Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-863
Incorrect Authorization
The product performs an authorization check when an actor attempts to access a resource or perform an action, but it does not correctly perform the check.
| Тип уязвимости: | Не зависит от других уязвимостей |
| Вероятность эксплойта: |
High
|
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-01742 | Уязвимости операционной системы Debian GNU/Linux, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-01743 | Уязвимости операционной системы Debian GNU/Linux, позволяющие злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2015-09373 | Уязвимость операционной системы Gentoo Linux, позволяющая злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2018-00175 | Уязвимость реализации механизма CSP (Content Security Policy) браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2018-00368 | Уязвимость сервера LDAP пакета программ сетевого взаимодействия Samba, позволяющая нарушителю изменять пароли других пользователей |
| BDU:2019-00432 | Уязвимость функции map_write() ("kernel/user_namespace.c") ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2019-01760 | Уязвимость компонента Spring Framework программных продуктов Oracle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2019-02958 | Уязвимость подсистемы виртуализации Kernel-based Virtual Machine (KVM) ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-03840 | Уязвимость подкомпонента Loan Calculator компонента Oracle Banking Digital Experience банковской аналитической системы имитационного моделирования Oracle Financial Services Applications, позволяющая нарушителю получить доступ на изменение, добавление... |
| BDU:2019-03953 | Уязвимость подкомпонента Connector/ODBC компонента MySQL Connectors системы управления базами данных MySQL, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-04076 | Уязвимость компонента Segment программного обеспечения для торговли Oracle Retail Customer Management and Segmentation Foundation, позволяющая нарушителю получить доступ на изменение, добавление или удаление данных или получить несанкционированный до... |
| BDU:2019-04423 | Уязвимость браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю обойти ограничения навигации |
| BDU:2019-04603 | Уязвимость микропрограммного обеспечения контроллеров Intel Ethernet серии 700, связанная с недостатками контроля доступа, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2019-04675 | Уязвимость системы управления контентом spip, связанная с неправильной авторизацией, позволяющая нарушителю нарушить целостность данных |
| BDU:2019-04703 | Уязвимость системы аутентификации для веб-приложений LemonLDAP::NG, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к информации и нарушить ее целостность и доступность |
| BDU:2019-04707 | Уязвимость модуля /roster/module.valа клиента для обмена мгновенными сообщениями dino, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2019-04721 | Уязвимость расширения Kaspersky Protection браузера Google Chrome, позволяющая нарушителю удалить произвольные расширения chrome |
| BDU:2019-04835 | Уязвимость микропрограммного обеспечения маршрутизаторов Cisco Small Business RV016, Cisco Small Business RV042, Cisco Small Business RV042G, Cisco Small Business RV082 связанная с ошибками авторизации, позволяющая нарушителю получить несанкционирова... |
| BDU:2020-00003 | Уязвимость маршрутизаторов Huawei, связанная с ошибками авторизации, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии |
| BDU:2020-00123 | Уязвимость микропрограммного обеспечения маршрутизатора ZyXEL P-1302-T10D v3, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-00124 | Уязвимость программного средства управления финансовыми инструментами и рисками SAP Treasury and Risk Management, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-00165 | Уязвимость операционной системы ThinPro Linux, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2020-00166 | Уязвимость операционной системы ThinPro Linux, связанная с некорректной авторизацией, позволяющая нарушителю выполнить произвольные команды |
| BDU:2020-00249 | Уязвимость программных средств планирования ресурсов предприятия SAP ERP Sales и S4HANA Sales, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-00250 | Уязвимость функции управления транзакциями программного средства управления финансовыми инструментами и рисками SAP Treasury and Risk Management, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой и... |
| BDU:2020-00620 | Уязвимость компонента userfaultfd ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2020-00874 | Уязвимость службы установки Intel Chipset Device, связанная с недостатками механизма авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-00958 | Уязвимость микропрограммного обеспечения сенсорного дисплея Surface Hub, связанная с недостатками контроля доступа, позволяющая нарушителю получить доступ к настройкам, доступным только администраторам |
| BDU:2020-01603 | Уязвимость службы каталогов VMware Directory Service (vmdir) средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-01897 | Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, связанная с недостатками контроля доступа, позволяющая нарушителю осуществить обход процесса аутентификации между EcoStruxure... |
| BDU:2020-01956 | Уязвимость модулей LDAP-аутентификации (mod_auth_ldap и mod_auth_ldap2) для Prosody сервера Jabber/XMPP, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать... |
| BDU:2020-02179 | Уязвимость менеджера Wildfly Security платформы Red Hat JBoss Operations Network, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-02202 | Уязвимость функции systemd_run сервера vdsm средства управления виртуальной инфраструктурой Ovirt, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-02545 | Уязвимость программной платформы Node.js, связанная с недостаточной проверкой вводимых данных при обработке заголовков HTTP, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2020-02874 | Уязвимость компонента core/get_menudiv.php системы для планирования ресурсов предприятий и управления взаимоотношений с клиентами Dolibarr, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-03304 | Уязвимость подсистемы GVFS среды рабочего стола GNOME, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-03363 | Уязвимость документоориентированной системы управления базами данных MongoDB, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-03791 | Уязвимость веб-интерфейса системы сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю повысить свои привилегии |
| BDU:2020-03829 | Уязвимость веб-интерфейса управления программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-03901 | Уязвимость программной платформы для управления виртуальными средами CloudForms Management Engine, связанная с недостатками механизма авторизации, позволяющая нарушителю редактировать виджеты, доступные только для чтения |
| BDU:2020-04067 | Уязвимость реализации метода автоматического обновления сервера имен в системе доменных имен Dynamic DNS (DDNS) DNS-сервера BIND, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-04649 | Уязвимость служб Banking Services программных средств для финансового учета SAP FSAPPL и SAP S4FPSL, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-04659 | Уязвимость функции шаблона запланированного совещания программного обеспечения для веб-конференцсвязи Cisco Webex Meetings, позволяющая нарушителю получить права на создание шаблона совещания |
| BDU:2020-04906 | Уязвимость программного средства для электронной коммерции Microsoft Dynamics 365 Commerce, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-04920 | Уязвимость компонента AppArmor инструмента для запуска изолированных контейнеров runc, связанная с недостатками механизма авторизации, позволяющая нарушителю монтировать вредоносный образ Docker в каталог /proc |
| BDU:2020-04955 | Уязвимость интерфейса командной строки Telnet/Secure Shell (SSH) операционной системы Cisco IOS XE, позволяющая нарушителю выполнять команды с привилегиями root |
| BDU:2020-05060 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05253 | Уязвимость веб-интерфейса микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD) и Cisco Adaptive Security Appliance (ASA), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2020-05501 | Уязвимость платформы для управления данными APTARE, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-05552 | Уязвимость функции get_user_pages(), позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2020-05649 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с недостатками механизма авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2020-05656 | Уязвимость rbd-драйвера операционной системы Linux, позволяющая нарушителю повысить свои привилегии |
| BDU:2020-05672 | Уязвимость веб-интерфейса платформы управления политиками соединений Cisco Identity Services Engine, позволяющая нарушителю изменить конфигурацию уязвимого устройства |
| BDU:2020-05704 | Уязвимость программ просмотра PDF-файлов Adobe Reader Document Cloud, Adobe Reader и программ редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat, связанная с обходом функции безопасности, позволяющая нарушителю обойти существующие... |
| BDU:2020-05706 | Уязвимость программ просмотра PDF-файлов Adobe Reader Document Cloud, Adobe Reader и программ редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat, связанная с обходом функции безопасности, позволяющая нарушителю обойти существующие... |
| BDU:2020-05730 | Уязвимость сетевого программного средства Envoy, связанная с ошибками авторизации, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2020-05859 | Уязвимость веб-интерфейса системы сетевого управления центром обработки данных Cisco Data Center Network Manager, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2021-00118 | Уязвимость реализации механизма CSP (Content Security Policy) браузера Mozilla Firefox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00122 | Уязвимость браузера Mozilla Firefox, связанная с ошибкой наследования политики безопасности содержимого, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2021-00301 | Уязвимость интерфейса командной строки программного средства Cisco Connected Mobile Experiences, позволяющая нарушителю раскрыть информацию о пользователях системы CMX |
| BDU:2021-00363 | Уязвимость программного средства Cisco Connected Mobile Experiences, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации |
| BDU:2021-00564 | Уязвимость службы Bluetooth операционных систем Windows, позволяющая нарушителю повысить свои привилегии и получить несанкционирвоанный доступ к защищаемой информации |
| BDU:2021-00597 | Уязвимость веб-интерфейса управления сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю получить доступ на изменение, добавление или удаление данных или получить несанкционированный доступ к... |
| BDU:2021-00648 | Уязвимость веб-интерфейса управления сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю изменить конфигурацию устройства |
| BDU:2021-00761 | Уязвимость службы Bluetooth операционных систем Windows, позволяющая нарушителю повысить свои привилегии и получить несанкционирвоанный доступ к защищаемой информации |
| BDU:2021-00762 | Уязвимость службы Bluetooth операционных систем Windows, позволяющая нарушителю повысить свои привилегии и получить несанкционирвоанный доступ к защищаемой информации |
| BDU:2021-01089 | Уязвимость модуля оформления заказа программной платформы для разработки и управления онлайн магазинами Magento Commerce, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01090 | Уязвимость модуля пользовательского API программной платформы для разработки и управления онлайн магазинами Magento Commerce, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01131 | Уязвимость системы управления базами данных PostgreSQL, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01159 | Уязвимость контроллера доставки приложений FortiADC, связанная с недостатками механизма авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-01798 | Уязвимость сервера системы управления корпоративными мобильными устройствами Citrix XenMobile Server, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03150 | Уязвимость программного комплекса промышленной автоматизации CODESYS, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2021-03207 | Уязвимость функции polkit_system_bus_name_get_creds_sync() демона dbus-daemon библиотеки Polkit, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-03220 | Уязвимость подсистемы BPF ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03390 | Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-03573 | Уязвимость интерфейса REST API платформы для организации безопасности, автоматизации и реагирования Cortex XSOAR, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-03657 | Уязвимость навигации браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-03668 | Уязвимость расширений браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-03671 | Уязвимость ядра операционной системы FreeBSD, связанная с недостатками механизма авторизации, позволяющая нарушителю отключить защиту SMAP и оказать воздействие на целостность защищаемой информации |
| BDU:2021-03834 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с обходом функции безопасности, позволяющая нарушителю получить несанкционированные скидки на продукцию |
| BDU:2021-03991 | Уязвимость корпоративной платформы Red Hat OpenShift Container Platform, связанная с ошибками проведения процедуры авторизации, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2021-04009 | Уязвимость компонента распознавания лиц Windows Hello операционных систем Microsoft Windows, позволяющая нарушителю обойти механизмы защиты |
| BDU:2021-04172 | Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, позволяющая нарушителю обойти аутентификацию |
| BDU:2021-04332 | Уязвимость серверов сенсорных панелей U.motion Servers иTouch Panels, связанная с ошибками авторизации, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-04481 | Уязвимость системы для планирования ресурсов предприятий и управления взаимоотношений с клиентами Dolibarr, связанная с недостатками контроля доступа, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2021-04514 | Уязвимость аналитической базы данных Apache Druid, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-04620 | Уязвимость ядра CMS-системы Drupal, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2021-04657 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-04659 | Уязвимость компонента Dependency Proxy программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-04686 | Уязвимость функционала PreChecks эталонной реализации Bitcoin Bitcoin Core, связанная с неправильной авторизацией, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании |
| BDU:2021-04716 | Уязвимость анонимного веб-браузера Tor, связанная с ошибками авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2021-04863 | Уязвимость стека протоколов Bluetooth для ОС Linux BlueZ, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-05089 | Уязвимость приложения для резервного копирования и аварийного восстановления данных HBS 3 (Hybrid Backup Sync) операционных систем QTS, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-05109 | Уязвимость системы управления содержимым сайта WordPress, связанная с ошибками авторизации, позволяющая нарушителю обойти существующие ограничения |
| BDU:2021-05163 | Уязвимость компонента iFrameSandbox веб-браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05180 | Уязвимость компонента Content Security Policy веб-браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05204 | Уязвимость компонента Content Security Policy веб-браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05235 | Уязвимость веб-приложения для управления проектами и задачами Redmine, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05240 | Уязвимость обработчика входящей почты веб-приложения для управления проектами и задачами Redmine, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05272 | Уязвимость реализации механизма CSP (Content Security Policy) веб-браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05281 | Уязвимость компонента PopupBlocker веб-браузера Google Chrome, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2021-05331 | Уязвимость редактора электронных таблиц Microsoft Excel, связанная с ошибками при обработке входных данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-05525 | Уязвимость операционной системы PAN-OS, связанная с недостатками контроля доступа, позволяющая нарушителю выполнить произвольные действия, разрешенные ролью EC2 в AW |
