Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-863
Некорректная авторизация
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-01742 | Уязвимости операционной системы Debian GNU/Linux, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-01743 | Уязвимости операционной системы Debian GNU/Linux, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-09373 | Уязвимость операционной системы Gentoo Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2018-00175 | Уязвимость реализации механизма CSP (Content Security Policy) браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2018-00368 | Уязвимость сервера LDAP пакета программ сетевого взаимодействия Samba, позволяющая нарушителю изменять пароли других пользователей |
| BDU:2019-00432 | Уязвимость функции map_write() ("kernel/user_namespace.c") ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2019-01760 | Уязвимость компонента Spring Framework программных продуктов Oracle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-02958 | Уязвимость подсистемы виртуализации Kernel-based Virtual Machine (KVM) ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-03840 | Уязвимость подкомпонента Loan Calculator компонента Oracle Banking Digital Experience банковской аналитической системы имитационного моделирования Oracle Financial Services Applications, позволяющая нарушителю получить доступ на изменение, добавление... |
| BDU:2019-03953 | Уязвимость подкомпонента Connector/ODBC компонента MySQL Connectors системы управления базами данных MySQL, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-04076 | Уязвимость компонента Segment программного обеспечения для торговли Oracle Retail Customer Management and Segmentation Foundation, позволяющая нарушителю получить доступ на изменение, добавление или удаление данных или получить несанкционированный до... |
| BDU:2019-04423 | Уязвимость браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю обойти ограничения навигации |
| BDU:2019-04603 | Уязвимость микропрограммного обеспечения контроллеров Intel Ethernet серии 700, связанная с недостатками контроля доступа, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-04675 | Уязвимость системы управления контентом spip, связанная с неправильной авторизацией, позволяющая нарушителю нарушить целостность данных |
| BDU:2019-04703 | Уязвимость системы аутентификации для веб-приложений LemonLDAP::NG, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к информации и нарушить ее целостность и доступность |
| BDU:2019-04707 | Уязвимость модуля /roster/module.valа клиента для обмена мгновенными сообщениями dino, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2019-04721 | Уязвимость расширения Kaspersky Protection браузера Google Chrome, позволяющая нарушителю удалить произвольные расширения chrome |
| BDU:2019-04835 | Уязвимость микропрограммного обеспечения маршрутизаторов Cisco Small Business RV016, Cisco Small Business RV042, Cisco Small Business RV042G, Cisco Small Business RV082 связанная с ошибками авторизации, позволяющая нарушителю получить несанкционирова... |
| BDU:2020-00003 | Уязвимость маршрутизаторов Huawei, связанная с ошибками авторизации, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии |
| BDU:2020-00123 | Уязвимость микропрограммного обеспечения маршрутизатора ZyXEL P-1302-T10D v3, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-00124 | Уязвимость программного средства управления финансовыми инструментами и рисками SAP Treasury and Risk Management, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-00165 | Уязвимость операционной системы ThinPro Linux, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2020-00166 | Уязвимость операционной системы ThinPro Linux, связанная с некорректной авторизацией, позволяющая нарушителю выполнить произвольные команды |
| BDU:2020-00249 | Уязвимость программных средств планирования ресурсов предприятия SAP ERP Sales и S4HANA Sales, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-00250 | Уязвимость функции управления транзакциями программного средства управления финансовыми инструментами и рисками SAP Treasury and Risk Management, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой и... |
| BDU:2020-00620 | Уязвимость компонента userfaultfd ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2020-00874 | Уязвимость службы установки Intel Chipset Device, связанная с недостатками механизма авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-00958 | Уязвимость микропрограммного обеспечения сенсорного дисплея Surface Hub, связанная с недостатками контроля доступа, позволяющая нарушителю получить доступ к настройкам, доступным только администраторам |
| BDU:2020-01603 | Уязвимость службы каталогов VMware Directory Service (vmdir) средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-01897 | Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, связанная с недостатками контроля доступа, позволяющая нарушителю осуществить обход процесса аутентификации между EcoStruxure... |
| BDU:2020-01956 | Уязвимость модулей LDAP-аутентификации (mod_auth_ldap и mod_auth_ldap2) для Prosody сервера Jabber/XMPP, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать... |
| BDU:2020-02179 | Уязвимость менеджера Wildfly Security платформы Red Hat JBoss Operations Network, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-02202 | Уязвимость функции systemd_run сервера vdsm средства управления виртуальной инфраструктурой Ovirt, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-02545 | Уязвимость программной платформы Node.js, связанная с недостаточной проверкой вводимых данных при обработке заголовков HTTP, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2020-02874 | Уязвимость компонента core/get_menudiv.php системы для планирования ресурсов предприятий и управления взаимоотношений с клиентами Dolibarr, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-03304 | Уязвимость подсистемы GVFS среды рабочего стола GNOME, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-03363 | Уязвимость документоориентированной системы управления базами данных MongoDB, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-03791 | Уязвимость веб-интерфейса системы сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю повысить свои привилегии |
| BDU:2020-03829 | Уязвимость веб-интерфейса управления программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-03901 | Уязвимость программной платформы для управления виртуальными средами CloudForms Management Engine, связанная с недостатками механизма авторизации, позволяющая нарушителю редактировать виджеты, доступные только для чтения |
| BDU:2020-04067 | Уязвимость реализации метода автоматического обновления сервера имен в системе доменных имен Dynamic DNS (DDNS) DNS-сервера BIND, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-04649 | Уязвимость служб Banking Services программных средств для финансового учета SAP FSAPPL и SAP S4FPSL, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-04659 | Уязвимость функции шаблона запланированного совещания программного обеспечения для веб-конференцсвязи Cisco Webex Meetings, позволяющая нарушителю получить права на создание шаблона совещания |
| BDU:2020-04906 | Уязвимость программного средства для электронной коммерции Microsoft Dynamics 365 Commerce, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-04920 | Уязвимость компонента AppArmor инструмента для запуска изолированных контейнеров runc, связанная с недостатками механизма авторизации, позволяющая нарушителю монтировать вредоносный образ Docker в каталог /proc |
| BDU:2020-04955 | Уязвимость интерфейса командной строки Telnet/Secure Shell (SSH) операционной системы Cisco IOS XE, позволяющая нарушителю выполнять команды с привилегиями root |
| BDU:2020-05060 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05253 | Уязвимость веб-интерфейса микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD) и Cisco Adaptive Security Appliance (ASA), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05501 | Уязвимость платформы для управления данными APTARE, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-05552 | Уязвимость функции get_user_pages(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-05649 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с недостатками механизма авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-05656 | Уязвимость rbd-драйвера операционной системы Linux, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-05672 | Уязвимость веб-интерфейса платформы управления политиками соединений Cisco Identity Services Engine, позволяющая нарушителю изменить конфигурацию уязвимого устройства |
| BDU:2020-05704 | Уязвимость программ просмотра PDF-файлов Adobe Reader Document Cloud, Adobe Reader и программ редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat, связанная с обходом функции безопасности, позволяющая нарушителю обойти существующие... |
| BDU:2020-05706 | Уязвимость программ просмотра PDF-файлов Adobe Reader Document Cloud, Adobe Reader и программ редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat, связанная с обходом функции безопасности, позволяющая нарушителю обойти существующие... |
| BDU:2020-05730 | Уязвимость сетевого программного средства Envoy, связанная с ошибками авторизации, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-05859 | Уязвимость веб-интерфейса системы сетевого управления центром обработки данных Cisco Data Center Network Manager, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2021-00118 | Уязвимость реализации механизма CSP (Content Security Policy) браузера Mozilla Firefox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00122 | Уязвимость браузера Mozilla Firefox, связанная с ошибкой наследования политики безопасности содержимого, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2021-00301 | Уязвимость интерфейса командной строки программного средства Cisco Connected Mobile Experiences, позволяющая нарушителю раскрыть информацию о пользователях системы CMX |
| BDU:2021-00363 | Уязвимость программного средства Cisco Connected Mobile Experiences, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00564 | Уязвимость службы Bluetooth операционных систем Windows, позволяющая нарушителю повысить свои привилегии и получить несанкционирвоанный доступ к защищаемой информации |
| BDU:2021-00597 | Уязвимость веб-интерфейса управления сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю получить доступ на изменение, добавление или удаление данных или получить несанкционированный доступ к... |
| BDU:2021-00648 | Уязвимость веб-интерфейса управления сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю изменить конфигурацию устройства |
| BDU:2021-00761 | Уязвимость службы Bluetooth операционных систем Windows, позволяющая нарушителю повысить свои привилегии и получить несанкционирвоанный доступ к защищаемой информации |
| BDU:2021-00762 | Уязвимость службы Bluetooth операционных систем Windows, позволяющая нарушителю повысить свои привилегии и получить несанкционирвоанный доступ к защищаемой информации |
| BDU:2021-01089 | Уязвимость модуля оформления заказа программной платформы для разработки и управления онлайн магазинами Magento Commerce, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01090 | Уязвимость модуля пользовательского API программной платформы для разработки и управления онлайн магазинами Magento Commerce, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01131 | Уязвимость системы управления базами данных PostgreSQL, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01159 | Уязвимость контроллера доставки приложений FortiADC, связанная с недостатками механизма авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-01798 | Уязвимость сервера системы управления корпоративными мобильными устройствами Citrix XenMobile Server, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03150 | Уязвимость программного комплекса промышленной автоматизации CODESYS, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2021-03207 | Уязвимость функции polkit_system_bus_name_get_creds_sync() демона dbus-daemon библиотеки Polkit, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-03220 | Уязвимость подсистемы BPF ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03390 | Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03573 | Уязвимость интерфейса REST API платформы для организации безопасности, автоматизации и реагирования Cortex XSOAR, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03657 | Уязвимость навигации браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-03668 | Уязвимость расширений браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-03671 | Уязвимость ядра операционной системы FreeBSD, связанная с недостатками механизма авторизации, позволяющая нарушителю отключить защиту SMAP и оказать воздействие на целостность защищаемой информации |
| BDU:2021-03834 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с обходом функции безопасности, позволяющая нарушителю получить несанкционированные скидки на продукцию |
| BDU:2021-03991 | Уязвимость корпоративной платформы Red Hat OpenShift Container Platform, связанная с ошибками проведения процедуры авторизации, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2021-04009 | Уязвимость компонента распознавания лиц Windows Hello операционных систем Microsoft Windows, позволяющая нарушителю обойти механизмы защиты |
| BDU:2021-04172 | Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, позволяющая нарушителю обойти аутентификацию |
| BDU:2021-04332 | Уязвимость серверов сенсорных панелей U.motion Servers иTouch Panels, связанная с ошибками авторизации, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-04481 | Уязвимость системы для планирования ресурсов предприятий и управления взаимоотношений с клиентами Dolibarr, связанная с недостатками контроля доступа, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2021-04514 | Уязвимость аналитической базы данных Apache Druid, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04620 | Уязвимость ядра CMS-системы Drupal, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2021-04657 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-04659 | Уязвимость компонента Dependency Proxy программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-04686 | Уязвимость функционала PreChecks эталонной реализации Bitcoin Bitcoin Core, связанная с неправильной авторизацией, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании |
| BDU:2021-04716 | Уязвимость анонимного веб-браузера Tor, связанная с ошибками авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-04863 | Уязвимость стека протоколов Bluetooth для ОС Linux BlueZ, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-05089 | Уязвимость приложения для резервного копирования и аварийного восстановления данных HBS 3 (Hybrid Backup Sync) операционных систем QTS, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-05109 | Уязвимость системы управления содержимым сайта WordPress, связанная с ошибками авторизации, позволяющая нарушителю обойти существующие ограничения |
| BDU:2021-05163 | Уязвимость компонента iFrameSandbox веб-браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05180 | Уязвимость компонента Content Security Policy веб-браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05204 | Уязвимость компонента Content Security Policy веб-браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05235 | Уязвимость веб-приложения для управления проектами и задачами Redmine, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05240 | Уязвимость обработчика входящей почты веб-приложения для управления проектами и задачами Redmine, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05272 | Уязвимость реализации механизма CSP (Content Security Policy) веб-браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05281 | Уязвимость компонента PopupBlocker веб-браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05331 | Уязвимость редактора электронных таблиц Microsoft Excel, связанная с ошибками при обработке входных данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-05525 | Уязвимость операционной системы PAN-OS, связанная с недостатками контроля доступа, позволяющая нарушителю выполнить произвольные действия, разрешенные ролью EC2 в AW |
| BDU:2021-05711 | Уязвимость конечной точки API средства управления информационной инфраструктурой Cisco Application Policy Infrastructure Controller, связанная с недостатками контроля доступа, позволяющая нарушителю записывать произвольные файлы |
| BDU:2021-05973 | Уязвимость оболочки ОС Android EMUI, связанная с обходом функции безопасности, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-06084 | Уязвимость функции QR-сканера браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения доступа |
| BDU:2021-06103 | Уязвимость сетевой операционной системы Cisco NX-OS маршрутизаторов Cisco, связанная с недостатками контроля доступа, позволяющая нарушителю получить доступ на чтение данных |
| BDU:2021-06223 | Уязвимость сервера автоматизации Jenkins, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2021-06335 | Уязвимость графического интерфейса программного средства централизованного управления устройствами Fortinet FortiManager и средства отслеживания и анализа событий безопасности Fortinet FortiAnalyzer, позволяющая нарушителю получить список администрат... |
| BDU:2021-06417 | Уязвимость реализации механизма CSP (Content Security Policy) браузера Google Chrome, позволяющая нарушителю обойти существующую политику ограничения доступа |
| BDU:2021-06419 | Уязвимость механизма обработки файлов cookie браузера Google Chrome, связанная с ошибками авторизации, позволяющая нарушителю обойти существующую политику ограничения доступа |
| BDU:2022-00011 | Уязвимость сервера автоматизации Jenkins, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2022-00096 | Уязвимость пакетов программ Microsoft Office и Microsoft 365 Apps for Enterprise, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии |
| BDU:2022-00122 | Уязвимость локальной системы безопасности (LSA) операционных систем Microsoft Windows, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии |
| BDU:2022-00621 | Уязвимость реализации системного вызова NVGPU_IOCTL_CHANNEL_SET_ERROR_NOTIFIER драйвера управления памятью графического процессора NVMAP программного обеспечения устройства NVIDIA Shield TV Experience, позволяющая нарушителю вызвать отказ в обслужива... |
| BDU:2022-00699 | Уязвимость интерфейса Windows Extensible Firmware Interface операционной системы Windows, позволяющая нарушителю выполнить отказ в обслуживании |
| BDU:2022-00741 | Уязвимость программных интеграционных платформ SAP NetWeaver AS ABAP и SAP NetWeaver ABAP, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-00876 | Уязвимость конфигурации setup.php универсальной системы мониторинга Zabbix , связанная с ошибками авторизации, позволяющая нарушителю изменить параметры конфигурации |
| BDU:2022-00927 | Уязвимость службы размещения файлов OneDrive for Android, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2022-01370 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01517 | Уязвимость реализации сценария cron/save_allow.cgi модуля Scheduled Cron Jobs веб-интерфейса системного администрирования для UNIX-подобных операционных систем Webmin, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01518 | Уязвимость модуля File Manager веб-интерфейса системного администрирования для UNIX-подобных операционных систем Webmin, позволяющая нарушителю повысить свои привилегии или выполнить произвольный код |
| BDU:2022-01684 | Уязвимость компонента kube-apiserver программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании |
| BDU:2022-01707 | Уязвимость операционной системы Windows, связанная с недостатками механизма авторизации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-01716 | Уязвимость инструмента автоматизации развертывания приложений в Kubernetes ArgoCD, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-01733 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01734 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-01772 | Уязвимость плагина Dynamic Security брокера сообщений Mosquitto, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01792 | Уязвимость функционала vulnerability report программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01815 | Уязвимость контейнера сервлетов Jetty, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01856 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01867 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2022-01870 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с возможностью создания и отслеживания пользователем задачи для ошибок Sentry, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить... |
| BDU:2022-02050 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-02143 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании |
| BDU:2022-02144 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-02145 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02148 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживани... |
| BDU:2022-02228 | Уязвимость гипервизора Xen, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2022-02332 | Уязвимость функции отладки межсетевого экрана FortiGate операционных систем FortiOS, позволяющая нарушителю выполнить произвольный код или команды |
| BDU:2022-02363 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-02928 | Уязвимость компонентов Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, и pg_amcheck системы управления базами данных PostgreSQL, позволяющая нарушителю выполнять произвольные SQL-функции под учетной записью суперпользователя |
| BDU:2022-02990 | Уязвимость функции ввода-вывода следующего поколения (NGIO) программного обеспечения инфраструктуры Cisco Enterprise NFV Infrastructure Software (NFVIS), позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03004 | Уязвимость системного вызова PTRACE_SEIZE безопасного режима вычислений seccomp ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03013 | Уязвимость программного решения, поддерживающего процесс закрытия, консолидации и составления отчетов IBM Cognos Controller, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность... |
| BDU:2022-03018 | Уязвимость службы хостинга RubyGems.org, связанная с ошибками авторизации, позволяющая нарушителю получить доступ на создание, изменение или удаление данных |
