScale OneFS 8.2.2.x through 9.8.0.x contains an incorrect permission assignment for critical resource vulnerability...
CVE-2024-47783	A vulnerability has been identified in SIPORT (All versions < V3.4.0). The affected application improperly assigns file permi...
CVE-2024-47808	A vulnerability has been identified in SINEC NMS (All versions < V3.0 SP1). The affected application contains a database func...
CVE-2024-49385	Sensitive information disclosure due to insecure folder permissions. The following products are affected: Acronis True Image...
CVE-2024-50590	Local Privilege Escalation via Weak Service Binary Permissions
CVE-2024-5163	Improper permission settings in com.transsion.carlcare
CVE-2024-52328	ECOVACS lawnmowers and vacuums insecurely store audio warning files
CVE-2024-5618	Broken Access Control in PruvaSoft Informatics' Apinizer Management Console
CVE-2024-5915	GlobalProtect App: Local Privilege Escalation (PE) Vulnerability
CVE-2024-5930	VIPRE Advanced Security Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-6360	Incorrect Permission Assignment for Critical Resource vulnerability has been discovered in OpenText™ Vertica.
CVE-2024-6435	Rockwell Automation Privilege Escalation Vulnerability in Pavilion8®
CVE-2024-6510	Local privilege escalation vulnerability in AVG Internet Security
CVE-2024-6619	Incorrect Permission Assignment for Critical Resource in Ocean Data Systems Dream Report
CVE-2024-6780	Improper permission control in com.android.server.telecom
CVE-2024-6871	G DATA Total Security Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-7245	Panda Security Dome VPN Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-7513	Rockwell Automation FactoryTalk® View Site Edition Code Execution Vulnerability via File Permissions
CVE-2024-7572	Insufficient permissions in Ivanti DSM before version 2024.3.5740 allows a local authenticated attacker to delete arbitrary f...
CVE-2024-7594	Vault SSH Secrets Engine Configuration Did Not Restrict Valid Principals By Default
CVE-2024-7612	Insecure permissions in Ivanti EPMM before 12.1.0.4 allow a local authenticated attacker to modify sensitive application comp...
CVE-2024-7986	Rockwell Automation ThinManager® ThinServer™ Information Disclosure
CVE-2024-8039	Improper permission configurationDomain configuration vulnerability of the mobile application (com.afmobi.boomplayer) can lea...
CVE-2024-8256	Incorrect Permission Assignment in RutOS based routers and TSWOS based managed switches
CVE-2024-8540	Insecure permissions in Ivanti Sentry before versions 9.20.2 and 10.0.2 or 10.1.0 allow a local authenticated attacker to mod...
CVE-2024-9142	Local File Inclusion (LFI) in Olgu Computer Systems' e-Belediye
CVE-2024-9244	Foxit PDF Reader Update Service Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-9245	Foxit PDF Reader Update Service Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2024-9842	Incorrect permissions in Ivanti Secure Access Client before version 22.7R4 allows a local authenticated attacker to create ar...
CVE-2025-0064	Improper Authorization in SAP BusinessObjects Business Intelligence platform (Central Management Console)
CVE-2025-0066	Information Disclosure vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework)
CVE-2025-0164	IBM QRadar SIEM information disclosure
CVE-2025-0374	Unprivileged access to system files
CVE-2025-0590	Improper permission settings for mobile applications (com.transsion.carlcare) may lead to information leakage risk.
CVE-2025-0758	Hitachi Vantara Pentaho Business Analytics Server - Incorrect Permission Assignment for Critical Resource
CVE-2025-0926	Gee-netics, member of AXIS Camera Station Pro Bug Bounty Program, has found that it is possible for a non-admin user to remov...