| BDU:2021-05711 | Уязвимость конечной точки API средства управления информационной инфраструктурой Cisco Application Policy Infrastructure Controller, связанная с недостатками контроля доступа, позволяющая нарушителю записывать произвольные файлы |
| BDU:2021-05973 | Уязвимость оболочки ОС Android EMUI, связанная с обходом функции безопасности, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-06084 | Уязвимость функции QR-сканера браузера Google Chrome, позволяющая нарушителю обойти существующие ограничения доступа |
| BDU:2021-06103 | Уязвимость сетевой операционной системы Cisco NX-OS маршрутизаторов Cisco, связанная с недостатками контроля доступа, позволяющая нарушителю получить доступ на чтение данных |
| BDU:2021-06223 | Уязвимость сервера автоматизации Jenkins, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2021-06335 | Уязвимость графического интерфейса программного средства централизованного управления устройствами Fortinet FortiManager и средства отслеживания и анализа событий безопасности Fortinet FortiAnalyzer, позволяющая нарушителю получить список администрат... |
| BDU:2021-06417 | Уязвимость реализации механизма CSP (Content Security Policy) браузера Google Chrome, позволяющая нарушителю обойти существующую политику ограничения доступа |
| BDU:2021-06419 | Уязвимость механизма обработки файлов cookie браузера Google Chrome, связанная с ошибками авторизации, позволяющая нарушителю обойти существующую политику ограничения доступа |
| BDU:2022-00011 | Уязвимость сервера автоматизации Jenkins, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2022-00096 | Уязвимость пакетов программ Microsoft Office и Microsoft 365 Apps for Enterprise, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии |
| BDU:2022-00122 | Уязвимость локальной системы безопасности (LSA) операционных систем Microsoft Windows, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии |
| BDU:2022-00621 | Уязвимость реализации системного вызова NVGPU_IOCTL_CHANNEL_SET_ERROR_NOTIFIER драйвера управления памятью графического процессора NVMAP программного обеспечения устройства NVIDIA Shield TV Experience, позволяющая нарушителю вызвать отказ в обслужива... |
| BDU:2022-00699 | Уязвимость интерфейса Windows Extensible Firmware Interface операционной системы Windows, позволяющая нарушителю выполнить отказ в обслуживании |
| BDU:2022-00741 | Уязвимость программных интеграционных платформ SAP NetWeaver AS ABAP и SAP NetWeaver ABAP, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-00876 | Уязвимость конфигурации setup.php универсальной системы мониторинга Zabbix , связанная с ошибками авторизации, позволяющая нарушителю изменить параметры конфигурации |
| BDU:2022-00927 | Уязвимость службы размещения файлов OneDrive for Android, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2022-01370 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01517 | Уязвимость реализации сценария cron/save_allow.cgi модуля Scheduled Cron Jobs веб-интерфейса системного администрирования для UNIX-подобных операционных систем Webmin, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-01518 | Уязвимость модуля File Manager веб-интерфейса системного администрирования для UNIX-подобных операционных систем Webmin, позволяющая нарушителю повысить свои привилегии или выполнить произвольный код |
| BDU:2022-01684 | Уязвимость компонента kube-apiserver программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании |
| BDU:2022-01707 | Уязвимость операционной системы Windows, связанная с недостатками механизма авторизации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-01716 | Уязвимость инструмента автоматизации развертывания приложений в Kubernetes ArgoCD, связанная с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-01733 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01734 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-01772 | Уязвимость плагина Dynamic Security брокера сообщений Mosquitto, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01792 | Уязвимость функционала vulnerability report программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01815 | Уязвимость контейнера сервлетов Jetty, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01856 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-01867 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2022-01870 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с возможностью создания и отслеживания пользователем задачи для ошибок Sentry, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить... |
| BDU:2022-02050 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-02143 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании |
| BDU:2022-02144 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2022-02145 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-02148 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживани... |
| BDU:2022-02228 | Уязвимость гипервизора Xen, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2022-02332 | Уязвимость функции отладки межсетевого экрана FortiGate операционных систем FortiOS, позволяющая нарушителю выполнить произвольный код или команды |
| BDU:2022-02363 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-02928 | Уязвимость компонентов Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, и pg_amcheck системы управления базами данных PostgreSQL, позволяющая нарушителю выполнять произвольные SQL-функции под учетной записью суперпользователя |
| BDU:2022-02990 | Уязвимость функции ввода-вывода следующего поколения (NGIO) программного обеспечения инфраструктуры Cisco Enterprise NFV Infrastructure Software (NFVIS), позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03004 | Уязвимость системного вызова PTRACE_SEIZE безопасного режима вычислений seccomp ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-03013 | Уязвимость программного решения, поддерживающего процесс закрытия, консолидации и составления отчетов IBM Cognos Controller, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность... |
| BDU:2022-03018 | Уязвимость службы хостинга RubyGems.org, связанная с ошибками авторизации, позволяющая нарушителю получить доступ на создание, изменение или удаление данных |
| BDU:2022-03048 | Уязвимость микропрограммного обеспечения сенсорного дисплея Surface Pro 3, связанная с ошибками авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-03566 | Уязвимость микропрограммного обеспечения настольных телефонов Mitel 6800 Series SIP Phones и 6900 Series SIP Phones, связанная с наличием недокументированных команд конфигурации, позволяющая нарушителю выполнить произвольный код с привилегиями root,... |
| BDU:2022-03569 | Уязвимость микропрограммного обеспечения настольных телефонов Mitel серии 6900, связанная с ошибками авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-03868 | Уязвимость файла saprouttab программных интеграционных платформ SAP NetWeaver и SAP ABAP, позволяющая нарушителю выполнить произвольные команды |
| BDU:2022-03942 | Уязвимость клиентской HTTP-библиотеки Guzzle интерпретатора языка программирования PHP, связанная с ошибками авторизации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-03956 | Уязвимость службы платформы управления доставкой приложений Citrix Application Delivery Management (ADM), связанная с недостатками контроля доступа, позволяющая нарушителю сбросить пароль администратора и повысить свои привилегии |
| BDU:2022-04103 | Уязвимость реализации конфигурации info-get guestinfo.ignition.config.data библиотеки Ignition, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04213 | Уязвимость приложения Galaxy Store, связанная с неправильной авторизацией, позволяющая нарушителю устанавливать приложения из Galaxy Store без взаимодействия с пользователем |
| BDU:2022-04236 | Уязвимость компонента RegexRequestMatcher Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-04304 | Уязвимость центра управления информационными технологиями ASUS Control Center, связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии или вызвать частичный отказ в обслуживании |
| BDU:2022-04432 | Уязвимость API-интерфейса WHATWG Fetch для Node Cross-fetch, связанная с ошибками обработки файлов cookie, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04434 | Уязвимость фильтра поиска (ldbm_search.c) сервера службы каталогов 389 Directory Server, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-04747 | Уязвимость программного средства Intel Killer Control Center, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2022-04767 | Уязвимость платформы бизнес-аналитики SAP Business Objects Business Intelligence Platform, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ на изменение, добавление или удаление данных |
| BDU:2022-04975 | Уязвимость реализации хранилища контактов SprdContactsProvider компонента Telephony операционных систем Android, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-05031 | Уязвимость системы управления ИТ-инфраструктурой HPE OneView, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-05078 | Уязвимость инструмента мониторинга виртуальной инфраструктуры VMware vRealize Operations, связанная с ошибками авторизации, позволяющая нарушителю создать пользователя с правами администратора |
| BDU:2022-05458 | Уязвимость компонента Extensions API браузеров Microsoft Edge и Google Chrome, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-05640 | Уязвимость операционной системы FortiOS межсетевых экранов FortiGate, связанная с недостатками контроля доступа, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2022-05641 | Уязвимость программного средства для создания систем контейнерной изоляции Moby (Docker Engine), связанная с недостатками механизма авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-05703 | Уязвимость стека технологии Bluetooth для Linux BlueZ, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-05737 | Уязвимость браузера Mozilla Firefox, связанная с ошибками авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-05773 | Уязвимость централизованной системы управления версиями Subversion, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2022-05936 | Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird, связанная с неправильным использованием привилегированных API, позволяющая нарушителю установить расширение |
| BDU:2022-06096 | Уязвимость браузера Mozilla Firefox, связанная с недостатками контроля доступа, позволяющая нарушителю видоизменять пользовательский интерфейс |
| BDU:2022-06451 | Уязвимость системы хранения данных Cloud Mobility for Dell Storage, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2022-06854 | Уязвимость веб-интерфейса управления операционной системы Cisco AsyncOS системы обеспечения безопасности электронной почты Cisco Email Security Appliance (ESA), устройства управления защитой контента Cisco Secure Email and Web Manager и интернет-шлюз... |
| BDU:2022-07246 | Уязвимость реализации протокола aaa tacacs+ операционной системы Brocade Fabric OS, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2022-07464 | Уязвимость службы мониторинга производительности сети Azure Network Watcher Agent, связанная с ошибками авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2022-07492 | Уязвимость микропрограммного обеспечения мобильных телефонов Huawei, связанная с ошибками авторизации, позволяющая нарушителю обойти лимит цифрового баланса |
| BDU:2023-00015 | Уязвимость программного средства для согласования работы (оркестровки) систем кибербезопасности и для управления реагированием на инциденты в режиме реального времени Fortinet FortiSOAR, связанная с неправильным контролем доступа, позволяющая нарушит... |
| BDU:2023-00086 | Уязвимость микропрограммного обеспечения контроллеров беспроводного доступа FortiWLC, связанная с недостатками разграничения доступа, позволяющая нарушителю выполнить произвольные команды и повысить свои привилегии |
| BDU:2023-00148 | Уязвимость средства для формирования отчетности SAP Disclosure Management, связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00308 | Уязвимость процесса аутентификации и авторизации для VPN-соединений микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), связанная с недостатками контроля доступа, позволяюща... |
| BDU:2023-00481 | Уязвимость мобильного приложения для совместной работы с документами IBM Navigator Mobile для операционных систем Android, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-00539 | Уязвимость компонента iotdb-web-workbench базы данных для интернет вещей IoT Apache IoTDB, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-00806 | Уязвимость системы мониторинга критически важного оборудования StruxureWare Data Center Expert, связанная с ошибками при обслуживании одним пользователем объектов другого, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-00882 | Уязвимость декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01073 | Уязвимость программного средства Dell Command Intel vPro Out of Band, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01103 | Уязвимость системы мониторинга критически важного оборудования StruxureWare Data Center Expert, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-01488 | Уязвимость среды выполнения контейнеров Containerd, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код |
| BDU:2023-01627 | Уязвимость функции process.mainModule.require() программной платформы Node.js, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-01654 | Уязвимость демона usbguard-dbus программного обеспечения защиты USB устройств USBGuard, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2023-01668 | Уязвимость модуля проверки IP Data::Validate::IP, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-01669 | Уязвимость модуля обработки блоков IP-сети Net::Netmask, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-01994 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02110 | Уязвимость службы Device-Gateway программного продукта для мониторинга устройств в реальном времени Delta Electronics InfraSuite Device Master, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02111 | Уязвимость программного продукта для мониторинга устройств в реальном времени Delta Electronics InfraSuite Device Master, связанная с недостаточной проверкой входных данных, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02113 | Уязвимость функции verity_ctr() драйвера device-mapper ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-02118 | Уязвимость подсистемы проверки разрешений Bluetooth ядра операционной системы Linux, позволяющая нарушителю выполнять произвольные команды |
| BDU:2023-02862 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-02910 | Уязвимость встроенного программного обеспечения контроллера ARIS, связанная с ошибками авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-02928 | Уязвимость технологии CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) микропрограммного обеспечения маршрутизаторов D-Link DIR-890L, DIR-885L/R и DIR-895L/R, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2023-03086 | Уязвимость программы мгновенного обмена сообщениями Telegram Messenger для операционной системы macOS, связанная с недостатками разграничения доступа, позволяющая нарушителю получить доступ к файлам с ограниченным доступом, микрофону, записи экрана |
| BDU:2023-03264 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-03286 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-03287 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-03288 | Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2023-03380 | Уязвимость системы работы с заявками и инцидентами GLPI, связанная с неправильной авторизацией, позволяющая нарушителю повышать привилегии внутри приложения |
| BDU:2023-03424 | Уязвимость программного пакета OpenSearch, связанная с неправильной авторизацией, позволяющая нарушителю привести к неправильной авторизации доступа |
| BDU:2023-03548 | Уязвимость компонента Setting Handler scada-сервера Elcomplus SmartPPT, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-03550 | Уязвимость операционной системе Juniper Networks Junos OS, связанная с неправильной авторизацией, позволяющая нарушителю обойти правила Juniper Deep Packet Inspection (JDPI) и получить несанкционированный доступ к сетям или ресурсам |
| BDU:2023-03998 | Уязвимость интерфейса /link/ программного обеспечения SSPanel-Uim, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2023-04090 | Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с недостатками контроля доступа, позволяющая нарушителю изменять или просматривать данные панели управления |