| BDU:2022-03048 | Уязвимость микропрограммного обеспечения сенсорного дисплея Surface Pro 3, связанная с ошибками авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-03566 | Уязвимость микропрограммного обеспечения настольных телефонов Mitel 6800 Series SIP Phones и 6900 Series SIP Phones, связанная с наличием недокументированных команд конфигурации, позволяющая нарушителю выполнить произвольный код с привилегиями root,... |
| BDU:2022-03569 | Уязвимость микропрограммного обеспечения настольных телефонов Mitel серии 6900, связанная с ошибками авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-03868 | Уязвимость файла saprouttab программных интеграционных платформ SAP NetWeaver и SAP ABAP, позволяющая нарушителю выполнить произвольные команды |
| BDU:2022-03942 | Уязвимость клиентской HTTP-библиотеки Guzzle интерпретатора языка программирования PHP, связанная с ошибками авторизации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-03956 | Уязвимость службы платформы управления доставкой приложений Citrix Application Delivery Management (ADM), связанная с недостатками контроля доступа, позволяющая нарушителю сбросить пароль администратора и повысить свои привилегии |
| BDU:2022-04103 | Уязвимость реализации конфигурации info-get guestinfo.ignition.config.data библиотеки Ignition, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04213 | Уязвимость приложения Galaxy Store, связанная с неправильной авторизацией, позволяющая нарушителю устанавливать приложения из Galaxy Store без взаимодействия с пользователем |
| BDU:2022-04236 | Уязвимость компонента RegexRequestMatcher Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-04304 | Уязвимость центра управления информационными технологиями ASUS Control Center, связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии или вызвать частичный отказ в обслуживании |
| BDU:2022-04432 | Уязвимость API-интерфейса WHATWG Fetch для Node Cross-fetch, связанная с ошибками обработки файлов cookie, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04434 | Уязвимость фильтра поиска (ldbm_search.c) сервера службы каталогов 389 Directory Server, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04747 | Уязвимость программного средства Intel Killer Control Center, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-04767 | Уязвимость платформы бизнес-аналитики SAP Business Objects Business Intelligence Platform, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ на изменение, добавление или удаление данных |
| BDU:2022-04975 | Уязвимость реализации хранилища контактов SprdContactsProvider компонента Telephony операционных систем Android, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-05031 | Уязвимость системы управления ИТ-инфраструктурой HPE OneView, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-05078 | Уязвимость инструмента мониторинга виртуальной инфраструктуры VMware vRealize Operations, связанная с ошибками авторизации, позволяющая нарушителю создать пользователя с правами администратора |
| BDU:2022-05458 | Уязвимость компонента Extensions API браузеров Microsoft Edge и Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-05640 | Уязвимость операционной системы FortiOS межсетевых экранов FortiGate, связанная с недостатками контроля доступа, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05641 | Уязвимость программного средства для создания систем контейнерной изоляции Moby (Docker Engine), связанная с недостатками механизма авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-05703 | Уязвимость стека технологии Bluetooth для Linux BlueZ, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-05737 | Уязвимость браузера Mozilla Firefox, связанная с ошибками авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-05773 | Уязвимость централизованной системы управления версиями Subversion, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-05936 | Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с неправильным использованием привилегированных API, позволяющая нарушителю установить расширение |
| BDU:2022-06096 | Уязвимость браузера Mozilla Firefox, связанная с недостатками контроля доступа, позволяющая нарушителю видоизменять пользовательский интерфейс |
| BDU:2022-06451 | Уязвимость системы хранения данных Cloud Mobility for Dell Storage, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2022-06854 | Уязвимость веб-интерфейса управления операционной системы Cisco AsyncOS системы обеспечения безопасности электронной почты Cisco Email Security Appliance (ESA), устройства управления защитой контента Cisco Secure Email and Web Manager и интернет-шлюз... |
| BDU:2022-07246 | Уязвимость реализации протокола aaa tacacs+ операционной системы Brocade Fabric OS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-07464 | Уязвимость службы мониторинга производительности сети Azure Network Watcher Agent, связанная с ошибками авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-07492 | Уязвимость микропрограммного обеспечения мобильных телефонов Huawei, связанная с ошибками авторизации, позволяющая нарушителю обойти лимит цифрового баланса |
| BDU:2023-00015 | Уязвимость программного средства для согласования работы (оркестровки) систем кибербезопасности и для управления реагированием на инциденты в режиме реального времени Fortinet FortiSOAR, связанная с неправильным контролем доступа, позволяющая нарушит... |
| BDU:2023-00086 | Уязвимость микропрограммного обеспечения контроллеров беспроводного доступа FortiWLC, связанная с недостатками разграничения доступа, позволяющая нарушителю выполнить произвольные команды и повысить свои привилегии |
| BDU:2023-00148 | Уязвимость средства для формирования отчетности SAP Disclosure Management, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00308 | Уязвимость процесса аутентификации и авторизации для VPN-соединений микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), связанная с недостатками контроля доступа, позволяюща... |
| BDU:2023-00481 | Уязвимость мобильного приложения для совместной работы с документами IBM Navigator Mobile для операционных систем Android, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00539 | Уязвимость компонента iotdb-web-workbench базы данных для интернет вещей IoT Apache IoTDB, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-00806 | Уязвимость системы мониторинга критически важного оборудования StruxureWare Data Center Expert, связанная с ошибками при обслуживании одним пользователем объектов другого, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-00882 | Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01073 | Уязвимость программного средства Dell Command Intel vPro Out of Band, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01103 | Уязвимость системы мониторинга критически важного оборудования StruxureWare Data Center Expert, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-01488 | Уязвимость среды выполнения контейнеров Containerd, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код |
| BDU:2023-01627 | Уязвимость функции process.mainModule.require() программной платформы Node.js, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01654 | Уязвимость демона usbguard-dbus программного обеспечения защиты USB устройств USBGuard, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2023-01668 | Уязвимость модуля проверки IP Data::Validate::IP, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-01669 | Уязвимость модуля обработки блоков IP-сети Net::Netmask, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-01994 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02110 | Уязвимость службы Device-Gateway программного продукта для мониторинга устройств в реальном времени Delta Electronics InfraSuite Device Master, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02111 | Уязвимость программного продукта для мониторинга устройств в реальном времени Delta Electronics InfraSuite Device Master, связанная с недостаточной проверкой входных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02113 | Уязвимость функции verity_ctr() драйвера device-mapper ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02118 | Уязвимость подсистемы проверки разрешений Bluetooth ядра операционной системы Linux, позволяющая нарушителю выполнять произвольные команды |
| BDU:2023-02862 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-02910 | Уязвимость встроенного программного обеспечения контроллера ARIS, связанная с ошибками авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-02928 | Уязвимость технологии CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) микропрограммного обеспечения маршрутизаторов D-Link DIR-890L, DIR-885L/R и DIR-895L/R, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2023-03086 | Уязвимость программы мгновенного обмена сообщениями Telegram Messenger для операционной системы macOS, связанная с недостатками разграничения доступа, позволяющая нарушителю получить доступ к файлам с ограниченным доступом, микрофону, записи экрана |
| BDU:2023-03264 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-03286 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-03287 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-03288 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-03380 | Уязвимость системы работы с заявками и инцидентами GLPI, связанная с неправильной авторизацией, позволяющая нарушителю повышать привилегии внутри приложения |
| BDU:2023-03424 | Уязвимость программного пакета OpenSearch, связанная с неправильной авторизацией, позволяющая нарушителю привести к неправильной авторизации доступа |
| BDU:2023-03548 | Уязвимость компонента Setting Handler scada-сервера Elcomplus SmartPPT, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-03550 | Уязвимость операционной системе Juniper Networks Junos OS, связанная с неправильной авторизацией, позволяющая нарушителю обойти правила Juniper Deep Packet Inspection (JDPI) и получить несанкционированный доступ к сетям или ресурсам |
| BDU:2023-03998 | Уязвимость интерфейса /link/ программного обеспечения SSPanel-Uim, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2023-04090 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с недостатками контроля доступа, позволяющая нарушителю изменять или просматривать данные панели управления |
| BDU:2023-04312 | Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-04338 | Уязвимость файловой системы overlayfs ядра операционной системы Ubuntu, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2023-04360 | Уязвимость функции ovl_copy_up_meta_inode_data файловой системы overlayfs ядра операционной системы Ubuntu, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2023-04392 | Уязвимость облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, связанная с недостатками механизма авторизации, позволяющая нарушителю получить доступ к конфигурации облачной платформы |
| BDU:2023-04405 | Уязвимость функции автозаполнения Autofill браузера Google Chrome, позволяющая нарушителю обойти ограничения навигации |
| BDU:2023-04659 | Уязвимость функции tap_open() в модуле drivers/net/tap.c драйвере TUN/TAP ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на целостность данных или повысить свои привилегии |
| BDU:2023-04674 | Уязвимость компонента Libraries программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-04799 | Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2023-05304 | Уязвимость функции PAMcheckPasswd() утилиты для управления и мониторинга процессов, программ, файлов и каталогов Monit, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-05691 | Уязвимость реализации прикладного программного интерфейса декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с ошибками авторизации, позволяющая нарушителю обойти установленный контроль доступа |
| BDU:2023-05756 | Уязвимость средства защиты Fortinet FortiClient для Windows, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код или команды |
| BDU:2023-05801 | Уязвимость программного обеспечения визуализации данных Apache Superset, связанная с ошибками авторизации, позволяющая нарушителю получить доступ на чтение базы данных |
| BDU:2023-05901 | Уязвимость функции phpcgi_main() микропрограммного обеспечения маршрутизаторов D-Link DIR-645, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии |
| BDU:2023-06022 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками контроля доступа, позволяющая нарушителю обойти существующие ограничения безопасности и повысить свои привиле... |
| BDU:2023-06061 | Уязвимость функции cacti_ldap_auth() программного средства мониторинга сети Cacti, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2023-06068 | Уязвимость программного интерфейса программного средства автоматизации бизнес-процессов IBM Robotic Process Automation , связанная с ошибками авторизации, позволяющая нарушителю раскрыть защищаемую информацию об уязвимой системе |
| BDU:2023-06214 | Уязвимость ядра оболочки EMUI операционной системы HarmonyOS, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность данных |
| BDU:2023-06416 | Уязвимость функции restore_settings плагина Comments Like Dislike системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-06471 | Уязвимость программного обеспечения защиты данных Acronis Cyber Protect 15, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07228 | Уязвимость операционной системы Juniper Networks Junos OS маршрутизаторов серий SRX, связанная с ошибками при проведении авторизации, позволяющая нарушителю обойти правила Juniper Deep Packet Inspection (JDPI) |
| BDU:2023-07256 | Уязвимость службы Telnet операционной системы Extreme Networks Switch Engine (EXOS) микропрограммного обеспечения сетевых коммутаторов Extreme Networks, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07407 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками механизма авторизации, позволяющая нарушителю раскрыть информацию о данных учетной записи произвольных пользо... |
| BDU:2023-07528 | Уязвимость функций pmdm_wp_delete_user_meta, pmdm_wp_delete_term_meta и pmdm_wp_ajax_delete_meta плагина для системы управления содержимым сайта WordPress Post Meta Data Manager, позволяющая нарушителю удалить произвольные метаданные пользователей |
| BDU:2023-07529 | Уязвимость функций pmdm_wp_change_user_meta и pmdm_wp_change_post_meta плагина Post Meta Data Manager для системы управления содержимым сайта WordPress, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07592 | Уязвимость компонента NMI программного средства управления аутентификацией в Kubernetes-кластерах AAD Pod Identity, связанная с обходом токена проверки, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07917 | Уязвимость реализации прикладного программного интерфейса программного обеспечения визуализации данных Apache Superset, позволяющая нарушителю проверять соединения с базой данных |
| BDU:2023-07932 | Уязвимость сетевого программного средства Apache Airflow, связанная с неправильной авторизацией, позволяющая нарушителю изменять произвольные файлы |
| BDU:2023-08975 | Уязвимость плагина User Post Gallery системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-00099 | Уязвимость корпоративного менеджера паролей Passwork, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить обход двухфакторной аутентификации (2FA) |
| BDU:2024-00260 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-00720 | Уязвимость кроссплатформенной системы управления доступа IBM i Access Client Solutions, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01030 | Уязвимость программного средства сборки контейнеров BuildKit, связанная с неправильной авторизацией, позволяющая нарушителю производить запуск контейнеров с повышенными привилегиями |
| BDU:2024-01106 | Уязвимость сервера репликации SAP LT Replication Server, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность данных |
| BDU:2024-01177 | Уязвимость функции VPN микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense, Cisco Adaptive Security Appliance, позволяющая нарушителю установить сеанс SSL VPN без клиента с неавторизованным пользователем |
| BDU:2024-01258 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki , связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01269 | Уязвимость программного интерфейса платформы создания совместных веб-приложений XWiki Platform XWiki , связанная с ошибками авторизации, позволяющая нарушителю получить права пользователя XWiki.superadmin |
| BDU:2024-01276 | Уязвимость программное обеспечение создания, мониторинга и оркестрации сценариев обработки данных Airflow , связанная с ошибками авторизации, позволяющая нарушителю изменить произвольные данные |
| BDU:2024-01308 | Уязвимость операционных систем QTS, QuTScloud сетевых устройств Qnap, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01951 | Уязвимость реализации прикладного программного интерфейса платформы совместного использования изображений Pixelfed, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01994 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-02003 | Уязвимость программного средства управления проектами и задачами JetBrains YouTrack, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-02273 | Уязвимость программного средства управления и контроля систем видеонаблюдения и безопасности Siemens Siveillance Control, связанная с недостатками механизма авторизации, позволяющая нарушителю получить права на запись для объектов, к которым у него б... |
| BDU:2024-02531 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками механизма авторизации, позволяющая нарушителю зарегистрировать произвольных пользователей в системе |
| BDU:2024-02568 | Уязвимость облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, связанная с недостатками механизма авторизации, позволяющая нарушителю перехватывать и изменять данные в потоках Pulsar |
| BDU:2024-02573 | Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-02648 | Уязвимость оркестратора распределенных наборов данных и ускорителя с открытым исходным кодом Kubernetes для приложений с интенсивным использованием данных Fluid, связанная с неправильной авторизацией, позволяющая нарушителю получить полный привилегир... |
| BDU:2024-02657 | Уязвимость компонента Remote Cluster Security поисковой системы Elasticsearch, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2024-02681 | Уязвимость облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, связанная с недостатками процедуры авторизации, позволяющая нарушителю изменить произвольные параметры сохранения, TTL и настройки выгрузки |
| BDU:2024-02726 | Уязвимость программного обеспечения управления репозиториями Apache Archiva, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к учетной записи пользователя |
| BDU:2024-02816 | Уязвимость базовой системы аутентификации веб-инструмента представления данных Grafana, позволяющая нарушителю обойти проверку электронной почты и помешать законным владельцам электронной почты зарегистрироваться |
| BDU:2024-02845 | Уязвимость реализации протокола LDAP операционных систем F5OS-A аппаратных устройств F5 rSeries и операционных систем F5OS-C контроллеров доставки приложений F5 VELOS, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-03169 | Уязвимость шлюза GlobalProtect операционной системы PAN-OS, позволяющая нарушителю выдавать себя за другого пользователя и отправлять сетевые пакеты внутренним ресурсам |
| BDU:2024-04347 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками механизма авторизации, позволяющая нарушителю выдать себя за облачного агента |
| BDU:2024-04348 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-04380 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-04381 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-04466 | Уязвимость корпоративной версии платформы GitHub Enterprise Server, связанная с неправильной авторизацией, позволяющая нарушителю создавать новые ветви в общедоступных репозиториях и запускать произвольные рабочие процессы GitHub Actions с разрешения... |
| BDU:2024-04740 | Уязвимость компонента System webapi приложения для организации видеонаблюдения Surveillance Station, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-05760 | Уязвимость плагинов авторизации (AuthZ) программного обеспечения автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker Engine, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-05995 | Уязвимость функции Override View программного обеспечения планирования ресурсов предприятия Apache OFBiz, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-06405 | Уязвимость программного обеспечения электронной библиотеки Calibre, связанная с недостатками механизма авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-06808 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-07032 | Уязвимость корпоративной версии платформы GitHub Enterprise Server связана с неправильной авторизацией, позволяющая нарушителю изменять issue в публичных репозиториях |
| BDU:2024-07037 | Уязвимость корпоративной версии платформы GitHub Enterprise Server, связанная с раскрытием содержимого issue в приватных репозиториях, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-07308 | Уязвимость плагина "volumes" системы хранения данных Ceph Manager, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2024-07668 | Уязвимость программного средства аутентификации WatchGuard Authentication Gateway связанная с недостатками механизма авторизации, позволяющая нарушителю получить дамп памяти |
| BDU:2024-07699 | Уязвимость программного средства аутентификации WatchGuard Authentication Gateway связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к учетным данным произвольного пользователя |
| BDU:2024-07784 | Уязвимость программного средства управления проектами и задачами JetBrains YouTrack, связанная с недостатками механизма авторизации, позволяющая нарушителю получить повысить свои привилегии и выполнить произвольные команды |
| BDU:2024-07789 | Уязвимость программного средства управления проектами и задачами JetBrains YouTrack, связанная с недостатками механизма авторизации, позволяющая нарушителю получить повысить свои привилегии и выполнить произвольные команды |
| BDU:2024-07855 | Уязвимость реализации прикладного программного интерфейса программных средств для службы технической поддержки Zoho ManageEngine ServiceDesk Plus, Zoho ManageEngine ServiceDesk Plus MSP и Zoho ManageEngine SupportCenter Plus, позволяющая нарушителю п... |
| BDU:2024-07881 | Уязвимость реализации технологии Global Search программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-07959 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-08130 | Уязвимость компонента Central Web Authentication (CWA) операционной системы Cisco IOS XE, позволяющая нарушителю обойти процедуру авторизации и получить доступ к защищаемому сетевому сегменту |