CVE-2025-10059	MongoDB Server router will crash when incorrect lsid is set on a sharded query
CVE-2025-10541	Local Privilege Escalation via Insecure Update Mechanism in iMonitor EAM
CVE-2025-10643	Wondershare Repairit Incorrect Permission Assignment Authentication Bypass Vulnerability
CVE-2025-1067	There is a code injection vulnerability in ArcGIS Pro
CVE-2025-10751	MacForge 1.2.0 Beta 1 - Local Privilege Escalation
CVE-2025-1139	IBM Edge Application Manager incorrect permissions
CVE-2025-11906	Privilege escalation via writable configuration files in Progress Flowmon
CVE-2025-12004	The compare API module breaks Extension:Lockdown
CVE-2025-12147	Unauthorized access to fields protected by Field-Level Security (FLS) when those fields are members of an object
CVE-2025-12148	Unauthorized access to fields protected by Field Masking (FM) for fields of type IP
CVE-2025-1413	Dylib Hijacking in DaVinci Resolve
CVE-2025-1731	An incorrect permission assignment vulnerability in the PostgreSQL commands of the Zyxel USG FLEX H series uOS firmware versi...
CVE-2025-20233	Incorrect permissions set by the “chmod“ and “makedirs“ Python functions in Splunk App for Lookup File Editing
CVE-2025-20298	Incorrect permission assignment on Universal Forwarder for Windows during new installation or upgrade
CVE-2025-2098	Dylib Hijacking in Fast CAD Reader
CVE-2025-21325	Windows Secure Kernel Mode Elevation of Privilege Vulnerability
CVE-2025-22454	Insufficiently restrictive permissions in Ivanti Secure Access Client before 22.7R4 allows a local authenticated attacker to...
CVE-2025-23245	NVIDIA vGPU software for Windows and Linux contains a vulnerability in the Virtual GPU Manager (vGPU plugin), where it allows...
CVE-2025-23257	NVIDIA DOCA contains a vulnerability in the collectx-clxapidev Debian package that could allow an actor with low privileges t...
CVE-2025-23258	NVIDIA DOCA contains a vulnerability in the collectx-dpeserver Debian package for arm64 that could allow an attacker with low...
CVE-2025-23285	NVIDIA vGPU software contains a vulnerability in the Virtual GPU Manager, where it allows a guest to access global resources....
CVE-2025-23403	A vulnerability has been identified in SIMATIC IPC DiagBase (All versions), SIMATIC IPC DiagMonitor (All versions). The affec...
CVE-2025-24009	A vulnerability has been identified in SIRIUS 3RK3 Modular Safety System (MSS) (All versions), SIRIUS Safety Relays 3SK2 (All...
CVE-2025-24481	FactoryTalk® View Site Edition - Incorrect Permission Assignment
CVE-2025-24527	An issue was discovered in Akamai Enterprise Application Access (EAA) before 2025-01-17. If an admin knows another tenant's 1...
CVE-2025-2503	An improper permission handling vulnerability was reported in Lenovo PC Manager that could allow a local attacker to perform...
CVE-2025-26168	IXON VPN Client before 1.4.4 on Linux and macOS allows Local Privilege Escalation to root because there is code execution fro...
CVE-2025-26169	IXON VPN Client before 1.4.4 on Windows allows Local Privilege Escalation to SYSTEM because there is code execution from a co...
CVE-2025-26469	An incorrect default permissions vulnerability exists in the CServerSettings::SetRegistryValues functionality of MedDream PAC...
CVE-2025-27141	Metabase Enterprise Edition allows cached questions to leak data to impersonated users
CVE-2025-27446	Apache APISIX Java Plugin Runner: Local listening file permissions in APISIX plugin runner allow a local attacker to elevate...
CVE-2025-2759	GStreamer Incorrect Permission Assignment Local Privilege Escalation Vulnerability
CVE-2025-27688	Dell ThinOS 2408 and prior, contains an improper permissions vulnerability. A low privileged attacker with local access could...
CVE-2025-30063	Excessive permissions on configuration files containing database logins and passwords
CVE-2025-30408	Local privilege escalation due to insecure folder permissions. The following products are affected: Acronis Cyber Protect Clo...