| BDU:2023-04312 | Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-04338 | Уязвимость файловой системы overlayfs ядра операционной системы Ubuntu, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2023-04360 | Уязвимость функции ovl_copy_up_meta_inode_data файловой системы overlayfs ядра операционной системы Ubuntu, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2023-04392 | Уязвимость облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, связанная с недостатками механизма авторизации, позволяющая нарушителю получить доступ к конфигурации облачной платформы |
| BDU:2023-04405 | Уязвимость функции автозаполнения Autofill браузера Google Chrome, позволяющая нарушителю обойти ограничения навигации |
| BDU:2023-04659 | Уязвимость функции tap_open() в модуле drivers/net/tap.c драйвере TUN/TAP ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на целостность данных или повысить свои привилегии |
| BDU:2023-04674 | Уязвимость компонента Libraries программной платформы Oracle Java SE и виртуальной машины Oracle GraalVM Enterprise Edition, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2023-04799 | Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2023-05304 | Уязвимость функции PAMcheckPasswd() утилиты для управления и мониторинга процессов, программ, файлов и каталогов Monit, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-05691 | Уязвимость реализации прикладного программного интерфейса декларативного инструмента непрерывной доставки GitOps для Kubernetes Argo CD, связанная с ошибками авторизации, позволяющая нарушителю обойти установленный контроль доступа |
| BDU:2023-05756 | Уязвимость средства защиты Fortinet FortiClient для Windows, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код или команды |
| BDU:2023-05801 | Уязвимость программного обеспечения визуализации данных Apache Superset, связанная с ошибками авторизации, позволяющая нарушителю получить доступ на чтение базы данных |
| BDU:2023-05901 | Уязвимость функции phpcgi_main() микропрограммного обеспечения маршрутизаторов D-Link DIR-645, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии |
| BDU:2023-06022 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками контроля доступа, позволяющая нарушителю обойти существующие ограничения безопасности и повысить свои привиле... |
| BDU:2023-06061 | Уязвимость функции cacti_ldap_auth() программного средства мониторинга сети Cacti, позволяющая нарушителю обойти процедуру аутентификации |
| BDU:2023-06068 | Уязвимость программного интерфейса программного средства автоматизации бизнес-процессов IBM Robotic Process Automation , связанная с ошибками авторизации, позволяющая нарушителю раскрыть защищаемую информацию об уязвимой системе |
| BDU:2023-06214 | Уязвимость ядра оболочки EMUI операционной системы HarmonyOS, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность данных |
| BDU:2023-06416 | Уязвимость функции restore_settings плагина Comments Like Dislike системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных |
| BDU:2023-06471 | Уязвимость программного обеспечения защиты данных Acronis Cyber Protect 15, связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07228 | Уязвимость операционной системы Juniper Networks Junos OS маршрутизаторов серий SRX, связанная с ошибками при проведении авторизации, позволяющая нарушителю обойти правила Juniper Deep Packet Inspection (JDPI) |
| BDU:2023-07256 | Уязвимость службы Telnet операционной системы Extreme Networks Switch Engine (EXOS) микропрограммного обеспечения сетевых коммутаторов Extreme Networks, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07407 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками механизма авторизации, позволяющая нарушителю раскрыть информацию о данных учетной записи произвольных пользо... |
| BDU:2023-07528 | Уязвимость функций pmdm_wp_delete_user_meta, pmdm_wp_delete_term_meta и pmdm_wp_ajax_delete_meta плагина для системы управления содержимым сайта WordPress Post Meta Data Manager, позволяющая нарушителю удалить произвольные метаданные пользователей |
| BDU:2023-07529 | Уязвимость функций pmdm_wp_change_user_meta и pmdm_wp_change_post_meta плагина Post Meta Data Manager для системы управления содержимым сайта WordPress, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07592 | Уязвимость компонента NMI программного средства управления аутентификацией в Kubernetes-кластерах AAD Pod Identity, связанная с обходом токена проверки, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-07917 | Уязвимость реализации прикладного программного интерфейса программного обеспечения визуализации данных Apache Superset, позволяющая нарушителю проверять соединения с базой данных |
| BDU:2023-07932 | Уязвимость сетевого программного средства Apache Airflow, связанная с неправильной авторизацией, позволяющая нарушителю изменять произвольные файлы |
| BDU:2023-08975 | Уязвимость плагина User Post Gallery системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-00099 | Уязвимость корпоративного менеджера паролей Passwork, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить обход двухфакторной аутентификации (2FA) |
| BDU:2024-00260 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-00720 | Уязвимость кроссплатформенной системы управления доступа IBM i Access Client Solutions, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01030 | Уязвимость программного средства сборки контейнеров BuildKit, связанная с неправильной авторизацией, позволяющая нарушителю производить запуск контейнеров с повышенными привилегиями |
| BDU:2024-01106 | Уязвимость сервера репликации SAP LT Replication Server, связанная с неправильной авторизацией, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность данных |
| BDU:2024-01177 | Уязвимость функции VPN микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense, Cisco Adaptive Security Appliance, позволяющая нарушителю установить сеанс SSL VPN без клиента с неавторизованным пользователем |
| BDU:2024-01258 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki , связанная с ошибками авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01269 | Уязвимость программного интерфейса платформы создания совместных веб-приложений XWiki Platform XWiki , связанная с ошибками авторизации, позволяющая нарушителю получить права пользователя XWiki.superadmin |
| BDU:2024-01276 | Уязвимость программное обеспечение создания, мониторинга и оркестрации сценариев обработки данных Airflow , связанная с ошибками авторизации, позволяющая нарушителю изменить произвольные данные |
| BDU:2024-01308 | Уязвимость операционных систем QTS, QuTScloud сетевых устройств Qnap, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01951 | Уязвимость реализации прикладного программного интерфейса платформы совместного использования изображений Pixelfed, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01994 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-02003 | Уязвимость программного средства управления проектами и задачами JetBrains YouTrack, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-02273 | Уязвимость программного средства управления и контроля систем видеонаблюдения и безопасности Siemens Siveillance Control, связанная с недостатками механизма авторизации, позволяющая нарушителю получить права на запись для объектов, к которым у него б... |
| BDU:2024-02531 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками механизма авторизации, позволяющая нарушителю зарегистрировать произвольных пользователей в системе |
| BDU:2024-02568 | Уязвимость облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, связанная с недостатками механизма авторизации, позволяющая нарушителю перехватывать и изменять данные в потоках Pulsar |
| BDU:2024-02573 | Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с неправильной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-02648 | Уязвимость оркестратора распределенных наборов данных и ускорителя с открытым исходным кодом Kubernetes для приложений с интенсивным использованием данных Fluid, связанная с неправильной авторизацией, позволяющая нарушителю получить полный привилегир... |
| BDU:2024-02657 | Уязвимость компонента Remote Cluster Security поисковой системы Elasticsearch, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2024-02681 | Уязвимость облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, связанная с недостатками процедуры авторизации, позволяющая нарушителю изменить произвольные параметры сохранения, TTL и настройки выгрузки |
| BDU:2024-02726 | Уязвимость программного обеспечения управления репозиториями Apache Archiva, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к учетной записи пользователя |
| BDU:2024-02816 | Уязвимость базовой системы аутентификации веб-инструмента представления данных Grafana, позволяющая нарушителю обойти проверку электронной почты и помешать законным владельцам электронной почты зарегистрироваться |
| BDU:2024-02845 | Уязвимость реализации протокола LDAP операционных систем F5OS-A аппаратных устройств F5 rSeries и операционных систем F5OS-C контроллеров доставки приложений F5 VELOS, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-03169 | Уязвимость шлюза GlobalProtect операционной системы PAN-OS, позволяющая нарушителю выдавать себя за другого пользователя и отправлять сетевые пакеты внутренним ресурсам |
| BDU:2024-04347 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками механизма авторизации, позволяющая нарушителю выдать себя за облачного агента |
| BDU:2024-04348 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-04380 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-04381 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-04466 | Уязвимость корпоративной версии платформы GitHub Enterprise Server, связанная с неправильной авторизацией, позволяющая нарушителю создавать новые ветви в общедоступных репозиториях и запускать произвольные рабочие процессы GitHub Actions с разрешения... |
| BDU:2024-04740 | Уязвимость компонента System webapi приложения для организации видеонаблюдения Surveillance Station, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-05760 | Уязвимость плагинов авторизации (AuthZ) программного обеспечения автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации Docker Engine, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-05995 | Уязвимость функции Override View программного обеспечения планирования ресурсов предприятия Apache OFBiz, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-06405 | Уязвимость программного обеспечения электронной библиотеки Calibre, связанная с недостатками механизма авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-06808 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-07032 | Уязвимость корпоративной версии платформы GitHub Enterprise Server связана с неправильной авторизацией, позволяющая нарушителю изменять issue в публичных репозиториях |
| BDU:2024-07037 | Уязвимость корпоративной версии платформы GitHub Enterprise Server, связанная с раскрытием содержимого issue в приватных репозиториях, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-07308 | Уязвимость плагина "volumes" системы хранения данных Ceph Manager, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность |
| BDU:2024-07668 | Уязвимость программного средства аутентификации WatchGuard Authentication Gateway связанная с недостатками механизма авторизации, позволяющая нарушителю получить дамп памяти |
| BDU:2024-07699 | Уязвимость программного средства аутентификации WatchGuard Authentication Gateway связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к учетным данным произвольного пользователя |
| BDU:2024-07784 | Уязвимость программного средства управления проектами и задачами JetBrains YouTrack, связанная с недостатками механизма авторизации, позволяющая нарушителю получить повысить свои привилегии и выполнить произвольные команды |
| BDU:2024-07789 | Уязвимость программного средства управления проектами и задачами JetBrains YouTrack, связанная с недостатками механизма авторизации, позволяющая нарушителю получить повысить свои привилегии и выполнить произвольные команды |
| BDU:2024-07855 | Уязвимость реализации прикладного программного интерфейса программных средств для службы технической поддержки Zoho ManageEngine ServiceDesk Plus, Zoho ManageEngine ServiceDesk Plus MSP и Zoho ManageEngine SupportCenter Plus, позволяющая нарушителю п... |
| BDU:2024-07881 | Уязвимость реализации технологии Global Search программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-07959 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-08130 | Уязвимость компонента Central Web Authentication (CWA) операционной системы Cisco IOS XE, позволяющая нарушителю обойти процедуру авторизации и получить доступ к защищаемому сетевому сегменту |
| BDU:2024-08160 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с ошибками авторизации, позволяющая нарушителю запускать конвейеры непрерывной интеграции и непрерывной доставки (CI/CD) на произвольных ветках программы |
| BDU:2024-08205 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с ошибками авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-08217 | Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2024-08221 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2024-08259 | Уязвимость компонента Field Service Engineer Portal платформы управления выездным обслуживанием Oracle Field Service системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавлен... |
| BDU:2024-08261 | Уязвимость компонента Site Hierarchy Flows системы хранения и управления данными о сайтах Oracle Site Hub системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удален... |
| BDU:2024-08262 | Уязвимость компонента Cost Planning системы управления затратами Oracle Cost Management системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08263 | Уязвимость компонента Tasks приложения Oracle Common Applications Calendar системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08264 | Уязвимость компонента Compensation Plan системы поощрения корпоративных клиентов Oracle Incentive Compensation (OIC) системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавлен... |
| BDU:2024-08265 | Уязвимость компонента Price List средства управления ценами и скидками Oracle Advanced Pricing системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08266 | Уязвимость компонента Diagnostics средства управления приложениями Oracle Applications Manager системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на изменение, добавление и удаление данных |
| BDU:2024-08373 | Уязвимость компонента Messages программного средства управления производственными процессами Oracle Work in Process системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на... |
| BDU:2024-08455 | Уязвимость компонента Common Components платформы управления финансами Oracle Financials системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удале... |
| BDU:2024-08456 | Уязвимость компонента Authoring платформы управления контрактами Oracle Service Contracts системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удал... |
| BDU:2024-08457 | Уязвимость компонента Award Processes платформы управления процессами закупок Oracle Contract Lifecycle Management for Public Sector системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкциониро... |
| BDU:2024-08459 | Уязвимость компонента Auctions платформы управления поставками Oracle Sourcing системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на создание, изменение и удаление данных |
| BDU:2024-08461 | Уязвимость компонента Device Integration программного средства управления производственными процессами Oracle MES for Process Manufacturing системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанк... |
| BDU:2024-08468 | Уязвимость компонента Global Payroll for Core приложения PeopleSoft Enterprise HCM Global Payroll Core, позволяющая нарушителю получить несанкционированный доступ на чтение, создание, изменение и удаление данных |
| BDU:2024-08502 | Уязвимость компонента Connector/ODBC драйвера MySQL Connectors системы управления базами данных Oracle MySQL, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании |
| BDU:2024-08542 | Уязвимость интерфейса программного средства управления проектами и задачами JetBrains YouTrack, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08549 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08571 | Уязвимость компонента OSB Core Functionality интеграционной платформы для управления, маршрутизации и обработки сообщений между приложениями и сервисами Oracle Service Bus (OSB), позволяющая нарушителю получить несанкционированный доступ к защищаемой... |
| BDU:2024-08597 | Уязвимость компонента Reports платформы управления ликвидностью Oracle Banking Liquidity Management, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2024-08601 | Уязвимость компонента User Interface приложения для взаимодействия с клиентами Oracle Quoting системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ на чтение, добавление, из... |