| BDU:2024-08160 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с ошибками авторизации, позволяющая нарушителю запускать конвейеры непрерывной интеграции и непрерывной доставки (CI/CD) на произвольных ветках программы |
| BDU:2024-08205 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с ошибками авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-08217 | Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2024-08221 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-08259 | Уязвимость компонента Field Service Engineer Portal платформы управления выездным обслуживанием Oracle Field Service системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавлен... |
| BDU:2024-08261 | Уязвимость компонента Site Hierarchy Flows системы хранения и управления данными о сайтах Oracle Site Hub системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удален... |
| BDU:2024-08262 | Уязвимость компонента Cost Planning системы управления затратами Oracle Cost Management системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08263 | Уязвимость компонента Tasks приложения Oracle Common Applications Calendar системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08264 | Уязвимость компонента Compensation Plan системы поощрения корпоративных клиентов Oracle Incentive Compensation (OIC) системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавлен... |
| BDU:2024-08265 | Уязвимость компонента Price List средства управления ценами и скидками Oracle Advanced Pricing системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08266 | Уязвимость компонента Diagnostics средства управления приложениями Oracle Applications Manager системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08373 | Уязвимость компонента Messages программного средства управления производственными процессами Oracle Work in Process системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на... |
| BDU:2024-08455 | Уязвимость компонента Common Components платформы управления финансами Oracle Financials системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удале... |
| BDU:2024-08456 | Уязвимость компонента Authoring платформы управления контрактами Oracle Service Contracts системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удал... |
| BDU:2024-08457 | Уязвимость компонента Award Processes платформы управления процессами закупок Oracle Contract Lifecycle Management for Public Sector системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкциониро... |
| BDU:2024-08459 | Уязвимость компонента Auctions платформы управления поставками Oracle Sourcing системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удаление данных |
| BDU:2024-08461 | Уязвимость компонента Device Integration программного средства управления производственными процессами Oracle MES for Process Manufacturing системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанк... |
| BDU:2024-08468 | Уязвимость компонента Global Payroll for Core приложения PeopleSoft Enterprise HCM Global Payroll Core, позволяющая нарушителю получить несанкционированный доступ на чтение, создание, изменение и удаление данных |
| BDU:2024-08502 | Уязвимость компонента Connector/ODBC драйвера MySQL Connectors системы управления базами данных Oracle MySQL, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании |
| BDU:2024-08542 | Уязвимость интерфейса программного средства управления проектами и задачами JetBrains YouTrack, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08549 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08571 | Уязвимость компонента OSB Core Functionality интеграционной платформы для управления, маршрутизации и обработки сообщений между приложениями и сервисами Oracle Service Bus (OSB), позволяющая нарушителю получить несанкционированный доступ к защищаемой... |
| BDU:2024-08597 | Уязвимость компонента Reports платформы управления ликвидностью Oracle Banking Liquidity Management, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2024-08601 | Уязвимость компонента User Interface приложения для взаимодействия с клиентами Oracle Quoting системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на чтение, добавление, из... |
| BDU:2024-08606 | Уязвимость компонента Reports платформы для управления ликвидностью Oracle Banking Liquidity Management, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2024-08844 | Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Secure Firewall Management Center (ранее Cisco Firepower Management Center), позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08878 | Уязвимость программного средства управления API-интерфейсами Red Hat 3scale API Management, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-08957 | Уязвимость среды разработки программного обеспечения для автоматизации и управления производственными процессами Omron Sysmac Studio, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и получить не... |
| BDU:2024-09469 | Уязвимость сервера Siemens SINEMA Remote Connect, позволяющая нарушителю получить несанкционированный доступ к группам участников, к которым у него не должно быть доступа |
| BDU:2024-09871 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии |
| BDU:2024-10114 | Уязвимость системы управления контентом MediaCMS, связанная с неправильной авторизацией, позволяющая нарушителю удалить директории в файловой системе и подменить содержимое файлов пользователя |
| BDU:2024-10183 | Уязвимость микропрограммного обеспечения роутеров TOTOLINK A3300R, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и изменить пароль WiFi |
| BDU:2024-10297 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/ CE, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-10319 | Уязвимость микропрограммного обеспечения коммуникационных модулей SIMATIC CP 1543-1, связанная c неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-10934 | Уязвимость класса FormLoginAuthenticator программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю обойти процедуру аутентификации и вызвать отказ в обслуживании |
| BDU:2024-10983 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11102 | Уязвимость интерфейса SYNO.SurveillanceStation.ActionRule приложения для организации видеонаблюдения Surveillance Station, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-11103 | Уязвимость интерфейса SYNO.SurveillanceStation.Alert.Setting приложения для организации видеонаблюдения Surveillance Station, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-11266 | Уязвимость средства защиты облачных, виртуальных и физических систем Veeam Backup Replication, связанная с хранением конфиденциальной информации в открытом виде, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-11623 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с некорректной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-11628 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с некорректной авторизацией, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-00122 | Уязвимость компонента Container Storage Interface (CSI) оркестратора приложений Nomad, позволяющая нарушителю оказать влияние на целостность защиаемой информации |
| BDU:2025-00260 | Уязвимость модуля Advanced PWA inc Push Notifications CMS-системы Drupal, связанная с некорректной авторизацией, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-00266 | Уязвимость модуля Pages Restriction Access CMS-системы Drupal, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-00268 | Уязвимость модуля Drupal REST JSON API Authentication CMS-системы Drupal, связанная с некорректной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-00483 | Уязвимость компонента Wiki History Diff программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00489 | Уязвимость поисковой системы Elasticsearch, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-00500 | Уязвимость компонента Public Project Handler программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-00596 | Уязвимость локального шлюза данных Microsoft On-Premises Data Gateway, связанная с некорректной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-00647 | Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00669 | Уязвимость компонента Web Runtime SEC системы управления ресурсами предприятия JD Edwards EnterpriseOne Tools, позволяющая нарушителю получить доступ на чтение, изменение и удаление файлов |
| BDU:2025-00739 | Уязвимость компонента GraphQL Query Handler программной платформы на базе git для совместной работы над кодом GitLab EE/ CE, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-00848 | Уязвимость модуля Responsive and off-canvas menu CMS-системы Drupal, связанная с неправильной авторизацией, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-00866 | Уязвимость модуля Commerce View Receipt CMS-системы Drupal, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-01034 | Уязвимость модуля Basic HTTP Authentication CMS-системы Drupal, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-01112 | Уязвимость модуля Diff CMS-системы Drupal, связанная с некорректной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-01125 | Уязвимость модуля Freelinking CMS-системы Drupal, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-01127 | Уязвимость модуля Content Entity Clone CMS-системы Drupal, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-01159 | Уязвимость компонентов CassandraNetworkAuthorizer и CassandraCIDRAuthorizer распределённой системы управления базами данных Apache Cassandra, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-01169 | Уязвимость модуля OhDear CMS-системы Drupal, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-01180 | Уязвимость компонентов Hotspot программной платформы Oracle Java SE, виртуальных машин Oracle GraalVM for JDK и Oracle GraalVM Enterprise Edition, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и доступ на изменени... |
| BDU:2025-01195 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-01211 | Уязвимость программного обеспечения для управления лицензиями IBM Common Licensing, связанная с некорректной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01214 | Уязвимость модуля Monster Menus CMS-системы Drupal, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-01215 | Уязвимость модуля Smart IP Ban CMS-системы Drupal, позволяющая нарушителю просматривать и изменять настройки |
| BDU:2025-01218 | Уязвимость модуля Block permissions CMS-системы Drupal, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-01228 | Уязвимость компонента Technology Foundation программного средства Oracle Project Foundation системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2025-01229 | Уязвимость компонента Service Requests программного средства Oracle Customer Care системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информ... |
| BDU:2025-01231 | Уязвимость программного обеспечения создания и управления графическим интерфейсом оператора (HMI) на промышленных устройствах Rockwell Automation FactoryTalk View Machine Edition (ME), связанная с недостатками процедуры авторизации, позволяющая наруш... |
| BDU:2025-01243 | Уязвимость компонента Install программного средства управления жизненным циклом продукта для предприятий Oracle Agile PLM Framework, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01258 | Уязвимость компонента AppleMobileFileIntegrity операционных систем macOS, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-01270 | Уязвимость компонента Server: Security: Privileges системы управления базами данных MySQL Server, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации |
| BDU:2025-01271 | Уязвимость компонента Access and Security приложения для управления данными Oracle Hyperion Data Relationship Management, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-01272 | Уязвимость компонента Web Services приложения для управления данными Oracle Hyperion Data Relationship Management, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2025-01275 | Уязвимость компонента Install программного средства бизнес-аналитики Oracle Analytics, позволяющая нарушителю получить привилегированный доступ к инфраструктуре |
| BDU:2025-01278 | Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server, позволяющая нарушителю получить доступ на чтение данных, модифицировать данные или получить привилегированный доступ |
| BDU:2025-01284 | Уязвимость компонента Core виртуальной машины Oracle VM VirtualBox, позволяющая нарушителю получить привилегированный доступ к инфраструктуре |
| BDU:2025-01291 | Уязвимость компонента eSettlements программного средства для электронного выставления счетов PeopleSoft Enterprise FIN eSettlements, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-01293 | Уязвимость компонента Cash Management программного средства для управления денежными средствами PeopleSoft Enterprise FIN Cash Management, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-01295 | Уязвимость компонента Web Access приложения для управления проектами Oracle Primavera P6 Enterprise Project Portfolio Managemen , позволяющая нарушителю получить доступ на чтение данных или модифицировать данные |
| BDU:2025-01299 | Уязвимость компонента General среды разработки прикладного программного обеспечения Oracle Application Express, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-01346 | Уязвимость компонента Java VM системы управления базами данных Oracle Database Server, позволяющая нарушителю получить доступ на чтение данных или модифицировать данные |
| BDU:2025-01347 | Уязвимость компонента InnoDB системы управления базами данных Oracle Database Server, позволяющая нарушителю получить привилегированный доступ, модифицировать данные или вызвать отказ в обслуживании |
| BDU:2025-01348 | Уязвимость компонента Security системы управления заказами Oracle Communications Order and Service Management, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01349 | Уязвимость компонента Purchasing приложения Oracle PeopleSoft Enterprise SCM Purchasing, позволяющая нарушителю получить доступ на чтение данных или модифицировать данные |
| BDU:2025-01369 | Уязвимость компонента NVRAM Variable Handler операционных систем MacOS, позволяющая нарушителю читать и записывать произвольные файлы |
| BDU:2025-01375 | Уязвимость компонента State Management Handler операционных систем iOS, iPadOS, macOS, watchOS и браузера Safari, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01376 | Уязвимость компонента Contact Information Handler операционных систем iOS, iPadOS и MacOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01472 | Уязвимость средств антивирусной защиты Kaspersky Virus Removal Tool for Windows, Kaspersky Endpoint Security for Windows, Kaspersky Security for Virtualization Light Agent, Kaspersky Anti-Virus SDK for Windows, Kaspersky Small Office Security, Kasper... |
| BDU:2025-01488 | Уязвимость программной платформы для разработки и управления онлайн магазинами Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-01557 | Уязвимость компонента Accessibility ("Специальные возможности") операционных систем iOS и iPadOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01644 | Уязвимость компонента OSB Core Functionality интеграционной платформы для управления, маршрутизации и обработки сообщений между приложениями и сервисами Oracle Service Bus (OSB), позволяющая нарушителю получить несанкционированный доступ к защищаемой... |
| BDU:2025-01800 | Уязвимость функции __do_sys_cachestat() модуля mm/filemap.c подсистемы управления памятью ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации или вызвать отказ в обслуживании |
| BDU:2025-02027 | Уязвимость портала GlobalProtect Portal операционной системы PAN-OS, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-02078 | Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и получ... |
| BDU:2025-02152 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии, получить несанкционированный доступ к защищаемой информации или вы... |
| BDU:2025-02398 | Уязвимость плагина интеграции Jenkins GitLab Plugin, связанная с некорректной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-02420 | Уязвимость программной платформы для разработки и управления онлайн магазинами Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-02421 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-02422 | Уязвимость программной платформы для разработки и управления онлайн магазинами Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-02449 | Уязвимость технологии SAML (Security Assertion Markup Language) программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-03142 | Уязвимость интерфейса WebChannel API браузеров Mozilla Firefox, Firefox ESR и почтовых клиентов Thunderbird, Thunderbird ESR, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-03455 | Уязвимость компонента ACL Policy оркестратора приложений Nomad, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-03515 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-03643 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/CE, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03645 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab Enterprise Edition, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать влияние на целостность защищаемой информации |
| BDU:2025-03907 | Уязвимость программного обеспечения централизованного управления идентификацией FreeIPA, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслужи... |
| BDU:2025-04025 | Уязвимость компонента PDFClass Handler платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04537 | Уязвимость операционной системы PowerScale OneFS, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ к учетной записи пользователя |
| BDU:2025-04657 | Уязвимость графического интерфейса системы управления безопасностью FortiSIEM, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04842 | Уязвимость программной интеграционной платформы SAP NetWeaver, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-05011 | Уязвимость программного обеспечения для интеграции функций Emarsys в мобильные приложения операционных систем Android Emarsys SDK, связанная с недостатками механизма авторизации, позволяющая нарушителю перенаправить пользователя на произвольный URL-а... |
| BDU:2025-05097 | Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к данным пользователя |
| BDU:2025-05098 | Уязвимость веб-сервиса виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к данным пользователя |
| BDU:2025-05099 | Уязвимость функции course_can_delete_section() виртуальной обучающей среды Moodle, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-05503 | Уязвимость программной платформы ColdFusion, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить произвольный код |
| BDU:2025-05506 | Уязвимость программной платформы ColdFusion, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05507 | Уязвимость программной платформы ColdFusion, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить произвольный код |
| BDU:2025-05659 | Уязвимость службы FactoryTalk Security платформы управления производственными процессами FactoryTalk Services Platform, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии |
| BDU:2025-05698 | Уязвимость панели управления микропрограммного обеспечения маршрутизаторов GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M и GL-B1300, позволяющая нарушителю получить несанкцио... |
| BDU:2025-05716 | Уязвимость панели администратора микропрограммного обеспечения маршрутизаторов GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M и GL-B1300, позволяющая нарушителю обойти огранич... |
| BDU:2025-06004 | Уязвимость расширения Database Abstraction Layer (DBAL) системы управления контентом TYPO3, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06177 | Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с недостатками механизма авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-06321 | Уязвимость платформы для обеспечения безопасности данных IBM Guardium Data Protection, связанная с недостатками механизма авторизации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06343 | Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-06374 | Уязвимость графического процессора микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю вызвать повреждение памяти |
| BDU:2025-06405 | Уязвимость графического процессора микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-06487 | Уязвимость драйвера wlan AP микропрограммного обеспечения микросхем MediaTek, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-06521 | Уязвимость операционных систем visionOS, iOS, iPadOS, tvOS и macOS, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-06736 | Уязвимость компонента API систем анализа сетевого трафика, сетевого обнаружения и реагирования Cisco Secure Network Analytics Manager и Cisco Secure Network Analytics Virtual Manager, позволяющая нарушителю оказать воздействие на целостность защищаем... |
| BDU:2025-06851 | Уязвимость программной платформы защиты данных IBM Storage Protect for Virtual Environments, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-06948 | Уязвимость системы управления службой поддержки FreeScout, связанная с некорректной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06949 | Уязвимость системы управления службой поддержки FreeScout, связанная с некорректной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06950 | Уязвимость системы управления службой поддержки FreeScout, связанная с некорректной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06951 | Уязвимость системы управления службой поддержки FreeScout, связанная с некорректной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07336 | Уязвимость прокси-сервера Dante, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-07597 | Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07632 | Уязвимость гибридного облачного решения для управления тонкими клиентами Dell Wyse Management Suite, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07813 | Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-07821 | Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08092 | Уязвимость системы управления контейнерами и менеджера виртуальных машин Incus, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности и проводить спуфинг-атаки |
| BDU:2025-08185 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с отсутствием авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой инфор... |
| BDU:2025-08186 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с отсутствием авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой инфор... |