CVE-2025-30661	Junos OS: Low-privileged user can cause script to run as root, leading to privilege escalation
CVE-2025-31702	A vulnerability exists in certain Dahua embedded products. Third-party malicious attacker with obtained normal user credentia...
CVE-2025-32915	Sensitive data exposed during automatic agent updates
CVE-2025-3394	Vulnerability in user management of Automation Builder
CVE-2025-3395	Incorrect Permission Assignment for Critical Resource, Cleartext Storage of Sensitive Information vulnerability in ABB Automa...
CVE-2025-34025	Versa Concerto Insecure Docker Mount Container Escape
CVE-2025-34135	Nagios XI < 2024R1.4.2 Overly Permissive Permissions on Systemd Unit Files
CVE-2025-34189	Vasion Print (formerly PrinterLogic) Insecure Inter-Process Communication Allows Local Session Hijacking
CVE-2025-34206	Vasion Print (formerly PrinterLogic) Insecure Shared Storage Permissions
CVE-2025-34212	Vasion Print (formerly PrinterLogic) Insecure Build Pipeline
CVE-2025-34287	Nagios XI < 2024R2 Privilege Escalation via process_perfdata.pl
CVE-2025-36193	IBM Transformation Advisor incorrect permissions
CVE-2025-38742	Dell iDRAC Service Module (iSM), versions prior to 6.0.3.0, contains an Incorrect Permission Assignment for Critical Resource...
CVE-2025-3936	Incorrect Permission Assignment for Critical Resource
CVE-2025-3944	Incorrect Permission Assignment for Critical Resource
CVE-2025-40572	A vulnerability has been identified in SCALANCE LPE9403 (6GK5998-3GS00-2AC2) (All versions < V4.0 HF0). Affected devices do n...
CVE-2025-40574	A vulnerability has been identified in SCALANCE LPE9403 (6GK5998-3GS00-2AC2) (All versions < V4.0 HF0). Affected devices do n...
CVE-2025-40672	Privilege Escalation in Panloader.exe
CVE-2025-40804	A vulnerability has been identified in SIMATIC Virtualization as a Service (SIVaaS) (All versions). The affected application...
CVE-2025-41659	CODESYS Control PKI Exposure Enables Remote Certificate Access
CVE-2025-41664	Improper Permission Handling Enables Unauthorized Access to Firmware and Certificates
CVE-2025-42997	Information Disclosure vulnerability in SAP Gateway Client
CVE-2025-43729	Dell ThinOS 10, versions prior to 2508_10.0127, contains an Incorrect Permission Assignment for Critical Resource vulnerabili...
CVE-2025-43759	Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.0 through 2024.Q3.13,...
CVE-2025-43808	The Commerce component in Liferay Portal 7.3.0 through 7.4.3.112, and Liferay DXP 2023.Q4.0 through 2023.Q4.8, 2023.Q3.1 thro...
CVE-2025-46093	LiquidFiles before 4.1.2 supports FTP SITE CHMOD for mode 6777 (setuid and setgid), which allows FTPDrop users to execute arb...
CVE-2025-48382	Fess has Insecure Temporary File Permissions
CVE-2025-48961	Local privilege escalation due to insecure folder permissions. The following products are affected: Acronis Cyber Protect 16...
CVE-2025-49131	FastGPT Sandbox Vulnerable to Sandbox Bypass
CVE-2025-4952	Denial-of-service vulnerability in ESET security products for Windows
CVE-2025-52873	Cognex In-Sight Explorer and In-Sight Camera Firmware Incorrect Permission Assignment for Critical Resource
CVE-2025-52923	Sangfor aTrust through 2.4.10 allows users to modify the ExecStartPre command.
CVE-2025-52992	The Nix, Lix, and Guix package managers fail to properly set permissions when a derivation build fails. This may allow arbitr...
CVE-2025-53396	Incorrect permission assignment for critical resource issue exists in SS1 Ver.16.0.0.10 and earlier (Media version:16.0.0a an...