| BDU:2024-08606 | Уязвимость компонента Reports платформы для управления ликвидностью Oracle Banking Liquidity Management, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2024-08844 | Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Secure Firewall Management Center (ранее Cisco Firepower Management Center), позволяющая нарушителю повысить свои привилегии |
| BDU:2024-08878 | Уязвимость программного средства управления API-интерфейсами Red Hat 3scale API Management, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-08957 | Уязвимость среды разработки программного обеспечения для автоматизации и управления производственными процессами Omron Sysmac Studio, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и получить не... |
| BDU:2024-09469 | Уязвимость сервера Siemens SINEMA Remote Connect, позволяющая нарушителю получить несанкционированный доступ к группам участников, к которым у него не должно быть доступа |
| BDU:2024-09871 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии |
| BDU:2024-10114 | Уязвимость системы управления контентом MediaCMS, связанная с неправильной авторизацией, позволяющая нарушителю удалить директории в файловой системе и подменить содержимое файлов пользователя |
| BDU:2024-10183 | Уязвимость микропрограммного обеспечения роутеров TOTOLINK A3300R, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и изменить пароль WiFi |
| BDU:2024-10297 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/ CE, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-10319 | Уязвимость микропрограммного обеспечения коммуникационных модулей SIMATIC CP 1543-1, связанная c неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2024-10934 | Уязвимость класса FormLoginAuthenticator программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю обойти процедуру аутентификации и вызвать отказ в обслуживании |
| BDU:2024-10983 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-11102 | Уязвимость интерфейса SYNO.SurveillanceStation.ActionRule приложения для организации видеонаблюдения Surveillance Station, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-11103 | Уязвимость интерфейса SYNO.SurveillanceStation.Alert.Setting приложения для организации видеонаблюдения Surveillance Station, позволяющая нарушителю повысить свои привилегии |
| BDU:2024-11266 | Уязвимость средства защиты облачных, виртуальных и физических систем Veeam Backup Replication, связанная с хранением конфиденциальной информации в открытом виде, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-11623 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с некорректной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2024-11628 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с некорректной авторизацией, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-00122 | Уязвимость компонента Container Storage Interface (CSI) оркестратора приложений Nomad, позволяющая нарушителю оказать влияние на целостность защиаемой информации |
| BDU:2025-00260 | Уязвимость модуля Advanced PWA inc Push Notifications CMS-системы Drupal, связанная с некорректной авторизацией, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-00266 | Уязвимость модуля Pages Restriction Access CMS-системы Drupal, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-00268 | Уязвимость модуля Drupal REST JSON API Authentication CMS-системы Drupal, связанная с некорректной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-00483 | Уязвимость компонента Wiki History Diff программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-00489 | Уязвимость поисковой системы Elasticsearch, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-00500 | Уязвимость компонента Public Project Handler программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-00596 | Уязвимость локального шлюза данных Microsoft On-Premises Data Gateway, связанная с некорректной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-00647 | Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-00669 | Уязвимость компонента Web Runtime SEC системы управления ресурсами предприятия JD Edwards EnterpriseOne Tools, позволяющая нарушителю получить доступ на чтение, изменение и удаление файлов |
| BDU:2025-00739 | Уязвимость компонента GraphQL Query Handler программной платформы на базе git для совместной работы над кодом GitLab EE/ CE, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-00848 | Уязвимость модуля Responsive and off-canvas menu CMS-системы Drupal, связанная с неправильной авторизацией, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-00866 | Уязвимость модуля Commerce View Receipt CMS-системы Drupal, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-01034 | Уязвимость модуля Basic HTTP Authentication CMS-системы Drupal, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-01112 | Уязвимость модуля Diff CMS-системы Drupal, связанная с некорректной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-01125 | Уязвимость модуля Freelinking CMS-системы Drupal, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-01127 | Уязвимость модуля Content Entity Clone CMS-системы Drupal, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию и реализовать атаку принудительного просмотра (Forceful Browsing) |
| BDU:2025-01159 | Уязвимость компонентов CassandraNetworkAuthorizer и CassandraCIDRAuthorizer распределённой системы управления базами данных Apache Cassandra, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-01169 | Уязвимость модуля OhDear CMS-системы Drupal, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-01180 | Уязвимость компонентов Hotspot программной платформы Oracle Java SE, виртуальных машин Oracle GraalVM for JDK и Oracle GraalVM Enterprise Edition, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и доступ на изменени... |
| BDU:2025-01195 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-01211 | Уязвимость программного обеспечения для управления лицензиями IBM Common Licensing, связанная с некорректной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01214 | Уязвимость модуля Monster Menus CMS-системы Drupal, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-01215 | Уязвимость модуля Smart IP Ban CMS-системы Drupal, позволяющая нарушителю просматривать и изменять настройки |
| BDU:2025-01218 | Уязвимость модуля Block permissions CMS-системы Drupal, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-01228 | Уязвимость компонента Technology Foundation программного средства Oracle Project Foundation системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить несанкционированный доступ к устройству |
| BDU:2025-01229 | Уязвимость компонента Service Requests программного средства Oracle Customer Care системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информ... |
| BDU:2025-01231 | Уязвимость программного обеспечения создания и управления графическим интерфейсом оператора (HMI) на промышленных устройствах Rockwell Automation FactoryTalk View Machine Edition (ME), связанная с недостатками процедуры авторизации, позволяющая наруш... |
| BDU:2025-01243 | Уязвимость компонента Install программного средства управления жизненным циклом продукта для предприятий Oracle Agile PLM Framework, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01258 | Уязвимость компонента AppleMobileFileIntegrity операционных систем macOS, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-01270 | Уязвимость компонента Server: Security: Privileges системы управления базами данных MySQL Server, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации |
| BDU:2025-01271 | Уязвимость компонента Access and Security приложения для управления данными Oracle Hyperion Data Relationship Management, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-01272 | Уязвимость компонента Web Services приложения для управления данными Oracle Hyperion Data Relationship Management, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2025-01275 | Уязвимость компонента Install программного средства бизнес-аналитики Oracle Analytics, позволяющая нарушителю получить привилегированный доступ к инфраструктуре |
| BDU:2025-01278 | Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server, позволяющая нарушителю получить доступ на чтение данных, модифицировать данные или получить привилегированный доступ |
| BDU:2025-01284 | Уязвимость компонента Core виртуальной машины Oracle VM VirtualBox, позволяющая нарушителю получить привилегированный доступ к инфраструктуре |
| BDU:2025-01291 | Уязвимость компонента eSettlements программного средства для электронного выставления счетов PeopleSoft Enterprise FIN eSettlements, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-01293 | Уязвимость компонента Cash Management программного средства для управления денежными средствами PeopleSoft Enterprise FIN Cash Management, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-01295 | Уязвимость компонента Web Access приложения для управления проектами Oracle Primavera P6 Enterprise Project Portfolio Managemen , позволяющая нарушителю получить доступ на чтение данных или модифицировать данные |
| BDU:2025-01299 | Уязвимость компонента General среды разработки прикладного программного обеспечения Oracle Application Express, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-01346 | Уязвимость компонента Java VM системы управления базами данных Oracle Database Server, позволяющая нарушителю получить доступ на чтение данных или модифицировать данные |
| BDU:2025-01347 | Уязвимость компонента InnoDB системы управления базами данных Oracle Database Server, позволяющая нарушителю получить привилегированный доступ, модифицировать данные или вызвать отказ в обслуживании |
| BDU:2025-01348 | Уязвимость компонента Security системы управления заказами Oracle Communications Order and Service Management, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01349 | Уязвимость компонента Purchasing приложения Oracle PeopleSoft Enterprise SCM Purchasing, позволяющая нарушителю получить доступ на чтение данных или модифицировать данные |
| BDU:2025-01369 | Уязвимость компонента NVRAM Variable Handler операционных систем MacOS, позволяющая нарушителю читать и записывать произвольные файлы |
| BDU:2025-01375 | Уязвимость компонента State Management Handler операционных систем iOS, iPadOS, macOS, watchOS и браузера Safari, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01376 | Уязвимость компонента Contact Information Handler операционных систем iOS, iPadOS и MacOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01472 | Уязвимость средств антивирусной защиты Kaspersky Virus Removal Tool for Windows, Kaspersky Endpoint Security for Windows, Kaspersky Security for Virtualization Light Agent, Kaspersky Anti-Virus SDK for Windows, Kaspersky Small Office Security, Kasper... |
| BDU:2025-01488 | Уязвимость программной платформы для разработки и управления онлайн магазинами Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-01557 | Уязвимость компонента Accessibility ("Специальные возможности") операционных систем iOS и iPadOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01644 | Уязвимость компонента OSB Core Functionality интеграционной платформы для управления, маршрутизации и обработки сообщений между приложениями и сервисами Oracle Service Bus (OSB), позволяющая нарушителю получить несанкционированный доступ к защищаемой... |
| BDU:2025-01800 | Уязвимость функции __do_sys_cachestat() модуля mm/filemap.c подсистемы управления памятью ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации или вызвать отказ в обслуживании |
| BDU:2025-02027 | Уязвимость портала GlobalProtect Portal операционной системы PAN-OS, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-02078 | Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и получ... |
| BDU:2025-02152 | Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии, получить несанкционированный доступ к защищаемой информации или вы... |
| BDU:2025-02398 | Уязвимость плагина интеграции Jenkins GitLab Plugin, связанная с некорректной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-02420 | Уязвимость программной платформы для разработки и управления онлайн магазинами Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-02421 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-02422 | Уязвимость программной платформы для разработки и управления онлайн магазинами Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-02449 | Уязвимость технологии SAML (Security Assertion Markup Language) программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-03142 | Уязвимость интерфейса WebChannel API браузеров Mozilla Firefox, Firefox ESR и почтовых клиентов Thunderbird, Thunderbird ESR, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-03455 | Уязвимость компонента ACL Policy оркестратора приложений Nomad, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-03515 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-03643 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/CE, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-03645 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab Enterprise Edition, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать влияние на целостность защищаемой информации |
| BDU:2025-03907 | Уязвимость программного обеспечения централизованного управления идентификацией FreeIPA, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслужи... |
| BDU:2025-04025 | Уязвимость компонента PDFClass Handler платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04537 | Уязвимость операционной системы PowerScale OneFS, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ к учетной записи пользователя |
| BDU:2025-04657 | Уязвимость графического интерфейса системы управления безопасностью FortiSIEM, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-04842 | Уязвимость программной интеграционной платформы SAP NetWeaver, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-05011 | Уязвимость программного обеспечения для интеграции функций Emarsys в мобильные приложения операционных систем Android Emarsys SDK, связанная с недостатками механизма авторизации, позволяющая нарушителю перенаправить пользователя на произвольный URL-а... |
| BDU:2025-05097 | Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к данным пользователя |
| BDU:2025-05098 | Уязвимость веб-сервиса виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к данным пользователя |
| BDU:2025-05099 | Уязвимость функции course_can_delete_section() виртуальной обучающей среды Moodle, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-05503 | Уязвимость программной платформы ColdFusion, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить произвольный код |
| BDU:2025-05506 | Уязвимость программной платформы ColdFusion, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05507 | Уязвимость программной платформы ColdFusion, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить произвольный код |
| BDU:2025-05659 | Уязвимость службы FactoryTalk Security платформы управления производственными процессами FactoryTalk Services Platform, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии |
| BDU:2025-05698 | Уязвимость панели управления микропрограммного обеспечения маршрутизаторов GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M и GL-B1300, позволяющая нарушителю получить несанкцио... |
| BDU:2025-05716 | Уязвимость панели администратора микропрограммного обеспечения маршрутизаторов GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M и GL-B1300, позволяющая нарушителю обойти огранич... |
| BDU:2025-06004 | Уязвимость расширения Database Abstraction Layer (DBAL) системы управления контентом TYPO3, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06177 | Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с недостатками механизма авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-06321 | Уязвимость платформы для обеспечения безопасности данных IBM Guardium Data Protection, связанная с недостатками механизма авторизации, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-06343 | Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-06374 | Уязвимость графического процессора микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю вызвать повреждение памяти |
| BDU:2025-06405 | Уязвимость графического процессора микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-06487 | Уязвимость драйвера wlan AP микропрограммного обеспечения микросхем MediaTek, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-06521 | Уязвимость операционных систем visionOS, iOS, iPadOS, tvOS и macOS, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-06736 | Уязвимость компонента API систем анализа сетевого трафика, сетевого обнаружения и реагирования Cisco Secure Network Analytics Manager и Cisco Secure Network Analytics Virtual Manager, позволяющая нарушителю оказать воздействие на целостность защищаем... |