| BDU:2025-08193 | Уязвимость компонента Modbus TCP Packet Handler микропрограммного обеспечения Ethernet модулей WISE-4010LAN, WISE-4050LAN, WISE-4060LAN, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-08197 | Уязвимость асинхронной системы обмена сообщениями Apache ActiveMQ Artemis, связанная с некорректной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-08356 | Уязвимость программы системного администрирования Sudo, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-08376 | Уязвимость программной платформы ColdFusion, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-08463 | Уязвимость корпоративного VPN-программного обеспечения Pritunl Client, связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2025-08559 | Уязвимость компонента Azure Auth платформы для архивирования корпоративной информации Vault Enterprise, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-08634 | Уязвимость компонента PIA Core Technology пакета бизнес-приложений Oracle PeopleSoft Enterprise PeopleTools, позволяющая нарушителю получить доступ на чтение, изменение и удаление информации |
| BDU:2025-08639 | Уязвимость компонента Unified Audit системы управления базами данных Oracle Database Server, позволяющая нарушителю получить доступ на чтение, изменение и удаление информации |
| BDU:2025-08640 | Уязвимость компонента Oracle Database системы управления базами данных Oracle Database Server, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2025-08642 | Уязвимость компонента Multiplatform Sync Errors платформы управления выездным обслуживанием Oracle Mobile Field Service системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на чтение, изменени... |
| BDU:2025-08703 | Уязвимость компонента Server: Components Services системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08704 | Уязвимость компонента InnoDB системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ на обновление, добавление и удаление данных |
| BDU:2025-08705 | Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08720 | Уязвимость компонента Internal Operations платформы управления арендными и финансовыми операциями Oracle Lease and Finance Management системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на чт... |
| BDU:2025-08722 | Уязвимость компонента PIA Core Technology пакета бизнес-приложений Oracle PeopleSoft Enterprise PeopleTools, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08767 | Уязвимость веб-сервера операционных систем Juniper Networks Junos OS, позволяющая нарушителю получить доступ к веб-диспетчеру устройств |
| BDU:2025-08814 | Уязвимость компонента SDK-Software Development Kit программного средства управления жизненным циклом продукта для предприятий Oracle Agile PLM Framework, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-09094 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-09095 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-09096 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-09115 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09148 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09170 | Уязвимость конфигурации системы Version Control System (VCS) системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09430 | Уязвимость компонента CoreMedia Playback операционных систем macOS, iOS, iPadOS, watchOS, tvOS, visionOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09505 | Уязвимость компонента Single Sign-On операционных систем macOS, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным |
| BDU:2025-09586 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить доступ на изменение данных |
| BDU:2025-09929 | Уязвимость средства защиты FortiClient for MAC, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-10365 | Уязвимость микропрограммного обеспечения маршрутизаторов Huawei EchoLife EG8141A5, EG8145V5 и EG8145V5-V2, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10416 | Уязвимость функции Load Rollback() веб-интерфейса микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM RST2428P, SCALANCE XC-300 Series, SCALANCE XC-400 Series, SCALANCE XCM-/XRM-/XCH-/XRH-300 Series, SCALANCE XM-400/XR-500 Ser... |
| BDU:2025-10417 | Уязвимость веб-интерфейса микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM RST2428P, SCALANCE XC-300 Series, SCALANCE XC-400 Series, SCALANCE XCM-/XRM-/XCH-/XRH-300 Series, SCALANCE XM-400/XR-500 Series, SCALANCE XR-300 (6G... |
| BDU:2025-10537 | Уязвимость компонента SLD системы управления ресурсами предприятия SAP Business One, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-10667 | Уязвимость интегрированной среды разработки программного обеспечения IntelliJ IDEA, связанная с ошибками авторизации, позволяющая нарушителю обнаружить скрытые файлы |
| BDU:2025-10807 | Уязвимость интерфейса управления микропрограммного обеспечения процессоров обработки данных NVIDIA BlueField, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-10814 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная c недостатками процедуры авторизации, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-10871 | Уязвимость плагина NodeRestriction сервера kube-apiserver программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-10987 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/CE, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10994 | Уязвимость приложения для обмена сообщениями и видеозвонков WhatsApp, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-10999 | Уязвимость компонента GPS микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-11105 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager (AEM), связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищаемую информацию |
| BDU:2025-11288 | Уязвимость браузера Safari операционных систем iOS и iPadOS, связанная с некорректной авторизацией, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес |
| BDU:2025-11352 | Уязвимость расширения App Within Minutes Application (AWM) платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-11574 | Уязвимость функции startSpaActivityForApp() модуля SpaActivity.kt операционных систем Android, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2025-11578 | Уязвимость функции onCreate() модуля SelectAccountActivity.java операционных систем Android, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2025-11759 | Уязвимость системы управления базами данных MongoDB, связанная с неправильной авторизацией, позволяющая нарушителю обойти внедренные ограничения безопасности |
| BDU:2025-12356 | Уязвимость модуля user систем управления конфигурациями Ansible Core и Ansible, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2025-12380 | Уязвимость драйвера виртуальных графических процессоров NVIDIA GPU Display Driver, связанная с некорректной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-12442 | Уязвимость набора утилит VMware Tools, связанная с недостатками процедуры авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-12645 | Уязвимость программного средства для управления производственными процессами ABB eSOMS, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-12725 | Уязвимость универсальной системы мониторинга Zabbix , связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-12726 | Уязвимость универсальной системы мониторинга Zabbix , связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-12950 | Уязвимость программного интерфейса платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с недостаточной проверкой подлинности выполняемых запросов, позволяющая нарушителю осуществить CSRF-атаку |
| BDU:2025-12958 | Уязвимость программных интеграционных платформ SAP NetWeaver Application Server ABAP и ABAP Platform, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-13055 | Уязвимость компонента /mailbox/mailbox_id/knowledge-base модуля Knowledge Base системы управления службой поддержки FreeScout, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13056 | Уязвимость компонента /thread/id/download-attachments модуля Extended Attachments системы управления службой поддержки FreeScout, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13058 | Уязвимость компонента /custom-fields/ajax модуля Custom Fields системы управления службой поддержки FreeScout, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13059 | Уязвимость компонента /kanban/ajax модуля Kanban системы управления службой поддержки FreeScout, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13062 | Уязвимость компонента /kanban/ajax модуля Kanban системы управления службой поддержки FreeScout, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13187 | Уязвимость микропрограммного обеспечения сетевых устройств Moxa серий EDR-G9010, EDR-8010, EDF-G1002-BP, TN-4900, NAT-102, NAT-108, OnCell G4302-LTE4, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный... |
| BDU:2025-13411 | Уязвимость сервера хранения объектов MinIO, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-13435 | Уязвимость сервиса скриптов Solr платформы создания совместных веб-приложений XWiki Platform XWiki , позволяющая нарушителю удалять произвольные файлы |
| BDU:2025-13689 | Уязвимость прикладных программных интерфейсов облачной платформы аналитики Elastic Cloud Enterprise, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-13974 | Уязвимость системы управления взаимоотношениями с клиентами SuiteCRM, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ на чтение и изменение данных |
| BDU:2025-14380 | Уязвимость программного инструмента организации безопасного доступа для кластеров Kubernetes Teleport, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищае... |
| BDU:2025-14458 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2025-14461 | Уязвимость реализации протокола OAuth программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14463 | Уязвимость интерфейса GraphQL API программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2025-14621 | Уязвимость компонента PolicyKit пакета Debian zulucrypt, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-14687 | Уязвимость программного комплекса "ALD Pro", связанная с некорректно установленными правами доступа в службе каталогов, позволяющая нарушителю получить несанкционированный доступ к ключам kerberos других учетных записей |
| BDU:2025-14919 | Уязвимость набора инструментов для обеспечения безопасного доступа к контенту Adobe Pass Authentication Android SDK, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-14930 | Уязвимость прикладного программного интерфейса программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками механизма авторизации, позволяющая нарушителю выполнять несанкционированные операции |
| BDU:2025-15206 | Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ на чтение, изменение и удаление данных |
| BDU:2025-15285 | Уязвимость компонента GetPasswordExpirationDate интерфейса прикладного программирования Exchange Web Services, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15427 | Уязвимость программного средства мониторинга и анализа логов Nagios Log Server, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-15663 | Уязвимость сервера Siemens SINEMA Remote Connect, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15966 | Уязвимость конечной точки API system/stop службы Elasticsearch программного средства мониторинга и анализа логов Nagios Log Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16013 | Уязвимость компонента API приложения для обмена мгновенными сообщениями Mattermost, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-16016 | Уязвимость функции Open in Channel приложения для обмена мгновенными сообщениями Mattermost, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-16033 | Уязвимость микропрограммного обеспечения встраиваемых плат Qualcomm, связанная с недостатками механизма авторизации, позволяющая нарушителю вызвать повреждение памяти |
| BDU:2025-16293 | Уязвимость приложения для обработки и анализа данных Splunk MCP Server, связанная с ошибками авторизации, позволяющая нарушителю обойти ограничения списка разрешённых команд SPL в MCP (Model Context Protocol) |
| BDU:2025-16384 | Уязвимость плагина AI Engine системы управления содержимым сайта WordPress, связанная с некорректной авторизацией, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды |
| BDU:2025-16428 | Уязвимость ПЛК NLcon-CE-485-C, связанная с недостатками процедуры авторизации сервиса Codesys v2, позволяющая нарушителю получить полный доступ к среде исполнения Codesys v2 |
| BDU:2025-16438 | Уязвимость интерфейса программного средства мониторинга и анализа логов Nagios Log Server, позволяющая нарушителю получить доступ на чтение и изменение данных |
| BDU:2026-00011 | Уязвимость сервиса визуализации данных Kibana, связанная с ошибками авторизации, позволяющая нарушителю повысить привилегии |
| BDU:2026-00045 | Уязвимость компонента API Endpoint бэк-офисного приложения Rising Technosoft CAP Back Office Application, позволяющая нарушителю получить несанкционированный доступ к учетным записям |
| BDU:2026-00164 | Уязвимость пакета управления рассылками электронных писем GNU Mailman, связанная с недостатками механизма авторизации, позволяющая нарушителю создавать произвольные файлы |
| BDU:2026-00228 | Уязвимость интегрированной среды для управления жизненным циклом разработки IBM Jazz Foundation, связанная с некорректной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2010-1435 | Joomla! Core is prone to a security bypass vulnerability. Exploiting this issue may allow attackers to perform otherwise rest... |
| CVE-2010-2525 | A flaw was discovered in gfs2 file system’s handling of acls (access control lists). An unprivileged local attacker could exp... |
| CVE-2016-9575 | Ipa versions 4.2.x, 4.3.x before 4.3.3 and 4.4.x before 4.4.3 did not properly check the user's permissions while modifying c... |
| CVE-2017-0910 | In Zulip Server before 1.7.1, on a server with multiple realms, a vulnerability in the invitation system lets an authorized u... |
| CVE-2017-12197 | It was found that libpam4j up to and including 1.8 did not properly validate user accounts when authenticating. A user with a... |
| CVE-2017-15091 | An issue has been found in the API component of PowerDNS Authoritative 4.x up to and including 4.0.4 and 3.x up to and includ... |
| CVE-2017-16858 | The 'crowd-application' plugin module (notably used by the Google Apps plugin) in Atlassian Crowd from version 1.5.0 before v... |
| CVE-2017-18095 | The SnippetRPCServiceImpl class in Atlassian Crucible before version 4.5.1 (the fixed version 4.5.x) and before 4.6.0 allows... |
| CVE-2017-2599 | Jenkins before versions 2.44 and 2.32.2 is vulnerable to an insufficient permission check. This allows users with permissions... |
| CVE-2017-2673 | An authorization-check flaw was discovered in federation configurations of the OpenStack Identity service (keystone). An auth... |
| CVE-2017-7470 | It was found that spacewalk-channel can be used by a non-admin user or disabled users to perform administrative tasks due to... |
| CVE-2017-7505 | Foreman since version 1.5 is vulnerable to an incorrect authorization check due to which users with user management permissio... |
| CVE-2018-1057 | On a Samba 4 AD DC the LDAP server in all versions of Samba from 4.0.0 onwards incorrectly validates permissions to modify pa... |
| CVE-2018-10910 | A bug in Bluez may allow for the Bluetooth Discoverable state being set to on when no Bluetooth agent is registered with the... |
| CVE-2018-10925 | It was discovered that PostgreSQL versions before 10.5, 9.6.10, 9.5.14, 9.4.19, and 9.3.24 failed to properly check authoriza... |
| CVE-2018-20826 | The inline-create rest resource in Jira before version 7.12.3 allows authenticated remote attackers to set the reporter in is... |
| CVE-2018-8790 | Check Point ZoneAlarm version 15.3.064.17729 and below expose a WCF service that can allow a local low privileged user to exe... |
| CVE-2018-8927 | Improper authorization vulnerability in SYNO.Cal.Event in Calendar before 2.1.2-0511 allows remote authenticated users to cre... |
| CVE-2019-13417 | Search Guard versions before 24.0 had an issue that field caps and mapping API leak field names (but not values) for fields w... |
| CVE-2019-14832 | A flaw was found in the Keycloak REST API before version 8.0.0 where it would permit user access from a realm the user was no... |
| CVE-2019-14995 | The /rest/api/1.0/render resource in Jira before version 8.4.0 allows remote anonymous attackers to determine if an attachmen... |
| CVE-2019-3399 | The BrowseProjects.jspa resource in Jira before version 7.13.2, and from version 8.0.0 before version 8.0.2 allows remote att... |
| CVE-2019-3401 | The ManageFilters.jspa resource in Jira before version 7.13.3 and from version 8.0.0 before version 8.1.1 allows remote attac... |
| CVE-2019-3403 | The /rest/api/2/user/picker rest resource in Jira before version 7.13.3, from version 8.0.0 before version 8.0.4, and from ve... |
| CVE-2019-3827 | An incorrect permission check in the admin backend in gvfs before version 1.39.4 was found that allows reading and modify arb... |
| CVE-2019-3831 | A vulnerability was discovered in vdsm, version 4.19 through 4.30.3 and 4.30.5 through 4.30.8. The systemd_run function expos... |
| CVE-2019-3848 | A vulnerability was found in moodle before versions 3.6.3, 3.5.5 and 3.4.8. Permissions were not correctly checked before loa... |
| CVE-2019-3887 | A flaw was found in the way KVM hypervisor handled x2APIC Machine Specific Rregister (MSR) access with nested(=1) virtualizat... |
| CVE-2019-6836 | A CWE-863: Incorrect Authorization vulnerability exists in U.motion Server (MEG6501-0001 - U.motion KNX server, MEG6501-0002... |
| CVE-2019-6838 | A CWE-863: Incorrect Authorization vulnerability exists in U.motion Server (MEG6501-0001 - U.motion KNX server, MEG6501-0002... |
| CVE-2019-6855 | Incorrect Authorization vulnerability exists in EcoStruxure Control Expert (all versions prior to 14.1 Hot Fix), Unity Pro (a... |
| CVE-2019-8445 | Several worklog rest resources in Jira before version 7.13.7, and from version 8.0.0 before version 8.3.2 allow remote attack... |
| CVE-2019-8446 | The /rest/issueNav/1/issueTable resource in Jira before version 8.3.2 allows remote attackers to enumerate usernames via an i... |
| CVE-2020-11844 | Incorrect Authorization vulnerability in the Micro Focus Container Deployment Foundation affecting multiple products. |
| CVE-2020-12503 | Pepperl+Fuchs improper authorization affects multiple Comtrol RocketLinx products |
| CVE-2020-14321 | In Moodle before 3.9.1, 3.8.4, 3.7.7 and 3.5.13, teachers of a course were able to assign themselves the manager role within... |
| CVE-2020-15110 | Possible pod name collisions in jupyterhub-kubespawner |
| CVE-2020-15120 | Authorization Bypass in I hate money |
| CVE-2020-15126 | Information disclosure through Viewer query in parse-server |
| CVE-2020-15163 | Invalid root may become trusted root in The Update Framework (TUF) |
| CVE-2020-15246 | Local File Inclusion by unauthenticated users |
| CVE-2020-15248 | Privilege escalation by backend users assigned to the default "Publisher" system role |
| CVE-2020-15251 | Privilege Escalation in Channelmgnt plug-in for Sopel |
| CVE-2020-15278 | Unauthorized privilege escalation in Mod module |
| CVE-2020-1725 | A flaw was found in keycloak before version 13.0.0. In some scenarios a user still has access to a resource after changing th... |
| CVE-2020-1729 | A flaw was found in SmallRye's API through version 1.6.1. The API can allow other code running within the application server... |
| CVE-2020-24401 | Incorrect permissions following the deletion of a user role or deactivation of a user |
| CVE-2020-25167 | OSIsoft PI Vision Incorrect Authorization |
| CVE-2020-25239 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.0). The webserver could allow unauthor... |
| CVE-2020-25240 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.0). Unpriviledged users can access ser... |
| CVE-2020-25655 | An issue was discovered in ManagedClusterView API, that could allow secrets to be disclosed to users without the correct perm... |
| CVE-2020-25699 | In moodle, insufficient capability checks could lead to users with the ability to course restore adding additional capabiliti... |
| CVE-2020-25722 | Multiple flaws were found in the way samba AD DC implemented access and conformance checking of stored data. An attacker coul... |
| CVE-2020-26223 | Authorization bypass in Spree |
| CVE-2020-26250 | Base class whitelist configuration ignored in OAuthenticator |
| CVE-2020-28211 | A CWE-863: Incorrect Authorization vulnerability exists in PLC Simulator on EcoStruxureª Control Expert (now Unity Pro) (all... |
| CVE-2020-28397 | A vulnerability has been identified in SIMATIC Drive Controller family (All versions < V2.9.2), SIMATIC ET 200SP Open Control... |
| CVE-2020-3404 | Cisco IOS XE Software Consent Token Bypass Vulnerability |
| CVE-2020-3467 | Cisco Identity Services Engine Authorization Bypass Vulnerability |
| CVE-2020-35501 | A flaw was found in the Linux kernels implementation of audit rules, where a syscall can unexpectedly not be correctly not be... |
| CVE-2020-3578 | Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software WebVPN Portal Access Rule Bypass Vulnerabili... |
| CVE-2020-36238 | The /rest/api/1.0/render resource in Jira Server and Data Center before version 8.5.13, from version 8.6.0 before version 8.1... |
| CVE-2020-36287 | The dashboard gadgets preference resource of the Atlassian gadgets plugin used in Jira Server and Jira Data Center before ver... |
| CVE-2020-36610 | annyshow DuxCMS cross-site request forgery |
| CVE-2020-36622 | sah-comp bienlein cross-site request forgery |
| CVE-2020-36623 | Pengu index.js runApp cross-site request forgery |
| CVE-2020-36625 | destiny.gg chat main.go websocket.Upgrader cross-site request forgery |
| CVE-2020-5239 | Unspecified vulnerability in the fetchmail script in Mailu |
| CVE-2020-5418 | Cloud Controller allows users with no roles to list droplets |
| CVE-2020-6214 | SAP S/4HANA (Financial Products Subledger), version 100, uses an incorrect authorization object in some reports. Although the... |
| CVE-2020-7300 | DLP ePO extension - Improper Authorization |
| CVE-2020-7499 | A CWE-863: Incorrect Authorization vulnerability exists in U.motion Servers and Touch Panels (affected versions listed in the... |
| CVE-2020-8142 | A security restriction bypass vulnerability has been discovered in Revive Adserver version < 5.0.5 by HackerOne user hoangn14... |
| CVE-2021-1143 | Cisco Connected Mobile Experiences User Enumeration Vulnerability |