CVE-2025-54497	Cognex In-Sight Explorer and In-Sight Camera Firmware Incorrect Permission Assignment for Critical Resource
CVE-2025-54545	On affected platforms, a restricted user could break out of the CLI sandbox to the system shell and elevate their privileges.
CVE-2025-54546	On affected platforms, restricted users could use SSH port forwarding to access host-internal services
CVE-2025-57741	An Incorrect Permission Assignment for Critical Resource vulnerability [CWE-732] in FortiClientMac 7.4.0 through 7.4.3, 7.2.0...
CVE-2025-5819	Incorrect Permission Assignment for Critical Resource in GitLab
CVE-2025-58372	Roo Code: Potential Remote Code Execution via .code-workspace
CVE-2025-59349	Directories created via os.MkdirAll are not checked for permissions
CVE-2025-59373	A local privilege escalation vulnerability exists in the restore mechanism of ASUS System Control Interface. It can be t...
CVE-2025-5995	Canon EOS Webcam Utility Pro for MAC OS contains an insecure permission issue potentially leading to code execution and privi...
CVE-2025-59961	Junos OS and Junos OS Evolved: Unix socket used to control the jdhcpd process is world-writable
CVE-2025-62251	Liferay Portal 7.3.0 through 7.4.3.119, and Liferay DXP 2023.Q3.1 through 2023.Q3.8, 2023.Q4.0 through 2023.Q4.5, 7.4 GA thro...
CVE-2025-62575	Mirion Medical EC2 Software NMIS BioDose Incorrect Permission Assignment for Critical Resource
CVE-2025-62688	AutomationDirect Productivity Suite Incorrect Permission Assignment for Critical Resource
CVE-2025-64298	Mirion Medical EC2 Software NMIS BioDose Incorrect Permission Assignment for Critical Resource
CVE-2025-64319	Incorrect Permission Assignment for Critical Resource vulnerability in Salesforce Mulesoft Anypoint Code Builder allows Manip...
CVE-2025-64322	Incorrect Permission Assignment for Critical Resource vulnerability in Salesforce Agentforce Vibes Extension allows Manipulat...
CVE-2025-64324	KubeVirt Vulnerable to Arbitrary Host File Read and Write
CVE-2025-64642	Mirion Medical EC2 Software NMIS BioDose Incorrect Permission Assignment for Critical Resource
CVE-2025-64996	Overly broad file permissions in the mk_inotify plugin allows reading and manipulating the plugin's output
CVE-2025-6779	An ACAP configuration file has improper permissions, which could allow command injection and potentially lead to privilege es...
CVE-2025-68462	Freedombox before 25.17.1 does not set proper permissions for the backups-data directory, allowing the reading of dump files...
CVE-2025-69426	Ruckus vRIoT IoT Controller < 3.0.0.0 Hardcoded SSH Credentials RCE
CVE-2025-8108	An ACAP configuration file has improper permissions and lacks input validation, which could potentially lead to privilege esc...
CVE-2025-8148	CVE-2025-8148 Improper Access Control in SFTP service of GoAnywhere MFT
CVE-2025-8886	Authorization Bypass in Usta Information Systems' Aybs Interaktif
CVE-2025-9578	Local privilege escalation due to insecure folder permissions. The following products are affected: Acronis Cyber Protect Clo...

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20230512-12	12.05.2023	Перезапись произвольных файлов в Junos OS Evolved
VULN:20240221-18	21.02.2024	Выполнение произвольного кода в Apache Solr
VULN:20240619-4	19.06.2024	Повышение привилегий в FactoryTalk View SE
VULN:20240830-21	30.08.2024	Повышение привилегий в Rockwell Automation ThinManager and ThinServer
VULN:20250915-1	15.09.2025	Получение конфиденциальной информации в Siemens SIMATIC Virtualization as a Service (SIVaaS)
VULN:20251222-2	22.12.2025	Выполнение произвольного кода в Foxit PDF Reader and PDF Editor for Windows

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.