| BDU:2025-06851 | Уязвимость программной платформы защиты данных IBM Storage Protect for Virtual Environments, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-06948 | Уязвимость системы управления службой поддержки FreeScout, связанная с некорректной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06949 | Уязвимость системы управления службой поддержки FreeScout, связанная с некорректной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06950 | Уязвимость системы управления службой поддержки FreeScout, связанная с некорректной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-06951 | Уязвимость системы управления службой поддержки FreeScout, связанная с некорректной авторизацией, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07336 | Уязвимость прокси-сервера Dante, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-07597 | Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07632 | Уязвимость гибридного облачного решения для управления тонкими клиентами Dell Wyse Management Suite, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-07813 | Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с неправильной авторизацией, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-07821 | Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08092 | Уязвимость системы управления контейнерами и менеджера виртуальных машин Incus, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности и проводить спуфинг-атаки |
| BDU:2025-08185 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с отсутствием авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой инфор... |
| BDU:2025-08186 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с отсутствием авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой инфор... |
| BDU:2025-08193 | Уязвимость компонента Modbus TCP Packet Handler микропрограммного обеспечения Ethernet модулей WISE-4010LAN, WISE-4050LAN, WISE-4060LAN, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-08197 | Уязвимость асинхронной системы обмена сообщениями Apache ActiveMQ Artemis, связанная с некорректной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-08356 | Уязвимость программы системного администрирования Sudo, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-08376 | Уязвимость программной платформы ColdFusion, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2025-08463 | Уязвимость корпоративного VPN-программного обеспечения Pritunl Client, связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2025-08559 | Уязвимость компонента Azure Auth платформы для архивирования корпоративной информации Vault Enterprise, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-08634 | Уязвимость компонента PIA Core Technology пакета бизнес-приложений Oracle PeopleSoft Enterprise PeopleTools, позволяющая нарушителю получить доступ на чтение, изменение и удаление информации |
| BDU:2025-08639 | Уязвимость компонента Unified Audit системы управления базами данных Oracle Database Server, позволяющая нарушителю получить доступ на чтение, изменение и удаление информации |
| BDU:2025-08640 | Уязвимость компонента Oracle Database системы управления базами данных Oracle Database Server, позволяющая нарушителю получить полный контроль над приложением |
| BDU:2025-08642 | Уязвимость компонента Multiplatform Sync Errors платформы управления выездным обслуживанием Oracle Mobile Field Service системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на чтение, изменени... |
| BDU:2025-08703 | Уязвимость компонента Server: Components Services системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08704 | Уязвимость компонента InnoDB системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ на обновление, добавление и удаление данных |
| BDU:2025-08705 | Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-08720 | Уязвимость компонента Internal Operations платформы управления арендными и финансовыми операциями Oracle Lease and Finance Management системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю получить доступ на чт... |
| BDU:2025-08722 | Уязвимость компонента PIA Core Technology пакета бизнес-приложений Oracle PeopleSoft Enterprise PeopleTools, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08767 | Уязвимость веб-сервера операционных систем Juniper Networks Junos OS, позволяющая нарушителю получить доступ к веб-диспетчеру устройств |
| BDU:2025-08814 | Уязвимость компонента SDK-Software Development Kit программного средства управления жизненным циклом продукта для предприятий Oracle Agile PLM Framework, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-09094 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-09095 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-09096 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с неправильной авторизацией, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-09115 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09148 | Уязвимость системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09170 | Уязвимость конфигурации системы Version Control System (VCS) системы непрерывной интеграции и доставки приложений (CI/CD) JetBrains TeamCity, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09430 | Уязвимость компонента CoreMedia Playback операционных систем macOS, iOS, iPadOS, watchOS, tvOS, visionOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09505 | Уязвимость компонента Single Sign-On операционных систем macOS, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным |
| BDU:2025-09586 | Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить доступ на изменение данных |
| BDU:2025-09929 | Уязвимость средства защиты FortiClient for MAC, связанная с недостатками процедуры авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-10365 | Уязвимость микропрограммного обеспечения маршрутизаторов Huawei EchoLife EG8141A5, EG8145V5 и EG8145V5-V2, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10416 | Уязвимость функции Load Rollback() веб-интерфейса микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM RST2428P, SCALANCE XC-300 Series, SCALANCE XC-400 Series, SCALANCE XCM-/XRM-/XCH-/XRH-300 Series, SCALANCE XM-400/XR-500 Ser... |
| BDU:2025-10417 | Уязвимость веб-интерфейса микропрограммного обеспечения платформ маршрутизации и коммутации RUGGEDCOM RST2428P, SCALANCE XC-300 Series, SCALANCE XC-400 Series, SCALANCE XCM-/XRM-/XCH-/XRH-300 Series, SCALANCE XM-400/XR-500 Series, SCALANCE XR-300 (6G... |
| BDU:2025-10537 | Уязвимость компонента SLD системы управления ресурсами предприятия SAP Business One, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-10667 | Уязвимость интегрированной среды разработки программного обеспечения IntelliJ IDEA, связанная с ошибками авторизации, позволяющая нарушителю обнаружить скрытые файлы |
| BDU:2025-10807 | Уязвимость интерфейса управления микропрограммного обеспечения процессоров обработки данных NVIDIA BlueField, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-10814 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная c недостатками процедуры авторизации, позволяющая нарушителю читать произвольные файлы |
| BDU:2025-10871 | Уязвимость плагина NodeRestriction сервера kube-apiserver программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-10987 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab EE/CE, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-10994 | Уязвимость приложения для обмена сообщениями и видеозвонков WhatsApp, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-10999 | Уязвимость компонента GPS микропрограммного обеспечения встраиваемых плат Qualcomm, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2025-11105 | Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager (AEM), связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищаемую информацию |
| BDU:2025-11288 | Уязвимость браузера Safari операционных систем iOS и iPadOS, связанная с некорректной авторизацией, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес |
| BDU:2025-11352 | Уязвимость расширения App Within Minutes Application (AWM) платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-11574 | Уязвимость функции startSpaActivityForApp() модуля SpaActivity.kt операционных систем Android, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2025-11578 | Уязвимость функции onCreate() модуля SelectAccountActivity.java операционных систем Android, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2025-11759 | Уязвимость системы управления базами данных MongoDB, связанная с неправильной авторизацией, позволяющая нарушителю обойти внедренные ограничения безопасности |
| BDU:2025-12356 | Уязвимость модуля user систем управления конфигурациями Ansible Core и Ansible, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2025-12380 | Уязвимость драйвера виртуальных графических процессоров NVIDIA GPU Display Driver, связанная с некорректной авторизацией, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-12442 | Уязвимость набора утилит VMware Tools, связанная с недостатками процедуры авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-12645 | Уязвимость программного средства для управления производственными процессами ABB eSOMS, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к защищаемой информации |
| BDU:2025-12725 | Уязвимость универсальной системы мониторинга Zabbix , связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-12726 | Уязвимость универсальной системы мониторинга Zabbix , связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-12950 | Уязвимость программного интерфейса платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с недостаточной проверкой подлинности выполняемых запросов, позволяющая нарушителю осуществить CSRF-атаку |
| BDU:2025-12958 | Уязвимость программных интеграционных платформ SAP NetWeaver Application Server ABAP и ABAP Platform, связанная с неправильной авторизацией, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-13055 | Уязвимость компонента /mailbox/mailbox_id/knowledge-base модуля Knowledge Base системы управления службой поддержки FreeScout, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13056 | Уязвимость компонента /thread/id/download-attachments модуля Extended Attachments системы управления службой поддержки FreeScout, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13058 | Уязвимость компонента /custom-fields/ajax модуля Custom Fields системы управления службой поддержки FreeScout, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13059 | Уязвимость компонента /kanban/ajax модуля Kanban системы управления службой поддержки FreeScout, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13062 | Уязвимость компонента /kanban/ajax модуля Kanban системы управления службой поддержки FreeScout, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-13187 | Уязвимость микропрограммного обеспечения сетевых устройств Moxa серий EDR-G9010, EDR-8010, EDF-G1002-BP, TN-4900, NAT-102, NAT-108, OnCell G4302-LTE4, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный... |
| BDU:2025-13411 | Уязвимость сервера хранения объектов MinIO, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-13435 | Уязвимость сервиса скриптов Solr платформы создания совместных веб-приложений XWiki Platform XWiki , позволяющая нарушителю удалять произвольные файлы |
| BDU:2025-13689 | Уязвимость прикладных программных интерфейсов облачной платформы аналитики Elastic Cloud Enterprise, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-13974 | Уязвимость системы управления взаимоотношениями с клиентами SuiteCRM, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ на чтение и изменение данных |
| BDU:2025-14380 | Уязвимость программного инструмента организации безопасного доступа для кластеров Kubernetes Teleport, связанная с недостатками механизма авторизации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищае... |
| BDU:2025-14458 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками процедуры авторизации, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2025-14461 | Уязвимость реализации протокола OAuth программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-14463 | Уязвимость интерфейса GraphQL API программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных |
| BDU:2025-14621 | Уязвимость компонента PolicyKit пакета Debian zulucrypt, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-14687 | Уязвимость программного комплекса "ALD Pro", связанная с некорректно установленными правами доступа в службе каталогов, позволяющая нарушителю получить несанкционированный доступ к ключам kerberos других учетных записей |
| BDU:2025-14919 | Уязвимость набора инструментов для обеспечения безопасного доступа к контенту Adobe Pass Authentication Android SDK, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти существующие ограничения безопасности |
| BDU:2025-14930 | Уязвимость прикладного программного интерфейса программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостатками механизма авторизации, позволяющая нарушителю выполнять несанкционированные операции |
| BDU:2025-15206 | Уязвимость приложения для обмена мгновенными сообщениями Mattermost, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить доступ на чтение, изменение и удаление данных |
| BDU:2025-15285 | Уязвимость компонента GetPasswordExpirationDate интерфейса прикладного программирования Exchange Web Services, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15427 | Уязвимость программного средства мониторинга и анализа логов Nagios Log Server, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-15663 | Уязвимость сервера Siemens SINEMA Remote Connect, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности и получить несанкционированный доступ к защищаемой информации |
| BDU:2025-15966 | Уязвимость конечной точки API system/stop службы Elasticsearch программного средства мониторинга и анализа логов Nagios Log Server, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2025-16013 | Уязвимость компонента API приложения для обмена мгновенными сообщениями Mattermost, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации |
| BDU:2025-16016 | Уязвимость функции Open in Channel приложения для обмена мгновенными сообщениями Mattermost, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-16033 | Уязвимость микропрограммного обеспечения встраиваемых плат Qualcomm, связанная с недостатками механизма авторизации, позволяющая нарушителю вызвать повреждение памяти |
| BDU:2025-16293 | Уязвимость приложения для обработки и анализа данных Splunk MCP Server, связанная с ошибками авторизации, позволяющая нарушителю обойти ограничения списка разрешённых команд SPL в MCP (Model Context Protocol) |
| BDU:2025-16384 | Уязвимость плагина AI Engine системы управления содержимым сайта WordPress, связанная с некорректной авторизацией, позволяющая нарушителю повысить свои привилегии и выполнить произвольные команды |
| BDU:2025-16428 | Уязвимость ПЛК NLcon-CE-485-C, связанная с недостатками процедуры авторизации сервиса Codesys v2, позволяющая нарушителю получить полный доступ к среде исполнения Codesys v2 |
| BDU:2025-16438 | Уязвимость интерфейса программного средства мониторинга и анализа логов Nagios Log Server, позволяющая нарушителю получить доступ на чтение и изменение данных |
| BDU:2026-00011 | Уязвимость сервиса визуализации данных Kibana, связанная с ошибками авторизации, позволяющая нарушителю повысить привилегии |
| BDU:2026-00045 | Уязвимость компонента API Endpoint бэк-офисного приложения Rising Technosoft CAP Back Office Application, позволяющая нарушителю получить несанкционированный доступ к учетным записям |
| BDU:2026-00164 | Уязвимость пакета управления рассылками электронных писем GNU Mailman, связанная с недостатками механизма авторизации, позволяющая нарушителю создавать произвольные файлы |
| BDU:2026-00228 | Уязвимость интегрированной среды для управления жизненным циклом разработки IBM Jazz Foundation, связанная с некорректной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2026-00725 | Уязвимость HTML-редактора Adobe Dreamweaver, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить произвольный код |
| BDU:2026-00939 | Уязвимость микропрограммного обеспечения беспроводных Wi-Fi маршрутизаторов Tenda W30E, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии |
| BDU:2026-00979 | Уязвимость программной платформы на базе git для совместной работы над кодом GitLab CE/EE, связанная с недостатками процедуры авторизации, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2026-02087 | Уязвимость гипервизора Parallels Desktop, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