| CVE-2021-1144 | Cisco Connected Mobile Experiences Privilege Escalation Vulnerability |
| CVE-2021-1539 | Cisco ASR 5000 Series Software Authorization Bypass Vulnerabilities |
| CVE-2021-1540 | Cisco ASR 5000 Series Software Authorization Bypass Vulnerabilities |
| CVE-2021-20179 | A flaw was found in pki-core. An attacker who has successfully compromised a key could use this flaw to renew the correspondi... |
| CVE-2021-20188 | A flaw was found in podman before 1.7.0. File permissions for non-root users running in a privileged container are not correc... |
| CVE-2021-20229 | A flaw was found in PostgreSQL in versions before 13.2. This flaw allows a user with SELECT privilege on one column to craft... |
| CVE-2021-20282 | When creating a user account, it was possible to verify the account without having access to the verification email link/secr... |
| CVE-2021-20283 | The web service responsible for fetching other users' enrolled courses did not validate that the requesting user had permissi... |
| CVE-2021-20290 | An improper authorization handling flaw was found in Foreman. The OpenSCAP plugin for the smart-proxy allows foreman clients... |
| CVE-2021-20306 | A flaw was found in the BPMN editor in version jBPM 7.51.0.Final. Any authenticated user from any project can see the name of... |
| CVE-2021-21013 | Magento Commerce Insecure Direct Object Reference Could Lead To Information Disclosure |
| CVE-2021-21276 | Privilege escalation in Polr |
| CVE-2021-21286 | Authorization Bypass in AVideo Platform |
| CVE-2021-21318 | Removing access may not effect published series |
| CVE-2021-21367 | Incorrect Authorization in switchboard-plug-bluetooth |
| CVE-2021-21389 | BuddyPress privilege escalation via REST API |
| CVE-2021-21411 | Incorrect authorization in OAuth2-Proxy |
| CVE-2021-21552 | Dell Wyse Windows Embedded System versions WIE10 LTSC 2019 and earlier contain an improper authorization vulnerability. A loc... |
| CVE-2021-24207 | WP Page Builder < 1.2.4 - Insecure default configuration Allows Subscribers Editing Access to Posts |
| CVE-2021-24244 | WPBakery Page Builder Clipboard < 4.5.8 - Unauthorised Arbitrary License Options Update |
| CVE-2021-24278 | Redirection for Contact Form 7 < 2.3.4 - Unauthenticated Arbitrary Nonce Generation |
| CVE-2021-24279 | Redirection for Contact Form 7 < 2.3.4 - Authenticated Arbitrary Plugin Installation |
| CVE-2021-24281 | Redirection for Contact Form 7 < 2.3.4 - Authenticated Arbitrary Post Deletion |
| CVE-2021-24282 | Redirection for Contact Form 7 < 2.3.4 - Unprotected AJAX Actions |
| CVE-2021-24379 | Comments Like Dislike < 1.1.4 - Add Like/Dislike Bypass |
| CVE-2021-24405 | Easy Cookie Policy <= 1.6.2 - Broken Access Control to Stored Cross-Site Scripting |
| CVE-2021-24652 | PostX Gutenberg Blocks for Post Grid < 2.4.10 - Missing Access Controls |
| CVE-2021-24717 | AutomatorWP < 1.7.6 - Missing Authorization and Privilege Escalation |
| CVE-2021-24733 | WP Post Page Clone < 1.2 - Unauthorised Post Access |
| CVE-2021-24742 | Logo Slider and Showcase < 1.3.37 - Editor Plugin's Settings Update |
| CVE-2021-24757 | Stylish Price List < 6.9.0 - Unauthenticated Arbitrary Image Upload |
| CVE-2021-24770 | Stylish Price List < 6.9.1 - Subscriber+ Arbitrary Image Upload |
| CVE-2021-24783 | Post Expirator < 2.6.0 - Contributor+ Arbitrary Post Schedule Deletion |
| CVE-2021-24788 | Batch Cat <= 0.3 - Subscriber+ Arbitrary Categories Add/Set/Delete to Posts |
| CVE-2021-24819 | Page/Post Content Shortcode <= 1.0 - Contributor+ Arbitrary Posts/Pages Access |
| CVE-2021-24824 | Custom Content Shortcode < 4.0.1 - Unauthorised Arbitrary Post Metadata Access |
| CVE-2021-24851 | Insert Pages < 3.7.0 - Contributor+ Arbitrary Posts/Pages Access |
| CVE-2021-24872 | Get Custom Field Values < 4.0 - Contributors+ Arbitrary Post Metadata Access |
| CVE-2021-24905 | Advanced Contact form 7 DB < 1.8.7 - Subscriber+ Arbitrary File Deletion |
| CVE-2021-24917 | WPS Hide Login < 1.9.1 - Protection Bypass with Referer-Header |
| CVE-2021-24947 | RVM - Responsive Vector Maps < 6.4.2 - Subscriber+ Arbitrary File Read |
| CVE-2021-25097 | LabTools <= 1.0 - Subscriber+ Arbitrary Publication Deletion |
| CVE-2021-26563 | Incorrect authorization vulnerability in synoagentregisterd in Synology DiskStation Manager (DSM) before 6.2.4-25553 allows l... |
| CVE-2021-29437 | Account compromise by man-in-the-middle attack |
| CVE-2021-29439 | Plugins can be installed with minimal admin privileges |
| CVE-2021-29943 | Apache Solr Unprivileged users may be able to perform unauthorized read/write to collections |
| CVE-2021-32701 | Possible bypass of token claim validation when OAuth2 Introspection caching is enabled |
| CVE-2021-32777 | Incorrect concatenation of multiple value request headers in ext-authz extension |
| CVE-2021-32779 | Incorrectly handling of URI '#fragment' element as part of the path element |
| CVE-2021-33718 | A vulnerability has been identified in Mendix Applications using Mendix 7 (All versions < V7.23.22), Mendix Applications usin... |
| CVE-2021-3456 | An improper authorization handling flaw was found in Foreman. The Salt plugin for the smart-proxy allows foreman clients to e... |
| CVE-2021-3457 | An improper authorization handling flaw was found in Foreman. The Shellhooks plugin for the smart-proxy allows Foreman client... |
| CVE-2021-34647 | Ninja Forms <= 3.5.7 Sensitive Information Disclosure |
| CVE-2021-34648 | Ninja Forms <= 3.5.7 Unprotected REST-API to Email Injection |
| CVE-2021-3469 | Foreman versions before 2.3.4 and before 2.4.0 is affected by an improper authorization handling flaw. An authenticated attac... |
| CVE-2021-3499 | A vulnerability was found in OVN Kubernetes in versions up to and including 0.3.0 where the Egress Firewall does not reliably... |
| CVE-2021-3560 | It was found that polkit could be tricked into bypassing the credential checks for D-Bus requests, elevating the privileges o... |
| CVE-2021-3563 | A flaw was found in openstack-keystone. Only the first 72 characters of an application secret are verified allowing attackers... |
| CVE-2021-36039 | Magento Commerce `quoteId` parameter Incorrect Authorization Vulnerability Could Lead To Information Disclosure |
| CVE-2021-3658 | bluetoothd from bluez incorrectly saves adapters' Discoverable status when a device is powered down, and restores it when pow... |
| CVE-2021-36778 | Exposure of repository credentials to external third-party sources |
| CVE-2021-3763 | A flaw was found in the Red Hat AMQ Broker management console in version 7.8 where an existing user is able to access some li... |
| CVE-2021-38312 | Gutenberg Template Library & Redux Framework <= 4.2.11 Incorrect Authorization check to Arbitrary plugin installation and pos... |
| CVE-2021-39156 | Fragments in Path May Lead to Authorization Policy Bypass |
| CVE-2021-39206 | Incorrect Authorization with specially crafted requests |
| CVE-2021-39321 | Sassy Social Share 3.3.23 PHP Object Injection |
| CVE-2021-3956 | A read-only authentication bypass vulnerability was reported in the Third Quarter 2021 release of Lenovo XClarity Controller... |
| CVE-2021-40504 | A certain template role in SAP NetWeaver Application Server for ABAP and ABAP Platform - versions 700, 701, 702, 710, 711, 73... |
| CVE-2021-41189 | Communities and collections administrators can escalate their privilege up to system administrator |
| CVE-2021-41230 | OIDC claims not updated from Identity Provider in Pomerium |
| CVE-2021-41241 | Advanced permissions is not respected for subfolders in Nextcloud server |
| CVE-2021-4133 | A flaw was found in Keycloak in versions from 12.0.0 and before 15.1.1 which allows an attacker with any existing user accoun... |
| CVE-2021-41528 | Improper authorization related to Import / Export interfaces on RISC Platform |
| CVE-2021-41571 | Pulsar Admin API allows access to data from other tenants using getMessageById API |
| CVE-2021-42025 | A vulnerability has been identified in Mendix Applications using Mendix 8 (All versions < V8.18.13), Mendix Applications usin... |
| CVE-2021-42026 | A vulnerability has been identified in Mendix Applications using Mendix 8 (All versions < V8.18.13), Mendix Applications usin... |
| CVE-2021-4268 | phpRedisAdmin cross-site request forgery |
| CVE-2021-4275 | katlings pyambic-pentameter cross-site request forgery |
| CVE-2021-43553 | OSIsoft PI Vision |
| CVE-2021-43560 | A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. Insuff... |
| CVE-2022-0333 | A flaw was found in Moodle in versions 3.11 to 3.11.4, 3.10 to 3.10.8, 3.9 to 3.9.11 and earlier unsupported versions. The ca... |
| CVE-2022-0334 | A flaw was found in Moodle in versions 3.11 to 3.11.4, 3.10 to 3.10.8, 3.9 to 3.9.11 and earlier unsupported versions. Insuff... |
| CVE-2022-0580 | Incorrect Authorization in librenms/librenms |
| CVE-2022-0594 | Shareaholic < 9.7.6 - Information Disclosure |
| CVE-2022-0633 | UpdraftPlus Free < 1.22.3 & Premium < 2.22.3 - Subscriber+ Backup Download |
| CVE-2022-0670 | A flaw was found in Openstack manilla owning a Ceph File system "share", which enables the owner to read/write any manilla sh... |
| CVE-2022-0720 | Amelia < 1.0.47 - Customer+ Arbitrary Appointments Update and Sensitive Data Disclosure |
| CVE-2022-0762 | Incorrect Authorization in microweber/microweber |
| CVE-2022-0775 | WooCommerce < 6.2.1 - Subscriber+ Arbitrary Comment Deletion |
| CVE-2022-0825 | Amelia < 1.0.49 - Customer+ Arbitrary Appointments Status Update |
| CVE-2022-0866 | This is a concurrency issue that can result in the wrong caller principal being returned from the session context of an EJB t... |
| CVE-2022-0920 | Salon booking system < 7.6.3 - Customer+ Bookings/Customers Data Disclosure |
| CVE-2022-0981 | A flaw was found in Quarkus. The state and potentially associated permissions can leak from one web request to another in Res... |
| CVE-2022-0984 | Users with the capability to configure badge criteria (teachers and managers by default) were able to configure course badges... |
| CVE-2022-1223 | Incorrect Authorization in phpipam/phpipam |
| CVE-2022-1401 | Insufficient validation of provided paths in Exago WrImageResource.axd |
| CVE-2022-1466 | Due to improper authorization, Red Hat Single Sign-On is vulnerable to users performing actions that they should not be allow... |
| CVE-2022-1589 | Change wp-admin Login < 1.1.0 - Unauthenticated Arbitrary Settings Update |
| CVE-2022-1706 | A vulnerability was found in Ignition where ignition configs are accessible from unprivileged containers in VMs running on VM... |
| CVE-2022-20928 | A vulnerability in the authentication and authorization flows for VPN connections in Cisco Adaptive Security Appliance (ASA)... |
| CVE-2022-21141 | Airspan Networks Mimosa Incorrect Authorization |
| CVE-2022-2155 | A vulnerability exists in the Lumada APM’s User Asset Group feature due to a flaw in access control mechanism implementation... |
| CVE-2022-21701 | Privileged Escalation in Istio |
| CVE-2022-21706 | Multi-use invitations can grant access to other organizations in Zulip |
| CVE-2022-21707 | Incorrect Authorization in wasmCloud |
| CVE-2022-21713 | Exposure of Sensitive Information in Grafana |
| CVE-2022-22157 | Junos OS: SRX Series: Traffic classification vulnerability when 'no-syn-check' is enabled |
| CVE-2022-22167 | Junos OS: SRX Series: If no-syn-check is enabled, traffic classified as UNKNOWN gets permitted by pre-id-default-policy |
| CVE-2022-22307 | IBM Security Guardium privilege escalation |
| CVE-2022-22978 | In spring security versions prior to 5.4.11+, 5.5.7+ , 5.6.4+ and older unsupported versions, RegexRequestMatcher can easily... |
| CVE-2022-23009 | On BIG-IQ Centralized Management 8.x before 8.1.0, an authenticated administrative role user on a BIG-IQ managed BIG-IP devic... |
| CVE-2022-23451 | An authorization flaw was found in openstack-barbican. The default policy rules for the secret metadata API allowed any authe... |
| CVE-2022-23452 | An authorization flaw was found in openstack-barbican, where anyone with an admin role could add secrets to a different proje... |
| CVE-2022-23473 | Tuleap MediaWiki standalone "readers" can also edit pages |
| CVE-2022-23490 | Improper access control to polling votes |
| CVE-2022-2354 | WP-DBManager < 2.80.8 - Admin+ Remote Command Execution |
| CVE-2022-23551 | AAD Pod Identity obtaining token with backslash |
| CVE-2022-23553 | URL access filters bypass in Alpine |
| CVE-2022-23615 | Partial authorization bypass on document save in xwiki-platform |
| CVE-2022-23627 | Inadequate access verification when using proxy commands in ArchiSteamFarm |
| CVE-2022-23739 | Incorrect authorization check in GitHub Enterprise Server leading to escalation of privileges in GraphQL API requests from Gi... |
| CVE-2022-23741 | Incorrect authorization in GitHub Enterprise Server token generation leading to full admin access |
| CVE-2022-23822 | In this physical attack, an attacker may potentially exploit the Zynq-7000 SoC First Stage Boot Loader (FSBL) by bypassing au... |
| CVE-2022-24714 | Disclosure of hosts and related data, linked to decommissioned services in Icinga Web 2 |
| CVE-2022-24721 | Incorrect Authorization in org.cometd.oort |
| CVE-2022-24755 | Incorrect Authorization in Bareos Director |
| CVE-2022-24778 | Incorrect Authorization in imgcrypt |
| CVE-2022-24841 | Improper Authorization in github.com/fleetdm/fleet |
| CVE-2022-2597 | Visual Portfolio < 2.19.0 - Contributor+ CSS Injection |
| CVE-2022-27551 | HCL Launch could allow an authenticated user to obtain sensitive information (CVE-2022-27551) |
| CVE-2022-27608 | Forcepoint One Endpoint prior to version 22.01 installed on Microsoft Windows is vulnerable to registry key tampering by user... |
| CVE-2022-27609 | Forcepoint One Endpoint prior to version 22.01 installed on Microsoft Windows does not provide sufficient anti-tampering prot... |
| CVE-2022-27642 | This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of NETGEAR R6700v3 1.... |
| CVE-2022-27668 | Depending on the configuration of the route permission table in file 'saprouttab', it is possible for an unauthenticated atta... |
| CVE-2022-28774 | Under certain conditions, the SAP Host Agent logfile shows information which would otherwise be restricted. |
| CVE-2022-29619 | Under certain conditions SAP BusinessObjects Business Intelligence Platform 4.x - versions 420,430 allows user Administrator... |
| CVE-2022-3024 | Simple Bitcoin Faucets <= 1.7.0 - Unauthorised AJAX Call to Stored XSS |
| CVE-2022-30308 | FESTO: CECC-X-M1 and Servo Press Kit YJKP OS Command Injection vulnerability |
| CVE-2022-30309 | FESTO: CECC-X-M1 and Servo Press Kit YJKP OS Command Injection vulnerability |
| CVE-2022-30310 | FESTO: CECC-X-M1 and Servo Press Kit YJKP OS Command Injection vulnerability |
| CVE-2022-30311 | FESTO: CECC-X-M1 and Servo Press Kit YJKP OS Command Injection vulnerability |
| CVE-2022-31107 | Grafana account takeover via OAuth vulnerability |
| CVE-2022-31154 | Indirect Object Access in Sourcegraph Code Monitoring |
| CVE-2022-31155 | Unauthorized overwriting of saved searches in Sourcegraph |
| CVE-2022-31168 | Zulip Server insufficient authorization for changing bot roles |
| CVE-2022-31178 | Improper Authorization in eLabFTW |
| CVE-2022-31252 | permissions: chkstat does not check for group-writable parent directories or target files in safeOpen() |
| CVE-2022-31589 | Due to improper authorization check, business users who are using Israeli File from SHAAM program (/ATL/VQ23 transaction), ar... |
| CVE-2022-3188 | Dataprobe iBoot-PDU FW versions prior to 1.42.06162022 contain a vulnerability where unauthenticated users could open PHP ind... |
| CVE-2022-3248 | Openshift api admission checks does not enforce "custom-host" permissions |
| CVE-2022-32532 | Authentication Bypass Vulnerability |
| CVE-2022-33718 | An improper access control vulnerability in Wi-Fi Service prior to SMR AUG-2022 Release 1 allows untrusted applications to ma... |
| CVE-2022-34397 | Dell Unisphere for PowerMax vApp, VASA Provider vApp, and Solution Enabler vApp version 10.0.0.5 and below contains an autho... |
| CVE-2022-35692 | Adobe Commerce Improper Access Control Security feature bypass |
| CVE-2022-3582 | SourceCodester Simple Cold Storage Management System cross-site request forgery |
| CVE-2022-3585 | SourceCodester Simple Cold Storage Management System Contact Us cross-site request forgery |
| CVE-2022-36009 | Incorrect parsing of access level in gomatrixserverlib and dendrite |
| CVE-2022-36109 | Moby vulnerability relating to supplementary group permissions |
| CVE-2022-3879 | Car Dealer < 3.05 - Subscriber+ Arbitrary Plugin Installation |
| CVE-2022-3880 | AntiHacker < 4.20 - Subscriber+ Arbitrary Plugin Installation |
| CVE-2022-3881 | WPTools < 3.43 - Subscriber+ Arbitrary Plugin Installation |
| CVE-2022-3882 | WP Memory < 2.46 - Subscriber+ Arbitrary Plugin Installation |
| CVE-2022-3883 | StopBadBots < 7.24 - Subscriber+ Arbitrary Plugin Installation |
| CVE-2022-39214 | Authenticated users of Combodo iTop can take over any account |
| CVE-2022-39275 | Improper object type validation in saleor |
| CVE-2022-39302 | Ree6 may bypass webhook protection |
| CVE-2022-39337 | Permission bypass due to incorrect configuration in github.com/dromara/hertzbeat |
| CVE-2022-39352 | OpenFGA Authorization Bypass |
| CVE-2022-39388 | Istio may allow identity impersonation if user has localhost access |
| CVE-2022-3978 | NodeBB abort cross-site request forgery |
| CVE-2022-39955 | Partial rule set bypass in OWASP ModSecurity Core Rule Set by submitting a specially crafted HTTP Content-Type header |
| CVE-2022-39956 | Partial rule set bypass in OWASP ModSecurity Core Rule Set for HTTP multipart requests using character encoding in the Cont... |
| CVE-2022-39958 | Response body bypass in OWASP ModSecurity Core Rule Set via repeated HTTP Range header submission with a small byte range |
| CVE-2022-4013 | Hospital Management Center appointment.php cross-site request forgery |
| CVE-2022-4014 | FeehiCMS Post My Comment Tab cross-site request forgery |
| CVE-2022-40681 | A incorrect authorization in Fortinet FortiClient (Windows) 7.0.0 - 7.0.7, 6.4.0 - 6.4.9, 6.2.0 - 6.2.9 and 6.0.0 - 6.0.10 al... |
| CVE-2022-40682 | A incorrect authorization in Fortinet FortiClient (Windows) 7.0.0 - 7.0.7, 6.4.0 - 6.4.9, 6.2.0 - 6.2.9 and 6.0.0 - 6.0.10 al... |
| CVE-2022-4090 | rickxy Stock Management System cross-site request forgery |
| CVE-2022-41274 | SAP Disclosure Management - version 10.1, allows an authenticated attacker to exploit certain misconfigured application endpo... |
| CVE-2022-41918 | Issue with fine-grained access control of indices backing data streams |
| CVE-2022-41962 | BigBlueButton contains Incorrect Authorization for setting emoji status |
| CVE-2022-41970 | Nextcloud Server's disabled download shares still allow download through preview images |
| CVE-2022-42344 | [CVE-2021-36032] Magento IDOR Leads to Account Takeover |
| CVE-2022-42351 | AEM Incorrect Authorization Security feature bypass |
| CVE-2022-43438 | HWA JIUH DIGITAL TECHNOLOGY LTD. EasyTest - Incorrect Authorization |
| CVE-2022-4349 | CTF-hacker pwn delete.html cross-site request forgery |
| CVE-2022-43770 | Hitachi Vantara Pentaho Business Analytics Server - Incorrect Authorization |
| CVE-2022-43940 | Hitachi Vantara Pentaho Business Analytics Server - Incorrect Authorization |
| CVE-2022-4397 | morontt zend-blog-number-2 Comment Comment.php cross-site request forgery |
| CVE-2022-45353 | WordPress Betheme theme <= 26.6.1 is vulnerable to Broken Access Control |
| CVE-2022-45435 | SailPoint IdentityIQ Access Control Bypass |
| CVE-2022-46160 | Tuleap dashboards vulnerable to Incorrect Authorization |
| CVE-2022-46167 | Capsule vulnerable to privilege escalation by ServiceAccount deployed in a Tenant Namespace |
| CVE-2022-46258 | Incorrect Authorization in GitHub Enterprise Server leads to Action Workflow modifications without Workflow Scope |
| CVE-2022-46307 | SGUDA U-Lock - Broken Access Control |
| CVE-2022-46308 | SGUDA U-Lock - Broken Access Control |
| CVE-2023-0120 | Incorrect Authorization in GitLab |
| CVE-2023-0298 | Incorrect Authorization in firefly-iii/firefly-iii |
| CVE-2023-0328 | WPCode < 2.0.7 - Contributor+ WPCode Library Auth Key Update/Deletion |
| CVE-2023-0940 | ProfileGrid < 5.3.1 - Subscriber+ Arbitrary Password Reset |
| CVE-2023-0971 | Command Authentication Bypass in Z/IP Gateway |
| CVE-2023-1158 | Hitachi Vantara Pentaho Business Analytics Server - Incorrect Authorization |
| CVE-2023-1779 | Helmholz and MB Connect Line: Account takeover via password reset in multiple products |
| CVE-2023-1979 | Auth bypass in Web Stories for WordPress plugin |
| CVE-2023-22248 | Adobe Commerce Incorrect Authorization Security feature bypass |
| CVE-2023-22251 | Adobe Commerce Incorrect Authorization Security feature bypass |
| CVE-2023-22482 | JWT audience claim is not verified |
| CVE-2023-22500 | glpi Unauthorized access to inventory files |
| CVE-2023-22610 | A CWE-863: Incorrect Authorization vulnerability exists that could cause Denial of Service against the Geo SCADA server when... |
| CVE-2023-23476 | IBM Robotic Process Automation information disclosure |
| CVE-2023-23947 | Argo CD users with any cluster secret update access may update out-of-bounds cluster secrets |
| CVE-2023-24471 | Information disclosure via the debug function in assertions in Guardian/CMC before 22.6.2 |
| CVE-2023-24829 | Apache IoTDB Workbench: apache/iotdb-web-workbench: forge the JWTToken to access workbench |
| CVE-2023-24999 | Vault Fails to Verify if the AppRole SecretID Belongs to Role During a Destroy Operation |
| CVE-2023-25017 | Rifartek IOT Wall - Broken Access Control |
| CVE-2023-25043 | WordPress Data Tables Generator by Supsystic Plugin <= 1.10.25 is vulnerable to Broken Access Control |
| CVE-2023-2515 | Privilege escalation to system admin via personal access tokens |
| CVE-2023-25173 | containerd supplementary groups are not set up properly |
| CVE-2023-25547 | A CWE-863: Incorrect Authorization vulnerability exists that could allow remote code execution on upload and install package... |
| CVE-2023-25548 | A CWE-863: Incorrect Authorization vulnerability exists that could allow access to device credentials on specific DCE endpoi... |
| CVE-2023-2576 | Incorrect Authorization in GitLab |
| CVE-2023-25923 | IBM Security Key Lifecycle Manager denial of service |
| CVE-2023-25924 | IBM Security Key Lifecycle Manager improper authorization |
| CVE-2023-26056 | XWiki Platform allows macro execution as any user without programming rights through the context macro |
| CVE-2023-2640 | On Ubuntu kernels carrying both c914c0e27eb0 and "UBUNTU: SAUCE: overlayfs: Skip permission checking for trusted.overlayfs.*... |
| CVE-2023-26484 | On a compromised KubeVirt node, the virt-handler service account can be used to modify all node specs |
| CVE-2023-27485 | Insufficient verification of authorisation when accessing subresults in thmmniii/fbs-core |
| CVE-2023-27486 | Insufficient authorization validation between zones when xCAT zones are enabled |
| CVE-2023-27523 | Apache Superset: Improper data permission validation on Jinja templated queries |
| CVE-2023-27525 | Apache Superset: Incorrect default permissions for Gamma role |
| CVE-2023-27526 | Apache Superset: Improper Authorization check on import charts |
| CVE-2023-27578 | Galaxy vulnerable to unauthorized modification of pages/visualizations due to insufficient permission check |
| CVE-2023-2759 | TAPHOME Improper Authentication in Core Platform |
| CVE-2023-28634 | GLPI vulnerable to Privilege Escalation from Technician to Super-Admin |
| CVE-2023-28635 | Defining resource name as integer in vantage6 may give unintended access |
| CVE-2023-28698 | WADE DIGITAL DESIGN CO, LTD. FANTSY - Broken Acesss Control |
| CVE-2023-2877 | Formidable Forms < 6.3.1 - Subscriber+ Remote Code Execution |
| CVE-2023-29240 | BIG-IQ iControl REST Vulnerability |
| CVE-2023-29288 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2023-29295 | Insecure Direct Object Reference (IDOR) in Create Quote Function |
| CVE-2023-29296 | [Cloud] Customer suspects IDOR vulnerability |
| CVE-2023-3033 | Mobatime web application - broken authorisation mechanisms |
| CVE-2023-30428 | Apache Pulsar Broker: Incorrect Authorization Validation for Rest Producer |
| CVE-2023-30429 | Apache Pulsar: Incorrect Authorization for Function Worker when using mTLS Authentication through Pulsar Proxy |
| CVE-2023-30544 | Kiwi TCMS may allow user to update email address to unverified one |
| CVE-2023-3066 | Mobatime mobile application - Broken authorisation |
| CVE-2023-30771 | Apache IoTDB Workbench: apache/iotdb-web-workbench: forge the JWTToken to access workbench |
| CVE-2023-30840 | On a compromised node, the fluid-csi service account can be used to modify node specs |
| CVE-2023-31138 | DHIS2 Core vulnerable to Improper Access Control with PATCH requests |
| CVE-2023-31141 | OpenSearch issue with fine-grained access control during extremely rare race conditions |
| CVE-2023-31403 | Improper Access Control vulnerability in SAP Business One product installation |
| CVE-2023-32060 | DHIS2 Core Improper Access Control with Category Option Combination sharing in /api/trackedEntityInstance and /api/events |
| CVE-2023-32061 | Discourse Topic Creation Page Allows iFrame Tag without Restrictions |
| CVE-2023-32069 | XWiki Platform privilege escalation (PR)/RCE from account through class sheet |
| CVE-2023-32629 | Local privilege escalation vulnerability in Ubuntu Kernels overlayfs ovl_copy_up_meta_inode_data skip permission checks when... |
| CVE-2023-32672 | Apache Superset: SQL parser edge case bypasses data access authorization |
| CVE-2023-32683 | URL deny list bypass via oEmbed and image URLs when generating previews in Synapse |
| CVE-2023-32967 | QTS, QuTScloud |
| CVE-2023-33237 | Authentication Bypass Without Administrator Privilege |
| CVE-2023-3345 | LMS by Masteriyo < 1.6.8 - Information Exposure |
| CVE-2023-3379 | WAGO: Improper Privilege Management in web-based management |
| CVE-2023-34106 | GLPI vulnerable to unauthorized access to User data |
| CVE-2023-34107 | GLPI vulnerable to unauthorized access to KnowbaseItem data |
| CVE-2023-3443 | Incorrect Authorization in GitLab |
| CVE-2023-3444 | Incorrect Authorization in GitLab |
| CVE-2023-3484 | Incorrect Authorization in GitLab |
| CVE-2023-3485 | Insecure Default Authorization in Temporal Server |
| CVE-2023-3509 | Incorrect Authorization in GitLab |
| CVE-2023-3511 | Incorrect Authorization in GitLab |
| CVE-2023-35165 | AWS CDK EKS overly permissive trust policies |
| CVE-2023-35166 | Privilege escalation (PR) from account through TipsPanel |
| CVE-2023-3582 | Lack of channel membership check when linking a board to a channel |
| CVE-2023-3584 | Member can create team with team override scheme |
| CVE-2023-3586 | Disabling publicly-shared boards does not disable existing publicly available board links |
| CVE-2023-3590 | Deleted attachments in Boards remain accessible |
| CVE-2023-35908 | Apache Airflow: Access to DAGs without relevant permission |
| CVE-2023-35939 | GLPI vulnerable to unauthorized access to Dashboard data |
| CVE-2023-3613 | Guest accounts invited and added to channels by Welcomebot plugin |
| CVE-2023-36387 | Apache Superset: Improper API permission for low privilege users |
| CVE-2023-36556 | An incorrect authorization vulnerability [CWE-863] in FortiMail webmail version 7.2.0 through 7.2.2, version 7.0.0 through 7.... |
| CVE-2023-36826 | Sentry vulnerable to improper authorization on debug and artifact file downloads |
| CVE-2023-36829 | Sentry CORS misconfiguration vulnerability |
| CVE-2023-37491 | Improper Authorization check vulnerability in SAP Message Server |
| CVE-2023-37492 | Missing Authorization check in SAP NetWeaver AS ABAP and ABAP Platform |
| CVE-2023-37579 | Apache Pulsar Function Worker: Incorrect Authorization for Function Worker Can Leak Sink/Source Credentials |
| CVE-2023-37881 | Weak Access Control between Domains in Wing FTP Server <= 7.2.0 |
| CVE-2023-3814 | Advanced File Manager < 5.1.1 - Admin+ Arbitrary File/Folder Access |
| CVE-2023-38209 | Adobe Commerce Incorrect Authorization Security feature bypass |
| CVE-2023-38218 | Incorrect Authorization - Customer account takeover |
| CVE-2023-38368 | IBM Security Access Manager Docker information disclosure |
| CVE-2023-38389 | WordPress Jupiter X Core plugin <= 3.3.8 - Unauthenticated Account Takeover vulnerability |
| CVE-2023-38493 | Paths contain matrix variables bypass decorators |
| CVE-2023-3920 | Incorrect Authorization in GitLab |
| CVE-2023-39363 | Vyper incorrectly allocated named re-entrancy locks |
| CVE-2023-3964 | Incorrect Authorization in GitLab |
| CVE-2023-3979 | Incorrect Authorization in GitLab |
| CVE-2023-39965 | 1Panel Unauthorized access in Backend |
| CVE-2023-40168 | Malicious projects can read and upload arbitrary files from disk in TurboWarp Desktop |
| CVE-2023-4019 | Media from FTP < 11.17 - Author+ Arbitrary File Access |
| CVE-2023-40309 | Missing Authorization check in SAP CommonCryptoLib |
| CVE-2023-40610 | Apache Superset: Privilege escalation with default examples database |
| CVE-2023-40611 | Apache Airflow Dag Runs Broken Access Control Vulnerability |
| CVE-2023-4107 | Incorrect authorization allows a user manager to update a system admin |
| CVE-2023-41314 | Apache Doris: Missing API authentication allowed DoS |
| CVE-2023-41882 | vantage6 Improper Access Control vulnerability |
| CVE-2023-4194 | Kernel: tap: tap_open(): correctly initialize socket uid next fix of i_uid to current_fsuid |
| CVE-2023-42124 | Avast Premium Security Sandbox Protection Incorrect Authorization Privilege Escalation Vulnerability |
| CVE-2023-4269 | User Activity Log < 1.6.6 - Subscriber+ Log Export |
| CVE-2023-4317 | Incorrect Authorization in GitLab |
| CVE-2023-43609 | Emerson Rosemount GC370XA, GC700XA, GC1500XA Improper Authorization |
| CVE-2023-4379 | Incorrect Authorization in GitLab |
| CVE-2023-44401 | Silverstripe GraqhQL's view permissions are bypassed for paginated lists of ORM data |
| CVE-2023-45185 | IBM i Access Client Solutions code execution |
| CVE-2023-4532 | Incorrect Authorization in GitLab |
| CVE-2023-45793 | A vulnerability has been identified in Siveillance Control (All versions >= V2.8 < V3.1.1). The affected product does not pro... |
| CVE-2023-46139 | KernelSU signature validation mismatch |
| CVE-2023-4617 | Gaining remote control over Govee devices |
| CVE-2023-46241 | Potential account take over due to unverified emails from Microsoft Identity Platform |
| CVE-2023-46244 | Privilege escalation in Xwiki platform |
| CVE-2023-4658 | Incorrect Authorization in GitLab |
| CVE-2023-47037 | Apache Airflow missing fix for CVE-2023-40611 in 2.7.1 (DAG run broken access) |
| CVE-2023-47142 | IBM Tivoli Application Dependency Discovery Manager privilege escalation |
| CVE-2023-47716 | IBM FileNet Content Manager privilege escalation |
| CVE-2023-47827 | WordPress Events Addon for Elementor Plugin <= 2.1.3 is vulnerable to Broken Access Control |
| CVE-2023-4812 | Incorrect Authorization in GitLab |
| CVE-2023-48218 | Strapi Protected Populate Plugin leaking fields if the request fields where empty or only fields selected where not populatab... |
| CVE-2023-48227 | Umbraco CMS Backoffice User can bypass "Publish" restriction |
| CVE-2023-48309 | next-auth vulnerable to possible user mocking that bypasses basic authentication |
| CVE-2023-48712 | User authorization bug leading to privilege escalation in warpgate |
| CVE-2023-49273 | Umbraco CMS vulnerable to Privilege Escalation using Spoofing |
| CVE-2023-49734 | Apache Superset: Privilege Escalation Vulnerability |
| CVE-2023-49783 | No permission checks for editing/deleting records with CSV import form |
| CVE-2023-4997 | Improper authorisation in Uptime DC |
| CVE-2023-50363 | QTS, QuTS hero |
| CVE-2023-50732 | Velocity execution without script right through tree macro |
| CVE-2023-50886 | WordPress Legal Pages plugin <= 1.3.7 - CSRF + Broken Access Control vulnerability |
| CVE-2023-50946 | IBM Common Licensing information disclosure |
| CVE-2023-5106 | Incorrect Authorization in GitLab |
| CVE-2023-5159 | A User Manager role with user edit permissions could manage/update bots |
| CVE-2023-51649 | Nautobot missing object-level permissions enforcement when running Job Buttons |
| CVE-2023-5356 | Incorrect Authorization in GitLab |
| CVE-2023-5521 | Incorrect Authorization in tiann/kernelsu |
| CVE-2023-5553 | During internal Axis Security Development Model (ASDM) threat-modelling, a flaw was found in the protection for device tamper... |
| CVE-2023-5644 | WP Mail Log < 1.1.3 – Incorrect Authorization in REST API Endpoints |
| CVE-2023-6152 | A user changing their email after signing up and verifying it can change it without verification in profile settings. The co... |
| CVE-2023-6542 | Improper Export of Android Application Components in SAP EMARSYS SDK ANDROID |
| CVE-2023-6564 | Incorrect Authorization in GitLab |
| CVE-2023-6837 | Incorrect Authorization in Multiple WSO2 Products via Federated Authentication with JIT Provisioning Leading to User Imperson... |
| CVE-2024-10219 | Incorrect Authorization in GitLab |
| CVE-2024-10273 | Improper Privilege Management in lunary-ai/lunary |
| CVE-2024-10275 | Improper Role Modification by Admins for Billing Permissions in lunary-ai/lunary |
| CVE-2024-10295 | Gateway: apicast basic auth bypass via malformed base64 headerssending non-base64 'basic' auth with special characters causes... |
| CVE-2024-10306 | Mod_proxy_cluster: mod_proxy_cluster unauthorized mcmp requests |
| CVE-2024-11176 | Incorrect evaluation of effective permissions in M-Files Aino |
| CVE-2023-5009 | Incorrect Authorization in GitLab |
| CVE-2023-51379 | Incorrect Authorization for Issue Comments in GitHub Enterprise Server |
| CVE-2023-51380 | Incorrect Authorization allows Read Access to Issue Comments in GitHub Enterprise Server |
| CVE-2023-52943 | Incorrect authorization vulnerability in Alert.Setting webapi component in Synology Surveillance Station before 9.2.0-11289 a... |
| CVE-2023-52944 | Incorrect authorization vulnerability in ActionRule webapi component in Synology Surveillance Station before 9.2.0-11289 and... |
| CVE-2023-5799 | WP Hotel Booking < 2.0.9 - Contributor+ Arbitrary Post Deletion |
| CVE-2023-5995 | Incorrect Authorization in GitLab |
| CVE-2023-6400 | Incorrect user authorization vulnerability on OpenText ZENworks Configuration Management (ZCM) product. |
| CVE-2023-6421 | Download Manager < 3.2.83 - Unauthenticated Protected File Download Password Leak |
| CVE-2023-7322 | Nagios Log Server < 2024R1 Incorrect Authorization Granting Full API Access |
| CVE-2024-0199 | Incorrect Authorization in GitLab |
| CVE-2024-10043 | Incorrect Authorization in GitLab |
| CVE-2024-10109 | Incorrect Authorization in mintplex-labs/anything-llm |
| CVE-2024-10953 | data.all authenticated users can perform mutating update operations on persisted notification records |
| CVE-2024-12148 | Incorrect authorization in permission validation component in Devolutions Server 2024.3.6.0 and earlier allows an authenticat... |
| CVE-2024-12539 | Elasticsearch Incorrect Authorization |
| CVE-2024-12831 | Arista NG Firewall uvm_login Incorrect Authorization Privilege Escalation Vulnerability |
| CVE-2024-12862 | REST API allows users without permissions to remove external collaborators |
| CVE-2024-13277 | Smart IP Ban - Critical - Access bypass - SA-CONTRIB-2024-041 |
| CVE-2024-13278 | Diff - Moderately critical - Access bypass, Information Disclosure - SA-CONTRIB-2024-042 |
| CVE-2024-13281 | Monster Menus - Moderately critical - Access bypass, Information Disclosure - SA-CONTRIB-2024-045 |
| CVE-2024-13282 | Block permissions - Moderately critical - Access bypass - SA-CONTRIB-2024-046 |
| CVE-2024-13290 | OhDear Integration - Moderately critical - Access bypass - SA-CONTRIB-2024-056 |
| CVE-2024-13291 | Basic HTTP Authentication - Critical - Access bypass - SA-CONTRIB-2024-057 |
| CVE-2024-13302 | Pages Restriction Access - Critical - Access bypass - SA-CONTRIB-2024-068 |
| CVE-2024-1738 | Incorrect Authorization in lunary-ai/lunary |
| CVE-2024-1740 | Incorrect Authorization in lunary-ai/lunary |
| CVE-2024-1741 | Improper Authorization in lunary-ai/lunary |
| CVE-2024-1745 | Testimonial Slider < 2.3.7 - Author+ Settings Update |
| CVE-2024-22133 | Improper Access Control in SAP Fiori Front End Server |
| CVE-2024-22208 | phpMyFAQ sharing FAQ functionality can easily be abused for phishing purposes |
| CVE-2024-22316 | IBM Sterling File Gateway improper access control |
| CVE-2024-10975 | Nomad Vulnerable To Cross-Namespace Volume Creation Abusing CSI Write Permission |
| CVE-2024-11669 | Incorrect Authorization in GitLab |
| CVE-2024-11670 | Incorrect authorization in the permission validation component of Devolutions Remote Desktop Manager 2024.2.21 and earlier on... |
| CVE-2024-11672 | Incorrect authorization in the add permission component in Devolutions Remote Desktop Manager 2024.2.21 and earlier on Window... |
| CVE-2024-12196 | Incorrect authorization in the permission component in Devolutions Server 2024.3.7.0 and earlier allows an authenticated user... |
| CVE-2024-12247 | Improper propagation of permission scheme updates across cluster nodes |
| CVE-2024-13253 | Advanced PWA - Critical - Access bypass - SA-CONTRIB-2024-017 |
| CVE-2024-13257 | Commerce View Receipt - Moderately critical - Access bypass - SA-CONTRIB-2024-021 |
| CVE-2024-13258 | Drupal REST & JSON API Authentication - Moderately critical - Access bypass - SA-CONTRIB-2024-022 |
| CVE-2024-13266 | Responsive and off-canvas menu - Moderately critical - Access bypass - SA-CONTRIB-2024-030 |
| CVE-2024-13270 | Freelinking - Moderately critical - Information Disclosure - SA-CONTRIB-2024-034 |
| CVE-2024-13271 | Content Entity Clone - Moderately critical - Information Disclosure - SA-CONTRIB-2024-035 |
| CVE-2024-1482 | Improper Authorization in GitHub Enterprise Server allowed unauthorized workflow execution |
| CVE-2024-20482 | A vulnerability in the web-based management interface of Cisco Secure Firewall Management Center (FMC) Software, formerly Fir... |
| CVE-2024-20510 | A vulnerability in the Central Web Authentication (CWA) feature of Cisco IOS XE Software for Wireless Controllers could allow... |
| CVE-2024-20537 | Cisco Identity Services Engine Authorization Bypass Vulnerability |
| CVE-2024-21735 | Improper Authorization check in SAP LT Replication Server |
| CVE-2024-21736 | Missing Authorization check in SAP S/4HANA Finance (Advanced Payment Management) |
| CVE-2024-22412 | ClickHouse's Role-based Access Control is bypassed when query caching is enabled. |
| CVE-2024-2321 | Incorrect Authorization in Multiple WSO2 Products Allows API Access via Refresh Token |
| CVE-2024-27138 | Apache Archiva: disabling user registration is not effective |
| CVE-2024-27139 | Apache Archiva: incorrect authentication potentially leading to account takeover |
| CVE-2024-27915 | Sulu grants access to pages regardless of role permissions |
| CVE-2024-27933 | Deno arbitrary file descriptor close via `op_node_ipc_pipe()` leading to permission prompt bypass |
| CVE-2024-28098 | Apache Pulsar: Improper Authorization For Topic-Level Policy Management |
| CVE-2024-31990 | Argo CD' API server does not enforce project sourceNamespaces |
| CVE-2023-51761 | Emerson Rosemount GC370XA, GC700XA, GC1500XA Improper Authentication |
| CVE-2023-5193 | System Role with manage posts permission can read posts of Direct Messages |
| CVE-2023-5194 | A system/user manager can demote / deactivate another manager |
| CVE-2023-5195 | A team member can soft delete other teams that they are not part of |
| CVE-2023-5198 | Incorrect Authorization in GitLab |
| CVE-2023-52077 | External apps using tokens issued by administrators and moderators can call admin APIs |
| CVE-2024-0160 | Dell Client Platform contains an incorrect authorization vulnerability. An attacker with physical access to the system could... |
| CVE-2024-0855 | Spiffy Calendar < 4.9.9 - Broken Access Control |
| CVE-2024-0881 | Combo Blocks < 2.2.76 - Unauthenticated Password Protected Posts Access |
| CVE-2024-0949 | Improper Access Control in Talya Informatics' Elektraweb |
| CVE-2024-13947 | External System or Configuration Control |
| CVE-2024-23929 | Pioneer DMH-WT7600NEX Telematics Directory Traversal |
| CVE-2024-24573 | facileManager Privilege Escalation via Mass Assignment |
| CVE-2024-24966 | F5OS vulnerability |
| CVE-2024-25108 | Insufficient authorization allowing elevated access to resources in pixelfed |
| CVE-2024-25149 | Liferay Portal 7.2.0 through 7.4.1, and older unsupported versions, and Liferay DXP 7.3 before service pack 3, 7.2 before fix... |
| CVE-2024-25604 | Liferay Portal 7.2.0 through 7.4.3.4, and older unsupported versions, and Liferay DXP 7.4.13, 7.3 before service pack 3, 7.2... |
| CVE-2024-31409 | CyberPower PowerPanel business Incorrect Authorization |
| CVE-2024-23329 | changedetection.io API endpoint is not secured with API token |
| CVE-2024-23451 | Elasticsearch Incorrect Authorization in the Remote Cluster Security API key based security model |
| CVE-2024-23653 | BuildKit interactive containers API does not validate entitlements check |
| CVE-2024-2378 | A vulnerability exists in the web-authentication component of the SDM600. If exploited an attacker could escalate privileges... |
| CVE-2024-23823 | CORS settings overly permissive in vantage6 |
| CVE-2024-24751 | Broken Access Control in Backend Module in sf_event_mgt |
| CVE-2024-24761 | Galette public pages accessibility restriction |
| CVE-2024-24773 | Apache Superset: Improper validation of SQL statements allows for unauthorized access to data |
| CVE-2024-24774 | Missing authorization allows users to access arbitrary security levels on Jira through webhooks (Jira Plugin) |
| CVE-2024-24779 | Apache Superset: Improper data authorization when creating a new dataset |
| CVE-2024-24824 | graylog2-server vulnerable to instantiation of arbitrary classes triggered by API request |
| CVE-2024-26016 | Apache Superset: Improper authorization validation on dashboards and charts import |
| CVE-2024-26145 | Uninvited user is able to join and mark the attendance of the the private event |
| CVE-2024-2698 | Freeipa: delegation rules allow a proxy service to impersonate any user to access another target service |
| CVE-2024-27086 | MSAL.NET applications targeting Xamarin Android and .NET Android (MAUI) susceptible to local denial of service |
| CVE-2024-27105 | Frappe File Permissions can by bypassed using certain endpoints |
| CVE-2024-27288 | 1Panel open source panel project has an unauthorized vulnerability. |
| CVE-2024-27309 | Apache Kafka: Potential incorrect access control during migration from ZK mode to KRaft mode |
| CVE-2024-27312 | Authorization vulnerability in PAM360 |
| CVE-2024-2743 | Incorrect Authorization in GitLab |
| CVE-2024-28148 | Apache Superset: Incorrect datasource authorization on explore REST API |
| CVE-2024-29834 | Apache Pulsar: Improper Authorization For Namespace and Topic Management Endpoints |
| CVE-2024-29892 | ZITADEL's actions can overload reserved claims |
| CVE-2024-3033 | Improper Authorization in mintplex-labs/anything-llm |
| CVE-2024-32470 | Tolgee' API keys created by server admin users bypass the permission check |
| CVE-2024-32983 | Misskey allows the impersonation and takeover of remote accounts with unnormalized signed activities |
| CVE-2024-3379 | Incorrect Authorization in lunary-ai/lunary |
| CVE-2024-3388 | PAN-OS: User Impersonation in GlobalProtect SSL VPN |
| CVE-2024-3404 | Improper Access Control in gaizhenbiao/chuanhuchatgpt |
| CVE-2024-34106 | Insecure Direct Object Reference - An attacker can able to erase the victim quote details |
| CVE-2024-34130 | Acrobat Android : OverSecured Finding : Access to arbitrary* content providers via insecure Intent configuration |
| CVE-2024-34346 | Deno contains a permission escalation via open of privileged files with missing `--deny` flag |
| CVE-2024-34701 | CreateWiki vulnerable to impersonation of wiki requester |
| CVE-2024-3504 | Improper Access Control in lunary-ai/lunary |
| CVE-2024-3511 | Incorrect Authorization in Multiple WSO2 Products Allows Unauthorized Access to Registry Versioned Files |
| CVE-2024-35187 | Stalwart Mail Server has privilege escalation by design |
| CVE-2024-36037 | Insufficient Access Control Vulnerability |
| CVE-2024-36265 | Apache Submarine Server Core: authorization bypass |
| CVE-2024-37300 | Globus `identity_provider` restriction ignored when used with `allow_all` in JupyterHub 5.0 |
| CVE-2024-3745 | MSI Afterburner v4.6.6.16381 Beta 3 - ACL Bypass |