| BDU:2026-02092 | Уязвимость геоинформационного программного обеспечения QGIS, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код |
| BDU:2026-03028 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2026-03029 | Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками механизма авторизации, позволяющая нарушителю повысить свои привилегии |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2010-1435 | Joomla! Core is prone to a security bypass vulnerability. Exploiting this issue may allow attackers to perform otherwise rest... |
| CVE-2010-2525 | A flaw was discovered in gfs2 file system’s handling of acls (access control lists). An unprivileged local attacker could exp... |
| CVE-2016-9575 | Ipa versions 4.2.x, 4.3.x before 4.3.3 and 4.4.x before 4.4.3 did not properly check the user's permissions while modifying c... |
| CVE-2017-0910 | In Zulip Server before 1.7.1, on a server with multiple realms, a vulnerability in the invitation system lets an authorized u... |
| CVE-2017-12197 | It was found that libpam4j up to and including 1.8 did not properly validate user accounts when authenticating. A user with a... |
| CVE-2017-15091 | An issue has been found in the API component of PowerDNS Authoritative 4.x up to and including 4.0.4 and 3.x up to and includ... |
| CVE-2017-16858 | The 'crowd-application' plugin module (notably used by the Google Apps plugin) in Atlassian Crowd from version 1.5.0 before v... |
| CVE-2017-18095 | The SnippetRPCServiceImpl class in Atlassian Crucible before version 4.5.1 (the fixed version 4.5.x) and before 4.6.0 allows... |
| CVE-2017-2599 | Jenkins before versions 2.44 and 2.32.2 is vulnerable to an insufficient permission check. This allows users with permissions... |
| CVE-2017-2673 | An authorization-check flaw was discovered in federation configurations of the OpenStack Identity service (keystone). An auth... |
| CVE-2017-7470 | It was found that spacewalk-channel can be used by a non-admin user or disabled users to perform administrative tasks due to... |
| CVE-2017-7505 | Foreman since version 1.5 is vulnerable to an incorrect authorization check due to which users with user management permissio... |
| CVE-2018-1057 | On a Samba 4 AD DC the LDAP server in all versions of Samba from 4.0.0 onwards incorrectly validates permissions to modify pa... |
| CVE-2018-10910 | A bug in Bluez may allow for the Bluetooth Discoverable state being set to on when no Bluetooth agent is registered with the... |
| CVE-2018-10925 | It was discovered that PostgreSQL versions before 10.5, 9.6.10, 9.5.14, 9.4.19, and 9.3.24 failed to properly check authoriza... |
| CVE-2018-20826 | The inline-create rest resource in Jira before version 7.12.3 allows authenticated remote attackers to set the reporter in is... |
| CVE-2018-8790 | Check Point ZoneAlarm version 15.3.064.17729 and below expose a WCF service that can allow a local low privileged user to exe... |
| CVE-2018-8927 | Improper authorization vulnerability in SYNO.Cal.Event in Calendar before 2.1.2-0511 allows remote authenticated users to cre... |
| CVE-2019-13417 | Search Guard versions before 24.0 had an issue that field caps and mapping API leak field names (but not values) for fields w... |
| CVE-2019-14832 | A flaw was found in the Keycloak REST API before version 8.0.0 where it would permit user access from a realm the user was no... |
| CVE-2019-14995 | The /rest/api/1.0/render resource in Jira before version 8.4.0 allows remote anonymous attackers to determine if an attachmen... |
| CVE-2019-3399 | The BrowseProjects.jspa resource in Jira before version 7.13.2, and from version 8.0.0 before version 8.0.2 allows remote att... |
| CVE-2019-3401 | The ManageFilters.jspa resource in Jira before version 7.13.3 and from version 8.0.0 before version 8.1.1 allows remote attac... |
| CVE-2019-3403 | The /rest/api/2/user/picker rest resource in Jira before version 7.13.3, from version 8.0.0 before version 8.0.4, and from ve... |
| CVE-2019-3827 | An incorrect permission check in the admin backend in gvfs before version 1.39.4 was found that allows reading and modify arb... |
| CVE-2019-3831 | A vulnerability was discovered in vdsm, version 4.19 through 4.30.3 and 4.30.5 through 4.30.8. The systemd_run function expos... |
| CVE-2019-3848 | A vulnerability was found in moodle before versions 3.6.3, 3.5.5 and 3.4.8. Permissions were not correctly checked before loa... |
| CVE-2019-3887 | A flaw was found in the way KVM hypervisor handled x2APIC Machine Specific Rregister (MSR) access with nested(=1) virtualizat... |
| CVE-2019-6836 | A CWE-863: Incorrect Authorization vulnerability exists in U.motion Server (MEG6501-0001 - U.motion KNX server, MEG6501-0002... |
| CVE-2019-6838 | A CWE-863: Incorrect Authorization vulnerability exists in U.motion Server (MEG6501-0001 - U.motion KNX server, MEG6501-0002... |
| CVE-2019-6855 | Incorrect Authorization vulnerability exists in EcoStruxure Control Expert (all versions prior to 14.1 Hot Fix), Unity Pro (a... |
| CVE-2019-8445 | Several worklog rest resources in Jira before version 7.13.7, and from version 8.0.0 before version 8.3.2 allow remote attack... |
| CVE-2019-8446 | The /rest/issueNav/1/issueTable resource in Jira before version 8.3.2 allows remote attackers to enumerate usernames via an i... |
| CVE-2020-11844 | Incorrect Authorization vulnerability in the Micro Focus Container Deployment Foundation affecting multiple products. |
| CVE-2020-12503 | Pepperl+Fuchs improper authorization affects multiple Comtrol RocketLinx products |
| CVE-2020-14321 | In Moodle before 3.9.1, 3.8.4, 3.7.7 and 3.5.13, teachers of a course were able to assign themselves the manager role within... |
| CVE-2020-15110 | Possible pod name collisions in jupyterhub-kubespawner |
| CVE-2020-15120 | Authorization Bypass in I hate money |
| CVE-2020-15126 | Information disclosure through Viewer query in parse-server |
| CVE-2020-15163 | Invalid root may become trusted root in The Update Framework (TUF) |
| CVE-2020-15246 | Local File Inclusion by unauthenticated users |
| CVE-2020-15248 | Privilege escalation by backend users assigned to the default "Publisher" system role |
| CVE-2020-15251 | Privilege Escalation in Channelmgnt plug-in for Sopel |
| CVE-2020-15278 | Unauthorized privilege escalation in Mod module |
| CVE-2020-1725 | A flaw was found in keycloak before version 13.0.0. In some scenarios a user still has access to a resource after changing th... |
| CVE-2020-1729 | A flaw was found in SmallRye's API through version 1.6.1. The API can allow other code running within the application server... |
| CVE-2020-24401 | Incorrect permissions following the deletion of a user role or deactivation of a user |
| CVE-2020-25167 | OSIsoft PI Vision Incorrect Authorization |
| CVE-2020-25239 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.0). The webserver could allow unauthor... |
| CVE-2020-25240 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.0). Unpriviledged users can access ser... |
| CVE-2020-25655 | An issue was discovered in ManagedClusterView API, that could allow secrets to be disclosed to users without the correct perm... |
| CVE-2020-25699 | In moodle, insufficient capability checks could lead to users with the ability to course restore adding additional capabiliti... |
| CVE-2020-25722 | Multiple flaws were found in the way samba AD DC implemented access and conformance checking of stored data. An attacker coul... |
| CVE-2020-26223 | Authorization bypass in Spree |
| CVE-2020-26250 | Base class whitelist configuration ignored in OAuthenticator |
| CVE-2020-28211 | A CWE-863: Incorrect Authorization vulnerability exists in PLC Simulator on EcoStruxureª Control Expert (now Unity Pro) (all... |
| CVE-2020-28397 | A vulnerability has been identified in SIMATIC Drive Controller family (All versions < V2.9.2), SIMATIC ET 200SP Open Control... |
| CVE-2020-3404 | Cisco IOS XE Software Consent Token Bypass Vulnerability |
| CVE-2020-3467 | Cisco Identity Services Engine Authorization Bypass Vulnerability |
| CVE-2020-35501 | A flaw was found in the Linux kernels implementation of audit rules, where a syscall can unexpectedly not be correctly not be... |
| CVE-2020-3578 | Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software WebVPN Portal Access Rule Bypass Vulnerabili... |
| CVE-2020-36238 | The /rest/api/1.0/render resource in Jira Server and Data Center before version 8.5.13, from version 8.6.0 before version 8.1... |
| CVE-2020-36287 | The dashboard gadgets preference resource of the Atlassian gadgets plugin used in Jira Server and Jira Data Center before ver... |
| CVE-2020-36610 | annyshow DuxCMS cross-site request forgery |
| CVE-2020-36622 | sah-comp bienlein cross-site request forgery |
| CVE-2020-36623 | Pengu index.js runApp cross-site request forgery |
| CVE-2020-36625 | destiny.gg chat main.go websocket.Upgrader cross-site request forgery |
| CVE-2020-5239 | Unspecified vulnerability in the fetchmail script in Mailu |
| CVE-2020-5418 | Cloud Controller allows users with no roles to list droplets |
| CVE-2020-6214 | SAP S/4HANA (Financial Products Subledger), version 100, uses an incorrect authorization object in some reports. Although the... |
| CVE-2020-7300 | DLP ePO extension - Improper Authorization |
| CVE-2020-7499 | A CWE-863: Incorrect Authorization vulnerability exists in U.motion Servers and Touch Panels (affected versions listed in the... |
| CVE-2020-8142 | A security restriction bypass vulnerability has been discovered in Revive Adserver version < 5.0.5 by HackerOne user hoangn14... |
| CVE-2021-1143 | Cisco Connected Mobile Experiences User Enumeration Vulnerability |
| CVE-2021-1144 | Cisco Connected Mobile Experiences Privilege Escalation Vulnerability |
| CVE-2021-1539 | Cisco ASR 5000 Series Software Authorization Bypass Vulnerabilities |
| CVE-2021-1540 | Cisco ASR 5000 Series Software Authorization Bypass Vulnerabilities |
| CVE-2021-20179 | A flaw was found in pki-core. An attacker who has successfully compromised a key could use this flaw to renew the correspondi... |
| CVE-2021-20188 | A flaw was found in podman before 1.7.0. File permissions for non-root users running in a privileged container are not correc... |
| CVE-2021-20229 | A flaw was found in PostgreSQL in versions before 13.2. This flaw allows a user with SELECT privilege on one column to craft... |
| CVE-2021-20282 | When creating a user account, it was possible to verify the account without having access to the verification email link/secr... |
| CVE-2021-20283 | The web service responsible for fetching other users' enrolled courses did not validate that the requesting user had permissi... |
| CVE-2021-20290 | An improper authorization handling flaw was found in Foreman. The OpenSCAP plugin for the smart-proxy allows foreman clients... |
| CVE-2021-20306 | A flaw was found in the BPMN editor in version jBPM 7.51.0.Final. Any authenticated user from any project can see the name of... |
| CVE-2021-21013 | Magento Commerce Insecure Direct Object Reference Could Lead To Information Disclosure |
| CVE-2021-21276 | Privilege escalation in Polr |
| CVE-2021-21286 | Authorization Bypass in AVideo Platform |
| CVE-2021-21318 | Removing access may not effect published series |
| CVE-2021-21367 | Incorrect Authorization in switchboard-plug-bluetooth |
| CVE-2021-21389 | BuddyPress privilege escalation via REST API |
| CVE-2021-21411 | Incorrect authorization in OAuth2-Proxy |
| CVE-2021-21552 | Dell Wyse Windows Embedded System versions WIE10 LTSC 2019 and earlier contain an improper authorization vulnerability. A loc... |
| CVE-2021-24207 | WP Page Builder < 1.2.4 - Insecure default configuration Allows Subscribers Editing Access to Posts |
| CVE-2021-24244 | WPBakery Page Builder Clipboard < 4.5.8 - Unauthorised Arbitrary License Options Update |
| CVE-2021-24278 | Redirection for Contact Form 7 < 2.3.4 - Unauthenticated Arbitrary Nonce Generation |
| CVE-2021-24279 | Redirection for Contact Form 7 < 2.3.4 - Authenticated Arbitrary Plugin Installation |
| CVE-2021-24281 | Redirection for Contact Form 7 < 2.3.4 - Authenticated Arbitrary Post Deletion |
| CVE-2021-24282 | Redirection for Contact Form 7 < 2.3.4 - Unprotected AJAX Actions |
| CVE-2021-24379 | Comments Like Dislike < 1.1.4 - Add Like/Dislike Bypass |
| CVE-2021-24405 | Easy Cookie Policy <= 1.6.2 - Broken Access Control to Stored Cross-Site Scripting |
| CVE-2021-24652 | PostX Gutenberg Blocks for Post Grid < 2.4.10 - Missing Access Controls |
| CVE-2021-24717 | AutomatorWP < 1.7.6 - Missing Authorization and Privilege Escalation |
| CVE-2021-24733 | WP Post Page Clone < 1.2 - Unauthorised Post Access |
| CVE-2021-24742 | Logo Slider and Showcase < 1.3.37 - Editor Plugin's Settings Update |
| CVE-2021-24757 | Stylish Price List < 6.9.0 - Unauthenticated Arbitrary Image Upload |
| CVE-2021-24770 | Stylish Price List < 6.9.1 - Subscriber+ Arbitrary Image Upload |
| CVE-2021-24783 | Post Expirator < 2.6.0 - Contributor+ Arbitrary Post Schedule Deletion |
| CVE-2021-24788 | Batch Cat <= 0.3 - Subscriber+ Arbitrary Categories Add/Set/Delete to Posts |
| CVE-2021-24819 | Page/Post Content Shortcode <= 1.0 - Contributor+ Arbitrary Posts/Pages Access |
| CVE-2021-24824 | Custom Content Shortcode < 4.0.1 - Unauthorised Arbitrary Post Metadata Access |
| CVE-2021-24851 | Insert Pages < 3.7.0 - Contributor+ Arbitrary Posts/Pages Access |
| CVE-2021-24872 | Get Custom Field Values < 4.0 - Contributors+ Arbitrary Post Metadata Access |
| CVE-2021-24905 | Advanced Contact form 7 DB < 1.8.7 - Subscriber+ Arbitrary File Deletion |
| CVE-2021-24917 | WPS Hide Login < 1.9.1 - Protection Bypass with Referer-Header |
| CVE-2021-24947 | RVM - Responsive Vector Maps < 6.4.2 - Subscriber+ Arbitrary File Read |
| CVE-2021-25097 | LabTools <= 1.0 - Subscriber+ Arbitrary Publication Deletion |
| CVE-2021-26563 | Incorrect authorization vulnerability in synoagentregisterd in Synology DiskStation Manager (DSM) before 6.2.4-25553 allows l... |
| CVE-2021-29437 | Account compromise by man-in-the-middle attack |
| CVE-2021-29439 | Plugins can be installed with minimal admin privileges |
| CVE-2021-29943 | Apache Solr Unprivileged users may be able to perform unauthorized read/write to collections |
| CVE-2021-32701 | Possible bypass of token claim validation when OAuth2 Introspection caching is enabled |
| CVE-2021-32777 | Incorrect concatenation of multiple value request headers in ext-authz extension |
| CVE-2021-32779 | Incorrectly handling of URI '#fragment' element as part of the path element |
| CVE-2021-33718 | A vulnerability has been identified in Mendix Applications using Mendix 7 (All versions < V7.23.22), Mendix Applications usin... |
| CVE-2021-3456 | An improper authorization handling flaw was found in Foreman. The Salt plugin for the smart-proxy allows foreman clients to e... |
| CVE-2021-3457 | An improper authorization handling flaw was found in Foreman. The Shellhooks plugin for the smart-proxy allows Foreman client... |
| CVE-2021-34647 | Ninja Forms <= 3.5.7 Sensitive Information Disclosure |
| CVE-2021-34648 | Ninja Forms <= 3.5.7 Unprotected REST-API to Email Injection |
| CVE-2021-3469 | Foreman versions before 2.3.4 and before 2.4.0 is affected by an improper authorization handling flaw. An authenticated attac... |
| CVE-2021-3499 | A vulnerability was found in OVN Kubernetes in versions up to and including 0.3.0 where the Egress Firewall does not reliably... |
| CVE-2021-3560 | It was found that polkit could be tricked into bypassing the credential checks for D-Bus requests, elevating the privileges o... |
| CVE-2021-3563 | A flaw was found in openstack-keystone. Only the first 72 characters of an application secret are verified allowing attackers... |
| CVE-2021-36039 | Magento Commerce `quoteId` parameter Incorrect Authorization Vulnerability Could Lead To Information Disclosure |
| CVE-2021-3658 | bluetoothd from bluez incorrectly saves adapters' Discoverable status when a device is powered down, and restores it when pow... |
| CVE-2021-36778 | Exposure of repository credentials to external third-party sources |
| CVE-2021-3763 | A flaw was found in the Red Hat AMQ Broker management console in version 7.8 where an existing user is able to access some li... |
| CVE-2021-38312 | Gutenberg Template Library & Redux Framework <= 4.2.11 Incorrect Authorization check to Arbitrary plugin installation and pos... |
| CVE-2021-39156 | Fragments in Path May Lead to Authorization Policy Bypass |
| CVE-2021-39206 | Incorrect Authorization with specially crafted requests |
| CVE-2021-39321 | Sassy Social Share 3.3.23 PHP Object Injection |