| CVE-2024-37905 | Improper Access Control and Incorrect Authorization in github.com/goauthentik/authentik |
| CVE-2024-38329 | IBM Storage Protect for Virtual Environments: Data Protection for VMware security bypass |
| CVE-2024-38369 | XWiki programming rights may be inherited by inclusion |
| CVE-2024-38856 | Apache OFBiz: Unauthenticated endpoint could allow execution of screen rendering code |
| CVE-2024-38868 | Incorrect Authorization |
| CVE-2024-38869 | Incorrect Authorization |
| CVE-2024-39322 | aimeos/ai-admin-jsonadm improper access control vulnerability allows editors to remove required records |
| CVE-2024-39323 | aimeos/ai-admin-graphql improper access control vulnerability allows an editor to modify admin account |
| CVE-2024-39324 | aimeos/ai-admin-graphql improper access control vulnerability allows editors to manage own services |
| CVE-2024-39352 | A vulnerability regarding incorrect authorization is found in the firmware upgrade functionality. This allows remote authenti... |
| CVE-2024-39690 | Capsule tenant owner with "patch namespace" permission can hijack system namespaces |
| CVE-2024-39696 | Evmos vulnerable to exploit of smart contract account and vesting |
| CVE-2024-39871 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.2 SP1). Affected applications do not p... |
| CVE-2024-39905 | Red-DiscordBot vulnerable to Incorrect Authorization in commands API |
| CVE-2024-4006 | Incorrect Authorization in GitLab |
| CVE-2024-4011 | Improper Access Control in GitLab |
| CVE-2024-41110 | Moby authz zero length regression |
| CVE-2024-41140 | Improper Authorization |
| CVE-2024-4146 | Incorrect Authorization in lunary-ai/lunary |
| CVE-2024-41670 | PayPal Official Module for PrestaShop has Improperly Implemented Security Check for Standard |
| CVE-2024-41939 | A vulnerability has been identified in SINEC NMS (All versions < V3.0). The affected application does not properly enforce au... |
| CVE-2024-41941 | A vulnerability has been identified in SINEC NMS (All versions < V3.0). The affected application does not properly enforce au... |
| CVE-2024-41964 | Insufficient permission checks in the language settings in Kirby CMS |
| CVE-2024-41979 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-42000 | Unauthorized Access to view channels' details |
| CVE-2024-42062 | Apache CloudStack: User Key Exposure to Domain Admins |
| CVE-2024-42423 | Citrix Workspace App version 23.9.0.24.4 on Dell ThinOS 2311 contains an Incorrect Authorization vulnerability when Citrix CE... |
| CVE-2024-42473 | OpenFGA Authorization Bypass |
| CVE-2024-43131 | WordPress Docket (WooCommerce Collections / Wishlist / Watchlist) plugin < 1.7.0 - Unauthenticated Arbitrary Post/Page Deleti... |
| CVE-2024-43250 | WordPress Bit Form Pro plugin <= 2.6.4 - Authenticated Plugin Settings Change vulnerability |
| CVE-2024-43944 | WordPress Maintenance & Coming Soon Redirect Animation plugin <= 2.1.3 - IP Bypass vulnerability |
| CVE-2024-43954 | WordPress Droip plugin <= 1.1.1 - Subscriber+ Settings Change/Data Exposure Vulnerability |
| CVE-2024-44114 | Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform |
| CVE-2024-4447 | In the System → Maintenance tool, the Logged Users tab surfaces sessionId data for all users via the Direct Web Remoting API... |
| CVE-2024-4465 | Incorrect authorization for Reports configuration in Guardian/CMC before 24.2.0 |
| CVE-2024-45037 | AWS CDK RestApi not generating authorizationScope correctly in resultant CFN template |
| CVE-2024-45043 | OpenTelemetry Collector AWS Firehose Receiver Authentication Bypass Vulnerability |
| CVE-2024-45081 | IBM Cognos Controller incorrect authorization |
| CVE-2024-45125 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2024-45128 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2024-45131 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2024-45132 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2024-45328 | An incorrect authorization vulnerability [CWE-863] in FortiSandbox 4.4.0 through 4.4.6 may allow a low priviledged administra... |
| CVE-2024-45586 | Account Take Over Vulnerability |
| CVE-2024-45587 | Unauthorized Modification Vulnerability |
| CVE-2024-45588 | Information Disclosure Vulnerability |
| CVE-2024-47077 | authentik cross-provider token validation problems |
| CVE-2024-47078 | Meshtastic firmware Authentication/Authorization Bypass via MQTT |
| CVE-2024-47102 | IBM AIX denial of service |
| CVE-2024-47172 | Computer Vision Annotation Tool (CVAT) access control is broken in several PATCH endpoints |
| CVE-2024-47560 | RevoWorks Cloud Client 3.0.91 and earlier contains an incorrect authorization vulnerability. If this vulnerability is exploit... |
| CVE-2024-47616 | Pomerium's service account access token may grant unintended access to databroker API |
| CVE-2024-47780 | Information Disclosure in TYPO3 Page Tree |
| CVE-2024-48911 | OpenCanary Executes Commands From Potentially Writable Config File |
| CVE-2024-48925 | Umbraco CMS Improper Access Control Vulnerability Allows Low-Privilege Users to Access Webhook API |
| CVE-2024-49256 | WordPress Htaccess File Editor plugin <= 1.0.18 - Broken Access Control vulnerability |
| CVE-2024-49808 | IBM Sterling Connect:Direct Web Services improper authorization |
| CVE-2024-55592 | An incorrect authorization vulnerability [CWE-863] in FortiSIEM 7.2 all versions, 7.1 all versions, 7.0 all versions, 6.7 all... |
| CVE-2024-55633 | Apache Superset: SQLLab Improper readonly query validation allows unauthorized write access |
| CVE-2024-5705 | Hitachi Vantara Pentaho Business Analytics Server - Incorrect Authorization |
| CVE-2024-5714 | Improper Access Control in lunary-ai/lunary |
| CVE-2024-57969 | app/Model/Attribute.php in MISP before 2.4.198 ignores an ACL during a GUI attribute search. |
| CVE-2024-5816 | Improper authorization allows persistent access in GitHub Enterprise Server |
| CVE-2024-5817 | Improper authorization allows read access to issue content in GitHub Enterprise Server |
| CVE-2024-6592 | WatchGuard Firebox Single Sign-On Agent Protocol Authorization Bypass |
| CVE-2024-6593 | WatchGuard Firebox Single Sign-On Agent Management Interface Authentication Bypass |
| CVE-2024-6914 | Incorrect Authorization in Multiple WSO2 Products via Account Recovery SOAP Admin Service Leading to Account Takeover |
| CVE-2024-50419 | WordPress Greenshift plugin <= 9.7 - Broken Access Control vulnerability |
| CVE-2024-5071 | Bookster <= 1.1.0 - Unauthenticated Appointment Status Update |
| CVE-2024-52311 | data.all does not invalidate authentication token upon user logout |
| CVE-2024-52312 | data.all authenticated users can perform restricted operations against DataSets and Environments |
| CVE-2024-52313 | data.all authenticated users can obtain incorrect object level authorizations |
| CVE-2024-52314 | data.all admin user may access potentially sensitive data stored by producers via logs |
| CVE-2024-52584 | Autolab has vulnerable submission endpoints |
| CVE-2024-53949 | Apache Superset: Lower privilege users are able to create Role when FAB_ADD_SECURITY_API is enabled |
| CVE-2024-58260 | Rancher update on users can deny the service to the admin |
| CVE-2024-6086 | Improper Access Control in lunary-ai/lunary |
| CVE-2024-6202 | HaloITSM - SAML XML Signature Wrapping (XSW) |
| CVE-2024-6512 | Authorization bypass in the PAM access request approval mechanism in Devolutions Server 2024.2.10 and earlier allows authenti... |
| CVE-2024-6782 | Calibre Remote Code Execution |
| CVE-2024-6845 | SmartSearchWP < 2.4.6 - Unauthenticated OpenAI Key Disclosure |
| CVE-2024-7039 | Improper Privilege Management in open-webui/open-webui |
| CVE-2024-6979 | Amin Aliakbari, member of the AXIS OS Bug Bounty Program, has found a broken access control which would lead to less-privileg... |
| CVE-2024-8270 | macOS Rocket.Chat: TCC Policy Bypass via Dylib Injection Due to Missing Code Signing Flags and Dangerous Entitlements |
| CVE-2024-7048 | IDOR in open-webui/open-webui |
| CVE-2024-7062 | Local Privilege Escalation in Nimble Commander <= v1.6.0, Build 4087 |
| CVE-2024-7096 | Privilege Escalation in Multiple WSO2 Products via SOAP Admin Service Due to Business Logic Flaw |
| CVE-2024-7108 | Incorrect Authorization in National Keep's CyberMath |
| CVE-2024-7265 | Privilege Escalation in EZD RP |
| CVE-2024-7266 | Users listing in EZD RP |
| CVE-2024-7296 | Incorrect Authorization in GitLab |
| CVE-2024-7457 | macOS Stash network-management utility: Unauthorized Manipulation of System Network Preferences |
| CVE-2024-7604 | Logsign Unified SecOps Platform Incorrect Authorization Authentication Bypass Vulnerability |
| CVE-2024-7711 | An Incorrect Authorization vulnerability was identified in GitHub Enterprise Server, allowing an attacker to update the title... |
| CVE-2024-7836 | Themify Builder <= 7.6.1 - Missing Authorization to Authenticated (Contributor+) Post Duplication |
| CVE-2024-7915 | macOS Sensei Mac Cleaner Local Privilege Escalation via PID Reuse - Race Condition Attack |
| CVE-2024-8001 | VIWIS LMS Print authorization |
| CVE-2024-8009 | Sensei LMS < 4.20.0 - Teacher+ Users Email Address Disclosure |
| CVE-2024-8011 | Logitech Options+ on MacOS prior 1.72 allows a local attacker to inject dynamic library within Options+ runtime and abuse per... |
| CVE-2024-8116 | Incorrect Authorization in GitLab |
| CVE-2024-8606 | Fix 2FA bypass via RestAPI |
| CVE-2024-8650 | Incorrect Authorization in GitLab |
| CVE-2025-0652 | Incorrect Authorization in GitLab |
| CVE-2025-0885 | Incorrect Authorization vulnerability affects OpenText™ GroupWise |
| CVE-2024-8691 | PAN-OS: User Impersonation in GlobalProtect Portal |
| CVE-2024-8970 | Incorrect Authorization in GitLab |
| CVE-2024-9098 | Privilege Escalation in lunary-ai/lunary |
| CVE-2024-9623 | Incorrect Authorization in GitLab |
| CVE-2024-9654 | Easy Digital Downloads 3.1 - 3.3.4 - Improper Authorization to Paywall Bypass |
| CVE-2024-9693 | Incorrect Authorization in GitLab |
| CVE-2024-9825 | The Chef Habitat builder is impacted by Indirect Object reference(IDOR) by deletion of personal access token |
| CVE-2024-9902 | Ansible-core: ansible-core user may read/write unauthorized content |
| CVE-2024-9926 | Jetpack < 13.9.1 - Subscriber+ Arbitrary Feedback Access |
| CVE-2025-0359 | During an annual penetration test conducted on behalf of Axis Communication, Truesec discovered a flaw in the ACAP Applicatio... |
| CVE-2025-0360 | During an annual penetration test conducted on behalf of Axis Communication, Truesec discovered a flaw in the VAPIX Device Co... |
| CVE-2025-0516 | Incorrect Authorization in GitLab |
| CVE-2025-0580 | Shiprocket Module REST API Module rest_api authorization |
| CVE-2025-0765 | Incorrect Authorization in GitLab |
| CVE-2025-0781 | Incorrect Authorization in SimGear |
| CVE-2025-0937 | Nomad Vulnerable To Event Stream Namespace ACL Policy Bypass Through Wildcard Namespace |
| CVE-2025-11776 | Guest user can discover archived public channels |
| CVE-2025-11777 | Cross-team channel membership access |
| CVE-2025-11862 | Verve Asset Manager Access Control Vulnerability |
| CVE-2025-10015 | TCC Bypass via Downloader XPC Service in Sparkle |
| CVE-2025-10016 | Local Privilege Escalation in Sparkle Autoupdate Daemon |
| CVE-2025-10124 | Booking Manager < 2.1.15 - Contributor+ Booking Deletion |
| CVE-2025-10545 | Guest user can add unauthorized team users to private channels |
| CVE-2025-10696 | OpenSupports 4.11.0 — Insecure Direct Object Reference in supervised list |
| CVE-2025-11060 | Surrealdb: surrealdb is vulnerable to unauthorized data exposure via live query subscriptions |
| CVE-2025-11239 | Job details are visible to all team members on KNIME Business Hub |
| CVE-2025-11340 | Incorrect Authorization in GitLab |
| CVE-2025-11438 | JhumanJ OpnForm API Endpoint custom-domains authorization |
| CVE-2025-11439 | JhumanJ OpnForm integrations authorization |
| CVE-2025-11580 | PowerJob list authorization |
| CVE-2025-11581 | PowerJob OpenAPIController runJob authorization |
| CVE-2025-11971 | Incorrect Authorization in GitLab |
| CVE-2025-12038 | Folderly <= 0.3 - Incorrect Authorization to Authenticated (Author+) Term Deletion |
| CVE-2025-11865 | Incorrect Authorization in GitLab |
| CVE-2025-11888 | ShopEngine Elementor WooCommerce Builder Addon – All in One WooCommerce Solution <= 4.8.4 - Incorrect Authorization to Authen... |
| CVE-2025-1415 | Information disclosure in Proget MDM |
| CVE-2025-1416 | Password disclosure in Proget MDM |
| CVE-2025-1417 | Information disclosure in Proget MDM |
| CVE-2025-1418 | Information disclosure in Proget MDM |
| CVE-2025-1472 | Unauthorized View Access to Site Statistics and Team Statistics |
| CVE-2025-1501 | Incorrect authorization for traces request/download in CMC before 25.1.0 |
| CVE-2025-1540 | Incorrect Authorization in GitLab |
| CVE-2025-1542 | Improper permission control in OXARI ServiceDesk |
| CVE-2025-21403 | On-Premises Data Gateway Information Disclosure Vulnerability |
| CVE-2024-31441 | Arbitrary File Reading in DataEase |
| CVE-2024-31452 | OpenFGA Authorization Bypass |
| CVE-2024-34434 | WordPress MDTF – Meta Data and Taxonomies Filter plugin <= 1.3.3.2 - Arbitrary Shortcode Execution vulnerability |
| CVE-2024-47876 | Sakai: Kernel users created with type roleview can login as a normal user |
| CVE-2024-49501 | Sysmac Studio provided by OMRON Corporation contains an incorrect authorization vulnerability. If this vulnerability is explo... |
| CVE-2024-50310 | A vulnerability has been identified in SIMATIC CP 1543-1 V4.0 (6GK7543-1AX10-0XE0) (All versions >= V4.0.44 < V4.0.50). Affec... |
| CVE-2024-55662 | XWiki allows remote code execution through the extension sheet |
| CVE-2024-6323 | Improper Isolation or Compartmentalization in GitLab |
| CVE-2024-6337 | Incorrect Authorization allows read access to issues in GitHub Enterprise Server |
| CVE-2024-6358 | Incorrect Authorization vulnerability |
| CVE-2024-9136 | Access permission verification vulnerability in the App Multiplier module Impact: Successful exploitation of this vulnerabili... |
| CVE-2024-9155 | Insufficient Authorization On Unlinked Channel Files |
| CVE-2024-9159 | Incorrect Authorization in gaizhenbiao/chuanhuchatgpt |
| CVE-2025-2003 | Incorrect authorization in PAM vaults in Devolutions Server 2024.3.12 and earlier allows an authenticated user to bypass the... |
| CVE-2025-20674 | In wlan AP driver, there is a possible way to inject arbitrary packet due to a missing permission check. This could lead to r... |
| CVE-2025-20701 | In the Airoha Bluetooth audio SDK, there is a possible way to pair Bluetooth audio device without user consent. This could le... |
| CVE-2025-21479 | Incorrect Authorization in Graphics |
| CVE-2025-12082 | CivicTheme Design System - Moderately critical - Information disclosure - SA-CONTRIB-2025-112 |
| CVE-2025-1214 | pihome-shc PiHome Role-Based Access Control user_accounts.php authorization |
| CVE-2025-12149 | Unauthorized access to documents protected by Document-Level Security (DLS), when Signals watches include a search query invo... |
| CVE-2025-12621 | Flexible Refund and Return Order for WooCommerce <= 1.0.42 - Incorrect Authorization to Authenticated (Contributor+) Refund S... |
| CVE-2025-1792 | Improper Access Control in Mattermost Channel Member API |
| CVE-2025-20257 | Cisco Secure Network Analytics API Authorization Vulnerability |
| CVE-2025-20300 | Improper Access Control Lets Low-Privilege Users Suppress Read-Only Alerts in Splunk Enterprise |
| CVE-2025-20332 | Cisco Identity Services Engine Authorization Bypass Vulnerability |
| CVE-2025-2045 | Incorrect Authorization in GitLab |
| CVE-2025-2201 | Broken access control vulnerability in the Innovación y Cualificación IcProgreso plugin |
| CVE-2025-2202 | Broken access control vulnerability in the Innovación y Cualificación local administration plugin ajax.php |
| CVE-2025-2242 | Incorrect Authorization in GitLab |
| CVE-2025-22449 | Access control flaw for team admins allows unauthorized team additions |
| CVE-2025-23244 | NVIDIA GPU Display Driver for Linux contains a vulnerability which could allow an unprivileged attacker to escalate permissio... |
| CVE-2025-21480 | Incorrect Authorization in Graphics Windows |
| CVE-2025-25010 | Kibana privilege escalation via reporting_user role |
| CVE-2025-25026 | IBM Security Guardium information disclosure |
| CVE-2025-26330 | Dell PowerScale OneFS, versions 9.4.0.0 through 9.10.0.1, contains an incorrect authorization vulnerability. An unauthenticat... |
| CVE-2025-26511 | Cassandra-Lucene-Index allows bypass of Cassandra RBAC |
| CVE-2025-26526 | Feedback response viewing and deletions did not respect Separate Groups mode |
| CVE-2025-26531 | IDOR in badges allows disabling of arbitrary badges |
| CVE-2025-26532 | Teachers can evade trusttext config when restoring glossary entries |
| CVE-2025-27188 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-27236 | User information disclosure via api_jsonrpc.php on method user.get with param search |
| CVE-2025-27427 | Apache ActiveMQ Artemis: Address routing-type can be updated by user without the createAddress permission |
| CVE-2025-29757 | An incorrect authorisation check in the the 'plant transfer' function of the Growatt cloud service allowed a malicous attacke... |
| CVE-2025-12924 | rymcu forest BankController.java GlobalResult authorization |
| CVE-2025-12925 | rymcu forest UserDicController.java deleteDic authorization |
| CVE-2025-13063 | DinukaNavaratna Dee Store authorization |
| CVE-2025-24407 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24409 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24419 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24420 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24421 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24434 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24436 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24437 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24479 | FactoryTalk® View Machine Edition - Local Code Injection |
| CVE-2025-24526 | Channel export permitted on archived channel when viewing archived channels is disabled |
| CVE-2025-27089 | Overlapping policies allow update to non-allowed fields in directus |
| CVE-2025-27571 | Channel metadata visible in archived channels despite configuration setting |
| CVE-2025-27601 | Umbraco Allows Improper API Access Control to Low-Privilege Users to Data Type Functionality |
| CVE-2025-23256 | NVIDIA BlueField contains a vulnerability in the management interface, where an attacker with local access could cause incorr... |
| CVE-2025-23262 | NVIDIA ConnectX contains a vulnerability in the management interface, where an attacker with local access could cause incorre... |
| CVE-2025-2424 | Leaked Metadata of Deleted Files via Bookmark Creation |
| CVE-2025-24839 | Unauthorized AI bot activation via Wrangler plugin |
| CVE-2025-24860 | Apache Cassandra: CassandraNetworkAuthorizer and CassandraCIDRAuthorizer can be bypassed allowing access to different network... |
| CVE-2025-24866 | Unauthorized Access to User Activity Logs API by delegated granular administration roles |
| CVE-2025-24869 | Information Disclosure vulnerability in SAP NetWeaver Application Server Java |
| CVE-2025-24872 | Missing Authorization check in SAP ABAP Platform (ABAP Build Framework) |
| CVE-2025-24920 | Unauthorized Bookmark Creation and Modification in Archived Channels |
| CVE-2025-27512 | Zincati allows unprivileged access to rpm-ostree D-Bus `Deploy()` and `FinalizeDeployment()` methods |
| CVE-2025-27822 | An issue was discovered in the Masquerade module before 1.x-1.0.1 for Backdrop CMS. It allows people to temporarily switch to... |
| CVE-2025-27933 | Unauthorized Private-to-Public Channel Conversion |
| CVE-2025-29997 | Improper Access Control Vulnerability in CAP back office application |
| CVE-2025-30162 | East-west traffic not subject to egress policy enforcement for requests via Gateway API load balancers |
| CVE-2025-30163 | Node based network policies may incorrectly allow workload traffic |
| CVE-2025-3272 | Incorrect user authorization vulnerability has been identified in Open Text Operations Bridge Manager. |
| CVE-2025-3396 | Incorrect Authorization in GitLab |
| CVE-2025-34273 | Nagios Log Server < 2024R2.0.3 Non-Admin Dashboard Deletion |
| CVE-2025-3446 | Members Without Guest Invite Permissions Can Add Guests to Teams |
| CVE-2025-3453 | Password Protected – Password Protect your WordPress Site, Pages, & WooCommerce Products <= 2.7.7 - Unauthenticated Sensitive... |
| CVE-2025-3644 | Moodle: ajax section delete does not respect course_can_delete_section() |
| CVE-2025-3645 | Moodle: idor in messaging web service allows access to some user details |
| CVE-2025-3647 | Moodle: idor when accessing the cohorts report |
| CVE-2025-36546 | F5OS Appliance Mode vulnerability |
| CVE-2025-36578 | Dell Wyse Management Suite, versions prior to WMS 5.2, contain an Incorrect Authorization vulnerability. A low privileged att... |
| CVE-2025-3719 | Incorrect authorization for CLI in Guardian/CMC before 25.2.0 |
| CVE-2025-27602 | Umbraco Allows a Restricted Editor User to Delete Media Item or Access Unauthorized Content |
| CVE-2025-27696 | Apache Superset: Incorrect authorization leading to resource ownership takeover |
| CVE-2025-27715 | Auto-Enrollment of Team Admins into Private Channels without explicit consent |
| CVE-2025-30074 | Alludo Parallels Desktop before 19.4.2 and 20.x before 20.2.2 for macOS on Intel platforms allows privilege escalation to roo... |
| CVE-2025-30155 | Tuleap does not enforce read permissions on parent trackers in the REST API |
| CVE-2025-31331 | Authorization Bypass vulnerability in SAP NetWeaver |
| CVE-2025-31673 | Drupal core - Moderately critical - Access bypass - SA-CORE-2025-002 |
| CVE-2025-3227 | Unauthorized channel member management through playbook runs |
| CVE-2025-3228 | Unauthorized Guest user access to Playbook |
| CVE-2025-3260 | A security vulnerability in the /apis/dashboard.grafana.app/* endpoints allows authenticated users to bypass dashboard and fo... |
| CVE-2025-3471 | SureForms < 1.4.4 - Contributor+ Settings Update |
| CVE-2025-3475 | WEB-T - Moderately critical - Access bypass, Denial of service - SA-CONTRIB-2025-030 |
| CVE-2025-3476 | Incorrect Authorization vulnerability in OpenText™ Operations Bridge Manager. The vulnerability could allows privilege escala... |