| CVE-2021-3956 | A read-only authentication bypass vulnerability was reported in the Third Quarter 2021 release of Lenovo XClarity Controller... |
| CVE-2021-40504 | A certain template role in SAP NetWeaver Application Server for ABAP and ABAP Platform - versions 700, 701, 702, 710, 711, 73... |
| CVE-2021-41189 | Communities and collections administrators can escalate their privilege up to system administrator |
| CVE-2021-41230 | OIDC claims not updated from Identity Provider in Pomerium |
| CVE-2021-41241 | Advanced permissions is not respected for subfolders in Nextcloud server |
| CVE-2021-4133 | A flaw was found in Keycloak in versions from 12.0.0 and before 15.1.1 which allows an attacker with any existing user accoun... |
| CVE-2021-41528 | Improper authorization related to Import / Export interfaces on RISC Platform |
| CVE-2021-41571 | Pulsar Admin API allows access to data from other tenants using getMessageById API |
| CVE-2021-42025 | A vulnerability has been identified in Mendix Applications using Mendix 8 (All versions < V8.18.13), Mendix Applications usin... |
| CVE-2021-42026 | A vulnerability has been identified in Mendix Applications using Mendix 8 (All versions < V8.18.13), Mendix Applications usin... |
| CVE-2021-4268 | phpRedisAdmin cross-site request forgery |
| CVE-2021-4275 | katlings pyambic-pentameter cross-site request forgery |
| CVE-2021-43553 | OSIsoft PI Vision |
| CVE-2021-43560 | A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. Insuff... |
| CVE-2022-0333 | A flaw was found in Moodle in versions 3.11 to 3.11.4, 3.10 to 3.10.8, 3.9 to 3.9.11 and earlier unsupported versions. The ca... |
| CVE-2022-0334 | A flaw was found in Moodle in versions 3.11 to 3.11.4, 3.10 to 3.10.8, 3.9 to 3.9.11 and earlier unsupported versions. Insuff... |
| CVE-2022-0580 | Incorrect Authorization in librenms/librenms |
| CVE-2022-0594 | Shareaholic < 9.7.6 - Information Disclosure |
| CVE-2022-0633 | UpdraftPlus Free < 1.22.3 & Premium < 2.22.3 - Subscriber+ Backup Download |
| CVE-2022-0670 | A flaw was found in Openstack manilla owning a Ceph File system "share", which enables the owner to read/write any manilla sh... |
| CVE-2022-0720 | Amelia < 1.0.47 - Customer+ Arbitrary Appointments Update and Sensitive Data Disclosure |
| CVE-2022-0762 | Incorrect Authorization in microweber/microweber |
| CVE-2022-0775 | WooCommerce < 6.2.1 - Subscriber+ Arbitrary Comment Deletion |
| CVE-2022-0825 | Amelia < 1.0.49 - Customer+ Arbitrary Appointments Status Update |
| CVE-2022-0866 | This is a concurrency issue that can result in the wrong caller principal being returned from the session context of an EJB t... |
| CVE-2022-0920 | Salon booking system < 7.6.3 - Customer+ Bookings/Customers Data Disclosure |
| CVE-2022-0981 | A flaw was found in Quarkus. The state and potentially associated permissions can leak from one web request to another in Res... |
| CVE-2022-0984 | Users with the capability to configure badge criteria (teachers and managers by default) were able to configure course badges... |
| CVE-2022-1223 | Incorrect Authorization in phpipam/phpipam |
| CVE-2022-1401 | Insufficient validation of provided paths in Exago WrImageResource.axd |
| CVE-2022-1466 | Due to improper authorization, Red Hat Single Sign-On is vulnerable to users performing actions that they should not be allow... |
| CVE-2022-1589 | Change wp-admin Login < 1.1.0 - Unauthenticated Arbitrary Settings Update |
| CVE-2022-1706 | A vulnerability was found in Ignition where ignition configs are accessible from unprivileged containers in VMs running on VM... |
| CVE-2022-20928 | A vulnerability in the authentication and authorization flows for VPN connections in Cisco Adaptive Security Appliance (ASA)... |
| CVE-2022-21141 | Airspan Networks Mimosa Incorrect Authorization |
| CVE-2022-2155 | A vulnerability exists in the Lumada APM’s User Asset Group feature due to a flaw in access control mechanism implementation... |
| CVE-2022-21701 | Privileged Escalation in Istio |
| CVE-2022-21706 | Multi-use invitations can grant access to other organizations in Zulip |
| CVE-2022-21707 | Incorrect Authorization in wasmCloud |
| CVE-2022-21713 | Exposure of Sensitive Information in Grafana |
| CVE-2022-22157 | Junos OS: SRX Series: Traffic classification vulnerability when 'no-syn-check' is enabled |
| CVE-2022-22167 | Junos OS: SRX Series: If no-syn-check is enabled, traffic classified as UNKNOWN gets permitted by pre-id-default-policy |
| CVE-2022-22307 | IBM Security Guardium privilege escalation |
| CVE-2022-22978 | In spring security versions prior to 5.4.11+, 5.5.7+ , 5.6.4+ and older unsupported versions, RegexRequestMatcher can easily... |
| CVE-2022-23009 | On BIG-IQ Centralized Management 8.x before 8.1.0, an authenticated administrative role user on a BIG-IQ managed BIG-IP devic... |
| CVE-2022-23451 | An authorization flaw was found in openstack-barbican. The default policy rules for the secret metadata API allowed any authe... |
| CVE-2022-23452 | An authorization flaw was found in openstack-barbican, where anyone with an admin role could add secrets to a different proje... |
| CVE-2022-23473 | Tuleap MediaWiki standalone "readers" can also edit pages |
| CVE-2022-23490 | Improper access control to polling votes |
| CVE-2022-2354 | WP-DBManager < 2.80.8 - Admin+ Remote Command Execution |
| CVE-2022-23551 | AAD Pod Identity obtaining token with backslash |
| CVE-2022-23553 | URL access filters bypass in Alpine |
| CVE-2022-23615 | Partial authorization bypass on document save in xwiki-platform |
| CVE-2022-23627 | Inadequate access verification when using proxy commands in ArchiSteamFarm |
| CVE-2022-23739 | Incorrect authorization check in GitHub Enterprise Server leading to escalation of privileges in GraphQL API requests from Gi... |
| CVE-2022-23741 | Incorrect authorization in GitHub Enterprise Server token generation leading to full admin access |
| CVE-2022-23822 | In this physical attack, an attacker may potentially exploit the Zynq-7000 SoC First Stage Boot Loader (FSBL) by bypassing au... |
| CVE-2022-24714 | Disclosure of hosts and related data, linked to decommissioned services in Icinga Web 2 |
| CVE-2022-24721 | Incorrect Authorization in org.cometd.oort |
| CVE-2022-24755 | Incorrect Authorization in Bareos Director |
| CVE-2022-24778 | Incorrect Authorization in imgcrypt |
| CVE-2022-24841 | Improper Authorization in github.com/fleetdm/fleet |
| CVE-2022-2597 | Visual Portfolio < 2.19.0 - Contributor+ CSS Injection |
| CVE-2022-27551 | HCL Launch could allow an authenticated user to obtain sensitive information (CVE-2022-27551) |
| CVE-2022-27608 | Forcepoint One Endpoint prior to version 22.01 installed on Microsoft Windows is vulnerable to registry key tampering by user... |
| CVE-2022-27609 | Forcepoint One Endpoint prior to version 22.01 installed on Microsoft Windows does not provide sufficient anti-tampering prot... |
| CVE-2022-27642 | This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of NETGEAR R6700v3 1.... |
| CVE-2022-27668 | Depending on the configuration of the route permission table in file 'saprouttab', it is possible for an unauthenticated atta... |
| CVE-2022-28774 | Under certain conditions, the SAP Host Agent logfile shows information which would otherwise be restricted. |
| CVE-2022-29619 | Under certain conditions SAP BusinessObjects Business Intelligence Platform 4.x - versions 420,430 allows user Administrator... |
| CVE-2022-3024 | Simple Bitcoin Faucets <= 1.7.0 - Unauthorised AJAX Call to Stored XSS |
| CVE-2022-30308 | FESTO: CECC-X-M1 and Servo Press Kit YJKP OS Command Injection vulnerability |
| CVE-2022-30309 | FESTO: CECC-X-M1 and Servo Press Kit YJKP OS Command Injection vulnerability |
| CVE-2022-30310 | FESTO: CECC-X-M1 and Servo Press Kit YJKP OS Command Injection vulnerability |
| CVE-2022-30311 | FESTO: CECC-X-M1 and Servo Press Kit YJKP OS Command Injection vulnerability |
| CVE-2022-31107 | Grafana account takeover via OAuth vulnerability |
| CVE-2022-31154 | Indirect Object Access in Sourcegraph Code Monitoring |
| CVE-2022-31155 | Unauthorized overwriting of saved searches in Sourcegraph |
| CVE-2022-31168 | Zulip Server insufficient authorization for changing bot roles |
| CVE-2022-31178 | Improper Authorization in eLabFTW |
| CVE-2022-31252 | permissions: chkstat does not check for group-writable parent directories or target files in safeOpen() |
| CVE-2022-31589 | Due to improper authorization check, business users who are using Israeli File from SHAAM program (/ATL/VQ23 transaction), ar... |
| CVE-2022-3188 | Dataprobe iBoot-PDU FW versions prior to 1.42.06162022 contain a vulnerability where unauthenticated users could open PHP ind... |
| CVE-2022-3248 | Openshift api admission checks does not enforce "custom-host" permissions |
| CVE-2022-32532 | Authentication Bypass Vulnerability |
| CVE-2022-33718 | An improper access control vulnerability in Wi-Fi Service prior to SMR AUG-2022 Release 1 allows untrusted applications to ma... |
| CVE-2022-34397 | Dell Unisphere for PowerMax vApp, VASA Provider vApp, and Solution Enabler vApp version 10.0.0.5 and below contains an autho... |
| CVE-2022-35692 | Adobe Commerce Improper Access Control Security feature bypass |
| CVE-2022-3582 | SourceCodester Simple Cold Storage Management System cross-site request forgery |
| CVE-2022-3585 | SourceCodester Simple Cold Storage Management System Contact Us cross-site request forgery |
| CVE-2022-36009 | Incorrect parsing of access level in gomatrixserverlib and dendrite |
| CVE-2022-36109 | Moby vulnerability relating to supplementary group permissions |
| CVE-2022-3879 | Car Dealer < 3.05 - Subscriber+ Arbitrary Plugin Installation |
| CVE-2022-3880 | AntiHacker < 4.20 - Subscriber+ Arbitrary Plugin Installation |
| CVE-2022-3881 | WPTools < 3.43 - Subscriber+ Arbitrary Plugin Installation |
| CVE-2022-3882 | WP Memory < 2.46 - Subscriber+ Arbitrary Plugin Installation |
| CVE-2022-3883 | StopBadBots < 7.24 - Subscriber+ Arbitrary Plugin Installation |
| CVE-2022-39214 | Authenticated users of Combodo iTop can take over any account |
| CVE-2022-39275 | Improper object type validation in saleor |
| CVE-2022-39302 | Ree6 may bypass webhook protection |
| CVE-2022-39337 | Permission bypass due to incorrect configuration in github.com/dromara/hertzbeat |
| CVE-2022-39352 | OpenFGA Authorization Bypass |
| CVE-2022-39388 | Istio may allow identity impersonation if user has localhost access |
| CVE-2022-3978 | NodeBB abort cross-site request forgery |
| CVE-2022-39955 | Partial rule set bypass in OWASP ModSecurity Core Rule Set by submitting a specially crafted HTTP Content-Type header |
| CVE-2022-39956 | Partial rule set bypass in OWASP ModSecurity Core Rule Set for HTTP multipart requests using character encoding in the Cont... |
| CVE-2022-39958 | Response body bypass in OWASP ModSecurity Core Rule Set via repeated HTTP Range header submission with a small byte range |
| CVE-2022-4013 | Hospital Management Center appointment.php cross-site request forgery |
| CVE-2022-4014 | FeehiCMS Post My Comment Tab cross-site request forgery |
| CVE-2022-40681 | A incorrect authorization in Fortinet FortiClient (Windows) 7.0.0 - 7.0.7, 6.4.0 - 6.4.9, 6.2.0 - 6.2.9 and 6.0.0 - 6.0.10 al... |
| CVE-2022-40682 | A incorrect authorization in Fortinet FortiClient (Windows) 7.0.0 - 7.0.7, 6.4.0 - 6.4.9, 6.2.0 - 6.2.9 and 6.0.0 - 6.0.10 al... |
| CVE-2022-4090 | rickxy Stock Management System cross-site request forgery |
| CVE-2022-41274 | SAP Disclosure Management - version 10.1, allows an authenticated attacker to exploit certain misconfigured application endpo... |
| CVE-2022-41918 | Issue with fine-grained access control of indices backing data streams |
| CVE-2022-41962 | BigBlueButton contains Incorrect Authorization for setting emoji status |
| CVE-2022-41970 | Nextcloud Server's disabled download shares still allow download through preview images |
| CVE-2022-42344 | [CVE-2021-36032] Magento IDOR Leads to Account Takeover |
| CVE-2022-42351 | AEM Incorrect Authorization Security feature bypass |
| CVE-2022-43438 | HWA JIUH DIGITAL TECHNOLOGY LTD. EasyTest - Incorrect Authorization |
| CVE-2022-4349 | CTF-hacker pwn delete.html cross-site request forgery |
| CVE-2022-43770 | Hitachi Vantara Pentaho Business Analytics Server - Incorrect Authorization |
| CVE-2022-43940 | Hitachi Vantara Pentaho Business Analytics Server - Incorrect Authorization |
| CVE-2022-4397 | morontt zend-blog-number-2 Comment Comment.php cross-site request forgery |
| CVE-2022-45353 | WordPress Betheme theme <= 26.6.1 is vulnerable to Broken Access Control |
| CVE-2022-45435 | SailPoint IdentityIQ Access Control Bypass |
| CVE-2022-46160 | Tuleap dashboards vulnerable to Incorrect Authorization |
| CVE-2022-46167 | Capsule vulnerable to privilege escalation by ServiceAccount deployed in a Tenant Namespace |
| CVE-2022-46258 | Incorrect Authorization in GitHub Enterprise Server leads to Action Workflow modifications without Workflow Scope |
| CVE-2022-46307 | SGUDA U-Lock - Broken Access Control |
| CVE-2022-46308 | SGUDA U-Lock - Broken Access Control |
| CVE-2023-0120 | Incorrect Authorization in GitLab |
| CVE-2023-0298 | Incorrect Authorization in firefly-iii/firefly-iii |
| CVE-2023-0328 | WPCode < 2.0.7 - Contributor+ WPCode Library Auth Key Update/Deletion |
| CVE-2023-0940 | ProfileGrid < 5.3.1 - Subscriber+ Arbitrary Password Reset |
| CVE-2023-0971 | Command Authentication Bypass in Z/IP Gateway |
| CVE-2023-1158 | Hitachi Vantara Pentaho Business Analytics Server - Incorrect Authorization |
| CVE-2023-1779 | Helmholz and MB Connect Line: Account takeover via password reset in multiple products |
| CVE-2023-1979 | Auth bypass in Web Stories for WordPress plugin |
| CVE-2023-22248 | Adobe Commerce Incorrect Authorization Security feature bypass |
| CVE-2023-22251 | Adobe Commerce Incorrect Authorization Security feature bypass |
| CVE-2023-22482 | JWT audience claim is not verified |
| CVE-2023-22500 | glpi Unauthorized access to inventory files |
| CVE-2023-22610 | A CWE-863: Incorrect Authorization vulnerability exists that could cause Denial of Service against the Geo SCADA server when... |
| CVE-2023-23476 | IBM Robotic Process Automation information disclosure |
| CVE-2023-23947 | Argo CD users with any cluster secret update access may update out-of-bounds cluster secrets |
| CVE-2023-24471 | Information disclosure via the debug function in assertions in Guardian/CMC before 22.6.2 |
| CVE-2023-24829 | Apache IoTDB Workbench: apache/iotdb-web-workbench: forge the JWTToken to access workbench |
| CVE-2023-24999 | Vault Fails to Verify if the AppRole SecretID Belongs to Role During a Destroy Operation |
| CVE-2023-25017 | Rifartek IOT Wall - Broken Access Control |
| CVE-2023-25043 | WordPress Data Tables Generator by Supsystic Plugin <= 1.10.25 is vulnerable to Broken Access Control |
| CVE-2023-2515 | Privilege escalation to system admin via personal access tokens |
| CVE-2023-25173 | containerd supplementary groups are not set up properly |
| CVE-2023-25547 | A CWE-863: Incorrect Authorization vulnerability exists that could allow remote code execution on upload and install package... |
| CVE-2023-25548 | A CWE-863: Incorrect Authorization vulnerability exists that could allow access to device credentials on specific DCE endpoi... |
| CVE-2023-2576 | Incorrect Authorization in GitLab |
| CVE-2023-25923 | IBM Security Key Lifecycle Manager denial of service |
| CVE-2023-25924 | IBM Security Key Lifecycle Manager improper authorization |
| CVE-2023-26056 | XWiki Platform allows macro execution as any user without programming rights through the context macro |
| CVE-2023-2640 | On Ubuntu kernels carrying both c914c0e27eb0 and "UBUNTU: SAUCE: overlayfs: Skip permission checking for trusted.overlayfs.*... |
| CVE-2023-26484 | On a compromised KubeVirt node, the virt-handler service account can be used to modify all node specs |
| CVE-2023-27485 | Insufficient verification of authorisation when accessing subresults in thmmniii/fbs-core |
| CVE-2023-27486 | Insufficient authorization validation between zones when xCAT zones are enabled |
| CVE-2023-27523 | Apache Superset: Improper data permission validation on Jinja templated queries |
| CVE-2023-27525 | Apache Superset: Incorrect default permissions for Gamma role |
| CVE-2023-27526 | Apache Superset: Improper Authorization check on import charts |
| CVE-2023-27578 | Galaxy vulnerable to unauthorized modification of pages/visualizations due to insufficient permission check |
| CVE-2023-2759 | TAPHOME Improper Authentication in Core Platform |
| CVE-2023-28634 | GLPI vulnerable to Privilege Escalation from Technician to Super-Admin |