| CVE-2025-3838 | Improper Authorization in the installer for the EOL OVA based connect component |
| CVE-2025-3861 | Prevent Direct Access 2.8.6 - 2.8.8.2 - Incorrect Authorization to Authenticated (Contributor+) Multiple Media Actions |
| CVE-2025-42939 | Missing Authorization Check in SAP S/4HANA (Manage Processing Rules - For Bank Statements) |
| CVE-2025-30171 | Admin Authorized System File Deletion |
| CVE-2025-30179 | MFA Enforcement Bypass in Search APIs |
| CVE-2025-30209 | Tuleap has improper permission handling in the REST endpoints and release notes display of the FRS plugin |
| CVE-2025-31481 | GraphQL query operations security can be bypassed |
| CVE-2025-32068 | Revoking authorization of OAuth2 consumer does not invalidate refresh tokens |
| CVE-2025-32093 | Syatem admin profile modification by delegated granular administration role |
| CVE-2025-32408 | In Soffid Console 3.6.31 before 3.6.32, authorization to use the pam service is mishandled. |
| CVE-2025-32462 | Sudo before 1.9.17p1, when used with a sudoers file that specifies a host that is neither the current host nor ALL, allows li... |
| CVE-2025-32971 | XWiki Solr script service doesn't take dropped programming right into account |
| CVE-2025-3586 | In Liferay Portal 7.4.3.27 through 7.4.3.42, and Liferay DXP 2024.Q1.1 through 2024.Q1.20, 2023.Q4.0 through 2023.Q4.10, 2023... |
| CVE-2025-37736 | Elastic Cloud Enterprise Improper Authorization |
| CVE-2025-3960 | withstars Books-Management-System Background Interface allreaders.html authorization |
| CVE-2025-3963 | withstars Books-Management-System Background Interface list authorization |
| CVE-2025-40567 | A vulnerability has been identified in RUGGEDCOM RST2428P (6GK6242-6PA00) (All versions < V3.2), SCALANCE XC316-8 (6GK5324-8T... |
| CVE-2025-40568 | A vulnerability has been identified in RUGGEDCOM RST2428P (6GK6242-6PA00) (All versions < V3.2), SCALANCE XC316-8 (6GK5324-8T... |
| CVE-2025-4101 | MultiVendorX – WooCommerce Multivendor Marketplace Solutions <= 4.2.22 - Incorrect Authorization to Authenticated (Contributo... |
| CVE-2025-3879 | Vault’s Azure Authentication Method bound_location Restriction Could be Bypassed on Login |
| CVE-2025-3880 | Poll, Survey & Quiz Maker Plugin by Opinion Stage <= 19.9.0 - Incorrect Authorization to Authenticated (Contributor+) Plugin... |
| CVE-2025-3913 | Team Privacy Settings Authorization Bypass in Mattermost Server |
| CVE-2025-40619 | Improper access control vulnerability in Bookgy |
| CVE-2025-40668 | Incorrect Authorization vulnerability in TCMAN GIM |
| CVE-2025-40669 | Incorrect Authorization vulnerability in TCMAN GIM |
| CVE-2025-40670 | Incorrect Authorization vulnerability in TCMAN GIM |
| CVE-2025-43561 | ColdFusion | Incorrect Authorization (CWE-863) |
| CVE-2025-43564 | ColdFusion | Incorrect Authorization (CWE-863) |
| CVE-2025-43565 | ColdFusion | Incorrect Authorization (CWE-863) |
| CVE-2025-44824 | Nagios Log Server before 2024R1.3.2 allows authenticated users (with read-only API access) to stop the Elasticsearch service... |
| CVE-2025-46702 | Mattermost Playbooks allows privilege escalation through improper access control in playbook run participant management |
| CVE-2025-46744 | Improper Privilege Management |
| CVE-2025-47871 | Mattermost Playbooks exposes private channel metadata to unauthorized users via run metadata API |
| CVE-2025-25251 | An Incorrect Authorization vulnerability [CWE-863] in FortiClient Mac 7.4.0 through 7.4.2, 7.2.0 through 7.2.8, 7.0.0 through... |
| CVE-2025-2527 | Improper access control to group information |
| CVE-2025-25274 | Unauthorized Command Execution in Archived Channels |
| CVE-2025-2564 | Unauthorized View Access to Archived Channel Member Info |
| CVE-2025-2570 | System Admin Cannot Access Environment settings in System Console While System Manager Can |
| CVE-2025-26850 | The agent in Quest KACE Systems Management Appliance (SMA) before 14.0.97 and 14.1.x before 14.1.19 potentially allows privil... |
| CVE-2025-26853 | DESCOR INFOCAD 3.5.1 and before and fixed in v.3.5.2.0 has a broken authorization schema. |
| CVE-2025-30741 | Pixelfed before 0.12.5 allows anyone to follow private accounts and see private posts on other Fediverse servers. This affect... |
| CVE-2025-3609 | Reales WP STPT <= 2.1.2 - Unauthorized User Registration |
| CVE-2025-3611 | Improper Access Control in Mattermost allows System Managers to view team details despite role restrictions |
| CVE-2025-36120 | IBM Storage Virtualize privilege escalation |
| CVE-2025-36157 | IBM Engineering Lifecycle Management incorrect authorization |
| CVE-2025-41246 | Improper authorisation vulnerability |
| CVE-2025-4128 | Mattermost Guest User Information Disclosure Vulnerability |
| CVE-2025-41423 | Unauthorized Playbooks Post Deletion in Mattermost Playbooks Plugin |
| CVE-2025-41436 | Unauthorized access to archived channel content via threads interface |
| CVE-2025-41030 | Multiple vulnerabilities in Deporsite by T-INNOVA |
| CVE-2025-41031 | Multiple vulnerabilities in Deporsite by T-INNOVA |
| CVE-2025-43784 | Improper Access Control vulnerability in Liferay Portal 7.4.0 through 7.4.3.124, and Liferay DXP 2024.Q2.0 through 2024.Q2.8... |
| CVE-2025-43789 | JSON Web Services in Liferay Portal 7.4.0 through 7.4.3.119, and Liferay DXP 2024.Q1.1 through 2024.Q1.9, 7.4 GA through upda... |
| CVE-2025-43806 | Batch Engine in Liferay Portal 7.4.0 through 7.4.3.112, and Liferay DXP 2023.Q4.0 through 2023.Q4.7, 2023.Q3.1 through 2023.Q... |
| CVE-2025-4646 | A high privilege user is able to create and use a valid admin API token in centreon-web |
| CVE-2025-46834 | Alchemy's Modular Account can use executeUserOp to bypass allowlist prevalidation hook |
| CVE-2025-48373 | Schule Has Client-Side Role-Based Access Control (RBAC) Bypass Vulnerability |
| CVE-2025-48445 | Commerce Eurobank (Redirect) - Moderately critical - Access bypass - SA-CONTRIB-2025-066 |
| CVE-2025-48446 | Commerce Alphabank Redirect - Moderately critical - Access bypass - SA-CONTRIB-2025-067 |
| CVE-2025-48472 | FreeScout Vulnerable to Insufficient Authorization |
| CVE-2025-48473 | FreeScout Vulnerable to Insufficient Authorization |
| CVE-2025-48474 | FreeScout Vulnerable to Insufficient Authorization |
| CVE-2025-48475 | FreeScout Vulnerable to Insufficient Authorization |
| CVE-2025-49549 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-42951 | Broken Authorization in SAP Business One (SLD) |
| CVE-2025-53836 | XWiki Rendering is vulnerable to RCE attacks when processing nested macros |
| CVE-2025-47930 | Zulip Server has access control bypass for restrictions on creation of specific channel types |
| CVE-2025-47937 | TYPO3 Vulnerable to Information Disclosure via DBAL Restriction Handling |
| CVE-2025-48042 | Before action hooks may execute in certain scenarios despite a request being forbidden |
| CVE-2025-48043 | Bypass and runtime policies that can never pass may be incorrectly applied in filter authorization |
| CVE-2025-48044 | Authorization bypass when bypass policy condition evaluates to true |
| CVE-2025-48948 | Navidrome Transcoding Permission Bypass Vulnerability Report |
| CVE-2025-49145 | iTop admin can drop iTop database using webhooks |
| CVE-2025-49536 | ColdFusion | Incorrect Authorization (CWE-863) |
| CVE-2025-49810 | Thread summarization allows persistent access to channel |
| CVE-2025-49825 | Teleport allows remote authentication bypass |
| CVE-2025-5071 | AI Engine 2.8.0 - 2.8.3 - Authenticated (Subscriber+) Insufficient Authorization to Privilege Escalation via MCP |
| CVE-2025-5187 | Nodes can delete themselves by adding an OwnerReference |
| CVE-2025-52890 | Incus vulnerable to antispoofing nftables firewall rule bypass on bridge networks with ACLs |
| CVE-2025-52918 | Yealink RPS before 2025-05-26 does not prevent OpenAPI access by frozen enterprise accounts, allowing unauthorized access to... |
| CVE-2025-49550 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-49556 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-49586 | XWiki allows remote code execution through preview of XClass changes in AWM editor |
| CVE-2025-49599 | Huawei EG8141A5 devices through V5R019C00S100, EG8145V5 devices through V5R019C00S100, and EG8145V5-V2 devices through V5R021... |
| CVE-2025-49641 | Insufficient permission check for the problem.view.refresh action |
| CVE-2025-4972 | Incorrect Authorization in GitLab |
| CVE-2025-4975 | Tapo privilege escalation on shared devices using notifications |
| CVE-2025-52487 | DNN.PLATFORM possibly allows bypass of IP Filters |
| CVE-2025-53391 | The Debian zuluPolkit/CMakeLists.txt file for zuluCrypt through the zulucrypt_6.2.0-1 package has insecure PolicyKit allow_an... |
| CVE-2025-54246 | Adobe Experience Manager | Incorrect Authorization (CWE-863) |
| CVE-2025-54253 | Adobe Experience Manager | Incorrect Authorization (CWE-863) |
| CVE-2025-54263 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-54265 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-54267 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-53895 | ZITADEL has broken authN and authZ in session API and resulting session tokens |
| CVE-2025-53902 | Tuleap exposes artifacts to a mentioned user via email notifications |
| CVE-2025-53922 | Galette has access control bypass |
| CVE-2025-59420 | Authlib: JWS/JWT accepts unknown crit headers (RFC violation → possible authz bypass) |
| CVE-2025-59449 | The YoSmart YoLink MQTT broker through 2025-10-02 does not enforce sufficient authorization controls to prevent cross-account... |
| CVE-2025-59451 | The YoSmart YoLink application through 2025-10-02 has session tokens with unexpectedly long lifetimes. |
| CVE-2025-62394 | Moodle: quiz notifications sent to suspended participants |
| CVE-2025-53943 | VoidBot Open-Source Has Improper Permission Check That Allows Unauthorized Command Execution |
| CVE-2025-53971 | Channel and Team Membership APIs inadvertently allow loss of Member privileges. |
| CVE-2025-54554 | tiaudit in Tera Insights tiCrypt before 2025-07-17 allows unauthenticated REST API requests that reveal sensitive information... |
| CVE-2025-54569 | In Malwarebytes Binisoft Windows Firewall Control before 6.16.0.0, the installer is vulnerable to local privilege escalation. |
| CVE-2025-54583 | GitProxy bypasses approvals when pushing multiple branches |
| CVE-2025-54596 | Abnormal Security /v1.0/rbac/users_v2/{USER_ID}/ before 2025-02-19 allows downgrading the privileges of other user accounts. |
| CVE-2025-55205 | Capsule tenant owners with "patch namespace" permission can hijack system namespaces label |
| CVE-2025-55213 | OpenFGA Authorization Bypass (Check) |
| CVE-2025-58134 | Zoom Workplace Clients for Windows - Incorrect Authorization |
| CVE-2025-5822 | Autel MaxiCharger AC Wallbox Commercial Technician API Incorrect Authorization Privilege Escalation Vulnerability |
| CVE-2025-59020 | TYPO3 CMS Allows Broken Access Control in Edit Document Controller |
| CVE-2025-59048 | OpenBao AWS Plugin Vulnerable to Cross-Account IAM Role Impersonation in AWS Auth Method |
| CVE-2025-59824 | Omni Wireguard SideroLink potential escape |
| CVE-2025-6018 | Pam-config: lpe from unprivileged to allow_active in pam |
| CVE-2025-62487 | Under certain configurations, file artifacts uploaded to the Dossier and Slides apps did not inherit security markings of the... |
| CVE-2025-43917 | In Pritunl Client before 1.3.4220.57, an administrator with access to /Applications can escalate privileges after uninstallin... |
| CVE-2025-43921 | GNU Mailman 2.1.39, as bundled in cPanel (and WHM), allows unauthenticated attackers to create lists via the /mailman/create... |
| CVE-2025-43922 | The FileWave Windows client before 16.0.0, in some non-default configurations, allows an unprivileged local user to escalate... |
| CVE-2025-46265 | F5OS vulnerability |
| CVE-2025-46544 | In Sherpa Orchestrator 141851, a low-privileged user can elevate their privileges by creating new users and roles. |
| CVE-2025-46569 | OPA server Data API HTTP path injection of Rego |
| CVE-2025-48757 | An insufficient database Row-Level Security policy in Lovable through 2025-04-15 allows remote unauthenticated attackers to r... |
| CVE-2025-48881 | Valtimo backend libraries allows objects in the object-api to be accessed and modified by unauthorized users |
| CVE-2025-48888 | Deno run with --allow-read and --deny-read flags results in allowed |
| CVE-2025-48935 | Deno has --allow-read / --allow-write permission bypass in `node:sqlite` |
| CVE-2025-61830 | Adobe Pass | Incorrect Authorization (CWE-863) |
| CVE-2025-62647 | The Restaurant Brands International (RBI) assistant platform through 2025-09-06 provides the functionality of returning a JWT... |
| CVE-2025-62648 | The Restaurant Brands International (RBI) assistant platform through 2025-09-06 allows remote attackers to adjust Drive Thru... |
| CVE-2025-62651 | The Restaurant Brands International (RBI) assistant platform through 2025-09-06 does not implement access control for the bat... |
| CVE-2025-64421 | Coolify has a privilege escalation - low privileged user can invite themselves as an admin user |
| CVE-2025-54838 | An Incorrect Authorization vulnerability [CWE-863] in FortiPortal 7.4.0 through 7.4.5 may allow an authenticated attacker to... |
| CVE-2025-54877 | Tuleap's special and always there fields permissions are not verified in cross-tracker search |
| CVE-2025-54888 | @fedify/fedify: Improper Authentication and Incorrect Authorization |
| CVE-2025-55077 | Tyler Technologies ERP Pro 9 SaaS application escape |
| CVE-2025-58052 | Galette has groups managers access control bypass on Members |
| CVE-2025-59111 | Broken Access Control in Windu CMS |
| CVE-2025-59683 | Pexip Infinity 15.0 through 38.0 before 38.1 has Improper Access Control in the Secure Scheduler for Exchange service, when u... |
| CVE-2025-59714 | In Internet2 Grouper 5.17.1 before 5.20.5, group admins who are not Grouper sysadmins can configure loader jobs. |
| CVE-2025-6003 | WordPress Single Sign-On (SSO) - Multiple Versions - Incorrect Authorization to Sensitive Information Exposure |
| CVE-2025-6168 | Incorrect Authorization in GitLab |
| CVE-2025-62243 | Insecure direct object reference (IDOR) vulnerability in Publications in Liferay Portal 7.4.1 through 7.4.3.112, and Liferay... |
| CVE-2025-62259 | Liferay Portal 7.4.0 through 7.4.3.109, and older unsupported versions, and Liferay DXP 2023.Q3.1 through 2023.Q3.4, 7.4 GA t... |
| CVE-2025-62275 | Blogs in Liferay Portal 7.4.0 through 7.4.3.111, and older unsupported versions, and Liferay DXP 2023.Q4.0 through 2023.Q4.10... |
| CVE-2025-64490 | SuiteCRM's Inconsistent RBAC Enforcement Enables Access Control Bypass |
| CVE-2025-62506 | MinIO vulnerable to privilege escalation via session policy bypass in service accounts and STS |
| CVE-2025-8068 | HT Mega – Absolute Addons For Elementor <= 2.9.1 - Improper Authorization to Authenticated (Contributor+) Limited Administrat... |
| CVE-2025-64753 | grist-core has insufficient access control in endpoints for comparisons between documents and versions |
| CVE-2025-6549 | Junos OS: SRX Series: J-Web can be exposed on additional interfaces |
| CVE-2025-66005 | Lack of Authentication in the InputManager D-Bus interface |
| CVE-2025-66406 | Improper Authorization Check for SSH Certificate Revocation |
| CVE-2025-66423 | Tryton trytond 6.0 before 7.6.11 does not enforce access rights for the route of the HTML editor. This is fixed in 7.6.11, 7.... |
| CVE-2025-66424 | Tryton trytond 6.0 before 7.6.11 does not enforce access rights for data export. This is fixed in 7.6.11, 7.4.21, 7.0.40, and... |
| CVE-2025-66433 | HTCondor Access Point before 25.3.1 allows an authenticated user to impersonate other users on the local machine by submittin... |
| CVE-2025-68129 | Auth0-PHP SDK has Improper Audience Validation |
| CVE-2025-6892 | An Incorrect Authorization vulnerability has been identified in Moxa’s network security appliances and routers. A flaw in the... |
| CVE-2025-68938 | Gitea before 1.25.2 mishandles authorization for deletion of releases. |
| CVE-2025-68940 | In Gitea before 1.22.5, branch deletion permissions are not adequately enforced after merging a pull request. |
| CVE-2025-68941 | Gitea before 1.22.3 mishandles access to a private resource upon receiving an API token with scope limited to public resource... |
| CVE-2025-7374 | WP JobHunt <= 7.6 Authenticated (Custom+) Authorization Bypass |
| CVE-2025-7974 | rocket.chat Incorrect Authorization Information Disclosure Vulnerability |
| CVE-2025-8148 | CVE-2025-8148 Improper Access Control in SFTP service of GoAnywhere MFT |
| CVE-2025-62189 | LogStare Collector contains an incorrect authorization vulnerability in UserRegistration. If exploited, a non-administrative... |
| CVE-2025-62730 | Privilege Escalation via Incorrect Authorization in SOPlanning |
| CVE-2025-62795 | JumpServer Unauthorized LDAP Configuration Access via WebSocket |
| CVE-2025-64641 | Mattermost Jira plugin crafted action leaks Jira issue details |
| CVE-2025-64707 | Frappe LMS revoking access did not show immediate effect as roles were cached |
| CVE-2025-64746 | Directus has Improper Permission Handling on Deleted Fields |
| CVE-2025-66581 | Frappe LMS is Missing Server-Side Authorization in Business Logic |
| CVE-2025-66623 | Strimzi allows unrestricted access to all Secrets in the same Kubernetes namespace from Kafka Connect and MirrorMaker 2 opera... |
| CVE-2025-6707 | Race condition in privilege cache invalidation cycle |
| CVE-2025-69414 | Plex Media Server (PMS) through 1.42.2.10156 allows retrieval of a permanent access token via a /myplex/account call with a t... |
| CVE-2025-69416 | In the plex.tv backend for Plex Media Server (PMS) through 2025-12-31, a non-server device token can retrieve other tokens (i... |
| CVE-2025-69417 | In the plex.tv backend for Plex Media Server (PMS) through 2025-12-31, a non-server device token can retrieve share tokens (i... |
| CVE-2025-6981 | Incorrect authorization vulnerability was identified in GitHub Enterprise Server that allowed unauthorized read-only access |
| CVE-2025-7736 | Incorrect Authorization in GitLab |
| CVE-2025-7773 | Rockwell Automation ArmorBlock 5000 I/O – Web Server Vulnerabilities |
| CVE-2025-8533 | Incorrect Authorization of XPC Service in Fantastical.app |
| CVE-2025-8886 | Authorization Bypass in Usta Information Systems' Aybs Interaktif |
| CVE-2025-9376 | Block Bad Bots and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection <= 11.58 - Insufficient Authorization to Unaut... |
| CVE-2026-0684 | CP Image Store with Slideshow <= 1.1.9 - Missing Authorization to Authenticated (Contributor+) Arbitrary Product Import |
| CVE-2026-0713 | A security vulnerability in the /apis/dashboard.grafana.app/* endpoints allows authenticated users to bypass dashboard and fo... |
| CVE-2026-21896 | Kirby is missing permission checks in the content changes API |
| CVE-2026-22042 | RustFS has IAM Incorrect Authorization in ImportIam that Allows Privilege Escalation |
| CVE-2025-8796 | LitmusChaos Litmus Delete Request delete_project authorization |
| CVE-2025-8807 | xujeff tianti 天梯 save authorization |
| CVE-2025-9228 | Insufficient authorization when creating notes |
| CVE-2026-21274 | Dreamweaver Desktop | Incorrect Authorization (CWE-863) |
| CVE-2026-22230 | OPEXUS eCASE Audit incorrect access control |
| CVE-2026-22253 | Soft Serve is missing an authorization check in LFS lock deletion |
| CVE-2026-22595 | Ghost has Staff Token permission bypass |
| CVE-2025-65002 | Fujitsu / Fsas Technologies iRMC S6 on M5 before 1.37S mishandles Redfish/WebUI access if the length of a username is exactly... |
| CVE-2025-65073 | OpenStack Keystone before 26.0.1, 27.0.0, and 28.0.0 allows a /v3/ec2tokens or /v3/s3tokens request with a valid AWS Signatur... |
| CVE-2025-66360 | An issue was discovered in Logpoint before 7.7.0. An improperly configured access control policy exposes sensitive Logpoint i... |
| CVE-2025-66378 | Pexip Infinity 38.0 and 38.1 before 39.0 has insufficient access control in the RTMP implementation, allowing an attacker to... |
| CVE-2025-67490 | Auth0 Next.js SDK has Improper Request Caching Lookup |
| CVE-2025-68386 | Kibana Improper Authorization |
| CVE-2025-68422 | Kibana Improper Authorization |
| CVE-2025-68476 | KEDA has Arbitrary File Read via Insufficient Path Validation in HashiCorp Vault Service Account Credential |
| CVE-2025-8434 | code-projects Online Movie Streaming admin.php authorization |
| CVE-2025-8435 | code-projects Online Movie Streaming admin-control.php authorization |
| CVE-2025-8944 | OceanWP < 4.1.2 - Subscriber+ Limited Option Update |
| CVE-2025-9056 | Unprotected service in the AudioLink component allows a local attacker to overwrite system files via unauthorized service inv... |
| CVE-2026-0831 | Templately <= 3.4.8 - Unauthenticated Limited Arbitrary JSON File Write |
| CVE-2026-1007 | Incorrect Authorization vulnerability in virtual gateway component in Devolutions Server allows attackers to bypass deny IP r... |
| CVE-2026-22784 | Lychee cross-album password propagation on Album unlocking |
| CVE-2026-23837 | MyTube has an Authorization Bypass vulnerability |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230621-13 | 21.06.2023 | Обход безопасности в Adobe Commerce (formerly Magento Commerce) |
| VULN:20230825-11 | 25.08.2023 | Повышение привилегий в D-Link DIR-645 firmware |
| VULN:20230825-12 | 25.08.2023 | Повышение привилегий в D-Link DIR-885L |
| VULN:20230825-14 | 25.08.2023 | Повышение привилегий в D-Link DIR-895 |
| VULN:20240205-1 | 05.02.2024 | Повышение привилегий в BuildKit |
| VULN:20240805-4 | 05.08.2024 | Выполнение произвольного кода в Calibre |
| VULN:20240812-35 | 12.08.2024 | Повышение привилегий в Docker |
| VULN:20241014-93 | 14.10.2024 | Обход безопасности в Cisco IOS XE Software |
| VULN:20241227-21 | 27.12.2024 | Повышение привилегий в Dell PowerStore T Family |
| VULN:20250117-5 | 17.01.2025 | Повышение привилегий в Dell OpenManage Network Integration (OMNI) |
| VULN:20250210-29 | 10.02.2025 | Выполнение произвольного кода в Rockwell Automation FactoryTalk View ME |
| VULN:20250331-3 | 31.03.2025 | Повышение привилегий в FortiSandbox |
| VULN:20250526-24 | 26.05.2025 | Выполнение произвольного кода в Adobe ColdFusion |
| VULN:20260126-9 | 26.01.2026 | Отказ в обслуживании в GitLab Community Edition (CE) and Enterprise Edition (EE) |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.