| CVE-2023-28635 | Defining resource name as integer in vantage6 may give unintended access |
| CVE-2023-28698 | WADE DIGITAL DESIGN CO, LTD. FANTSY - Broken Acesss Control |
| CVE-2023-2877 | Formidable Forms < 6.3.1 - Subscriber+ Remote Code Execution |
| CVE-2023-29240 | BIG-IQ iControl REST Vulnerability |
| CVE-2023-29288 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2023-29295 | Insecure Direct Object Reference (IDOR) in Create Quote Function |
| CVE-2023-29296 | [Cloud] Customer suspects IDOR vulnerability |
| CVE-2023-3033 | Mobatime web application - broken authorisation mechanisms |
| CVE-2023-30428 | Apache Pulsar Broker: Incorrect Authorization Validation for Rest Producer |
| CVE-2023-30429 | Apache Pulsar: Incorrect Authorization for Function Worker when using mTLS Authentication through Pulsar Proxy |
| CVE-2023-30544 | Kiwi TCMS may allow user to update email address to unverified one |
| CVE-2023-3066 | Mobatime mobile application - Broken authorisation |
| CVE-2023-30771 | Apache IoTDB Workbench: apache/iotdb-web-workbench: forge the JWTToken to access workbench |
| CVE-2023-30840 | On a compromised node, the fluid-csi service account can be used to modify node specs |
| CVE-2023-31138 | DHIS2 Core vulnerable to Improper Access Control with PATCH requests |
| CVE-2023-31141 | OpenSearch issue with fine-grained access control during extremely rare race conditions |
| CVE-2023-31403 | Improper Access Control vulnerability in SAP Business One product installation |
| CVE-2023-32060 | DHIS2 Core Improper Access Control with Category Option Combination sharing in /api/trackedEntityInstance and /api/events |
| CVE-2023-32061 | Discourse Topic Creation Page Allows iFrame Tag without Restrictions |
| CVE-2023-32069 | XWiki Platform privilege escalation (PR)/RCE from account through class sheet |
| CVE-2023-32629 | Local privilege escalation vulnerability in Ubuntu Kernels overlayfs ovl_copy_up_meta_inode_data skip permission checks when... |
| CVE-2023-32672 | Apache Superset: SQL parser edge case bypasses data access authorization |
| CVE-2023-32683 | URL deny list bypass via oEmbed and image URLs when generating previews in Synapse |
| CVE-2023-32967 | QTS, QuTScloud |
| CVE-2023-33237 | Authentication Bypass Without Administrator Privilege |
| CVE-2023-3345 | LMS by Masteriyo < 1.6.8 - Information Exposure |
| CVE-2023-3379 | WAGO: Improper Privilege Management in web-based management |
| CVE-2023-34106 | GLPI vulnerable to unauthorized access to User data |
| CVE-2023-34107 | GLPI vulnerable to unauthorized access to KnowbaseItem data |
| CVE-2023-3443 | Incorrect Authorization in GitLab |
| CVE-2023-3444 | Incorrect Authorization in GitLab |
| CVE-2023-3484 | Incorrect Authorization in GitLab |
| CVE-2023-3485 | Insecure Default Authorization in Temporal Server |
| CVE-2023-3509 | Incorrect Authorization in GitLab |
| CVE-2023-3511 | Incorrect Authorization in GitLab |
| CVE-2023-35165 | AWS CDK EKS overly permissive trust policies |
| CVE-2023-35166 | Privilege escalation (PR) from account through TipsPanel |
| CVE-2023-3582 | Lack of channel membership check when linking a board to a channel |
| CVE-2023-3584 | Member can create team with team override scheme |
| CVE-2023-3586 | Disabling publicly-shared boards does not disable existing publicly available board links |
| CVE-2023-3590 | Deleted attachments in Boards remain accessible |
| CVE-2023-35908 | Apache Airflow: Access to DAGs without relevant permission |
| CVE-2023-35939 | GLPI vulnerable to unauthorized access to Dashboard data |
| CVE-2023-3613 | Guest accounts invited and added to channels by Welcomebot plugin |
| CVE-2023-36387 | Apache Superset: Improper API permission for low privilege users |
| CVE-2023-36556 | An incorrect authorization vulnerability [CWE-863] in FortiMail webmail version 7.2.0 through 7.2.2, version 7.0.0 through 7.... |
| CVE-2023-36826 | Sentry vulnerable to improper authorization on debug and artifact file downloads |
| CVE-2023-36829 | Sentry CORS misconfiguration vulnerability |
| CVE-2023-37491 | Improper Authorization check vulnerability in SAP Message Server |
| CVE-2023-37492 | Missing Authorization check in SAP NetWeaver AS ABAP and ABAP Platform |
| CVE-2023-37579 | Apache Pulsar Function Worker: Incorrect Authorization for Function Worker Can Leak Sink/Source Credentials |
| CVE-2023-37881 | Weak Access Control between Domains in Wing FTP Server <= 7.2.0 |
| CVE-2023-3814 | Advanced File Manager < 5.1.1 - Admin+ Arbitrary File/Folder Access |
| CVE-2023-38209 | Adobe Commerce Incorrect Authorization Security feature bypass |
| CVE-2023-38218 | Incorrect Authorization - Customer account takeover |
| CVE-2023-38368 | IBM Security Access Manager Docker information disclosure |
| CVE-2023-38389 | WordPress Jupiter X Core plugin <= 3.3.8 - Unauthenticated Account Takeover vulnerability |
| CVE-2023-38493 | Paths contain matrix variables bypass decorators |
| CVE-2023-3920 | Incorrect Authorization in GitLab |
| CVE-2023-39363 | Vyper incorrectly allocated named re-entrancy locks |
| CVE-2023-3964 | Incorrect Authorization in GitLab |
| CVE-2023-3979 | Incorrect Authorization in GitLab |
| CVE-2023-39965 | 1Panel Unauthorized access in Backend |
| CVE-2023-40168 | Malicious projects can read and upload arbitrary files from disk in TurboWarp Desktop |
| CVE-2023-4019 | Media from FTP < 11.17 - Author+ Arbitrary File Access |
| CVE-2023-40309 | Missing Authorization check in SAP CommonCryptoLib |
| CVE-2023-40610 | Apache Superset: Privilege escalation with default examples database |
| CVE-2023-40611 | Apache Airflow Dag Runs Broken Access Control Vulnerability |
| CVE-2023-4107 | Incorrect authorization allows a user manager to update a system admin |
| CVE-2023-41314 | Apache Doris: Missing API authentication allowed DoS |
| CVE-2023-41882 | vantage6 Improper Access Control vulnerability |
| CVE-2023-4194 | Kernel: tap: tap_open(): correctly initialize socket uid next fix of i_uid to current_fsuid |
| CVE-2023-42124 | Avast Premium Security Sandbox Protection Incorrect Authorization Privilege Escalation Vulnerability |
| CVE-2023-4269 | User Activity Log < 1.6.6 - Subscriber+ Log Export |
| CVE-2023-4317 | Incorrect Authorization in GitLab |
| CVE-2023-43609 | Emerson Rosemount GC370XA, GC700XA, GC1500XA Improper Authorization |
| CVE-2023-4379 | Incorrect Authorization in GitLab |
| CVE-2023-44401 | Silverstripe GraqhQL's view permissions are bypassed for paginated lists of ORM data |
| CVE-2023-45185 | IBM i Access Client Solutions code execution |
| CVE-2023-4532 | Incorrect Authorization in GitLab |
| CVE-2023-45793 | A vulnerability has been identified in Siveillance Control (All versions >= V2.8 < V3.1.1). The affected product does not pro... |
| CVE-2023-46139 | KernelSU signature validation mismatch |
| CVE-2023-4617 | Gaining remote control over Govee devices |
| CVE-2023-46241 | Potential account take over due to unverified emails from Microsoft Identity Platform |
| CVE-2023-46244 | Privilege escalation in Xwiki platform |
| CVE-2023-4658 | Incorrect Authorization in GitLab |
| CVE-2023-47037 | Apache Airflow missing fix for CVE-2023-40611 in 2.7.1 (DAG run broken access) |
| CVE-2023-47142 | IBM Tivoli Application Dependency Discovery Manager privilege escalation |
| CVE-2023-47716 | IBM FileNet Content Manager privilege escalation |
| CVE-2023-47827 | WordPress Events Addon for Elementor Plugin <= 2.1.3 is vulnerable to Broken Access Control |
| CVE-2023-4812 | Incorrect Authorization in GitLab |
| CVE-2023-48218 | Strapi Protected Populate Plugin leaking fields if the request fields where empty or only fields selected where not populatab... |
| CVE-2023-48227 | Umbraco CMS Backoffice User can bypass "Publish" restriction |
| CVE-2023-48309 | next-auth vulnerable to possible user mocking that bypasses basic authentication |
| CVE-2023-48712 | User authorization bug leading to privilege escalation in warpgate |
| CVE-2023-49273 | Umbraco CMS vulnerable to Privilege Escalation using Spoofing |
| CVE-2023-49734 | Apache Superset: Privilege Escalation Vulnerability |
| CVE-2023-49783 | No permission checks for editing/deleting records with CSV import form |
| CVE-2023-4997 | Improper authorisation in Uptime DC |
| CVE-2023-5009 | Incorrect Authorization in GitLab |
| CVE-2023-50363 | QTS, QuTS hero |
| CVE-2023-50732 | Velocity execution without script right through tree macro |
| CVE-2023-50886 | WordPress Legal Pages plugin <= 1.3.7 - CSRF + Broken Access Control vulnerability |
| CVE-2023-50946 | IBM Common Licensing information disclosure |
| CVE-2023-5106 | Incorrect Authorization in GitLab |
| CVE-2023-51379 | Incorrect Authorization for Issue Comments in GitHub Enterprise Server |
| CVE-2023-51380 | Incorrect Authorization allows Read Access to Issue Comments in GitHub Enterprise Server |
| CVE-2023-5159 | A User Manager role with user edit permissions could manage/update bots |
| CVE-2023-51649 | Nautobot missing object-level permissions enforcement when running Job Buttons |
| CVE-2023-51761 | Emerson Rosemount GC370XA, GC700XA, GC1500XA Improper Authentication |
| CVE-2023-5193 | System Role with manage posts permission can read posts of Direct Messages |
| CVE-2023-5194 | A system/user manager can demote / deactivate another manager |
| CVE-2023-5195 | A team member can soft delete other teams that they are not part of |
| CVE-2023-5198 | Incorrect Authorization in GitLab |
| CVE-2023-52077 | External apps using tokens issued by administrators and moderators can call admin APIs |
| CVE-2023-52943 | Incorrect authorization vulnerability in Alert.Setting webapi component in Synology Surveillance Station before 9.2.0-11289 a... |
| CVE-2023-52944 | Incorrect authorization vulnerability in ActionRule webapi component in Synology Surveillance Station before 9.2.0-11289 and... |
| CVE-2023-5356 | Incorrect Authorization in GitLab |
| CVE-2023-5521 | Incorrect Authorization in tiann/kernelsu |
| CVE-2023-5553 | During internal Axis Security Development Model (ASDM) threat-modelling, a flaw was found in the protection for device tamper... |
| CVE-2023-5644 | WP Mail Log < 1.1.3 – Incorrect Authorization in REST API Endpoints |
| CVE-2023-5799 | WP Hotel Booking < 2.0.9 - Contributor+ Arbitrary Post Deletion |
| CVE-2023-5995 | Incorrect Authorization in GitLab |
| CVE-2023-6152 | A user changing their email after signing up and verifying it can change it without verification in profile settings. The co... |
| CVE-2023-6400 | Incorrect user authorization vulnerability on OpenText ZENworks Configuration Management (ZCM) product. |
| CVE-2023-6421 | Download Manager < 3.2.83 - Unauthenticated Protected File Download Password Leak |
| CVE-2023-6542 | Improper Export of Android Application Components in SAP EMARSYS SDK ANDROID |
| CVE-2023-6564 | Incorrect Authorization in GitLab |
| CVE-2023-6837 | Incorrect Authorization in Multiple WSO2 Products via Federated Authentication with JIT Provisioning Leading to User Imperson... |
| CVE-2023-7322 | Nagios Log Server < 2024R1 Incorrect Authorization Granting Full API Access |
| CVE-2024-0160 | Dell Client Platform contains an incorrect authorization vulnerability. An attacker with physical access to the system could... |
| CVE-2024-0199 | Incorrect Authorization in GitLab |
| CVE-2024-0855 | Spiffy Calendar < 4.9.9 - Broken Access Control |
| CVE-2024-0881 | Combo Blocks < 2.2.76 - Unauthenticated Password Protected Posts Access |
| CVE-2024-0949 | Improper Access Control in Talya Informatics' Elektraweb |
| CVE-2024-10043 | Incorrect Authorization in GitLab |
| CVE-2024-10109 | Incorrect Authorization in mintplex-labs/anything-llm |
| CVE-2024-10219 | Incorrect Authorization in GitLab |
| CVE-2024-10273 | Improper Privilege Management in lunary-ai/lunary |
| CVE-2024-10275 | Improper Role Modification by Admins for Billing Permissions in lunary-ai/lunary |
| CVE-2024-10295 | Gateway: apicast basic auth bypass via malformed base64 headerssending non-base64 'basic' auth with special characters causes... |
| CVE-2024-10306 | Mod_proxy_cluster: mod_proxy_cluster unauthorized mcmp requests |
| CVE-2024-10953 | data.all authenticated users can perform mutating update operations on persisted notification records |
| CVE-2024-10975 | Nomad Vulnerable To Cross-Namespace Volume Creation Abusing CSI Write Permission |
| CVE-2024-11176 | Incorrect evaluation of effective permissions in M-Files Aino |
| CVE-2024-11669 | Incorrect Authorization in GitLab |
| CVE-2024-11670 | Incorrect authorization in the permission validation component of Devolutions Remote Desktop Manager 2024.2.21 and earlier on... |
| CVE-2024-11672 | Incorrect authorization in the add permission component in Devolutions Remote Desktop Manager 2024.2.21 and earlier on Window... |
| CVE-2024-12148 | Incorrect authorization in permission validation component in Devolutions Server 2024.3.6.0 and earlier allows an authenticat... |
| CVE-2024-12196 | Incorrect authorization in the permission component in Devolutions Server 2024.3.7.0 and earlier allows an authenticated user... |
| CVE-2024-12247 | Improper propagation of permission scheme updates across cluster nodes |
| CVE-2024-12539 | Elasticsearch Incorrect Authorization |
| CVE-2024-12831 | Arista NG Firewall uvm_login Incorrect Authorization Privilege Escalation Vulnerability |
| CVE-2024-12862 | REST API allows users without permissions to remove external collaborators |
| CVE-2024-13253 | Advanced PWA - Critical - Access bypass - SA-CONTRIB-2024-017 |
| CVE-2024-13257 | Commerce View Receipt - Moderately critical - Access bypass - SA-CONTRIB-2024-021 |
| CVE-2024-13258 | Drupal REST & JSON API Authentication - Moderately critical - Access bypass - SA-CONTRIB-2024-022 |
| CVE-2024-13266 | Responsive and off-canvas menu - Moderately critical - Access bypass - SA-CONTRIB-2024-030 |
| CVE-2024-13270 | Freelinking - Moderately critical - Information Disclosure - SA-CONTRIB-2024-034 |
| CVE-2024-13271 | Content Entity Clone - Moderately critical - Information Disclosure - SA-CONTRIB-2024-035 |
| CVE-2024-13277 | Smart IP Ban - Critical - Access bypass - SA-CONTRIB-2024-041 |
| CVE-2024-13278 | Diff - Moderately critical - Access bypass, Information Disclosure - SA-CONTRIB-2024-042 |
| CVE-2024-13281 | Monster Menus - Moderately critical - Access bypass, Information Disclosure - SA-CONTRIB-2024-045 |
| CVE-2024-13282 | Block permissions - Moderately critical - Access bypass - SA-CONTRIB-2024-046 |
| CVE-2024-13290 | OhDear Integration - Moderately critical - Access bypass - SA-CONTRIB-2024-056 |
| CVE-2024-13291 | Basic HTTP Authentication - Critical - Access bypass - SA-CONTRIB-2024-057 |
| CVE-2024-13302 | Pages Restriction Access - Critical - Access bypass - SA-CONTRIB-2024-068 |
| CVE-2024-13947 | External System or Configuration Control |
| CVE-2024-1482 | Improper Authorization in GitHub Enterprise Server allowed unauthorized workflow execution |
| CVE-2024-1738 | Incorrect Authorization in lunary-ai/lunary |
| CVE-2024-1740 | Incorrect Authorization in lunary-ai/lunary |
| CVE-2024-1741 | Improper Authorization in lunary-ai/lunary |
| CVE-2024-1745 | Testimonial Slider < 2.3.7 - Author+ Settings Update |
| CVE-2024-20482 | A vulnerability in the web-based management interface of Cisco Secure Firewall Management Center (FMC) Software, formerly Fir... |
| CVE-2024-20510 | A vulnerability in the Central Web Authentication (CWA) feature of Cisco IOS XE Software for Wireless Controllers could allow... |
| CVE-2024-20537 | Cisco Identity Services Engine Authorization Bypass Vulnerability |
| CVE-2024-21735 | Improper Authorization check in SAP LT Replication Server |
| CVE-2024-21736 | Missing Authorization check in SAP S/4HANA Finance (Advanced Payment Management) |
| CVE-2024-22133 | Improper Access Control in SAP Fiori Front End Server |
| CVE-2024-22208 | phpMyFAQ sharing FAQ functionality can easily be abused for phishing purposes |
| CVE-2024-22316 | IBM Sterling File Gateway improper access control |
| CVE-2024-22412 | ClickHouse's Role-based Access Control is bypassed when query caching is enabled. |
| CVE-2024-2321 | Incorrect Authorization in Multiple WSO2 Products Allows API Access via Refresh Token |
| CVE-2024-23329 | changedetection.io API endpoint is not secured with API token |
| CVE-2024-23451 | Elasticsearch Incorrect Authorization in the Remote Cluster Security API key based security model |
| CVE-2024-23653 | BuildKit interactive containers API does not validate entitlements check |
| CVE-2024-2378 | A vulnerability exists in the web-authentication component of the SDM600. If exploited an attacker could escalate privileges... |
| CVE-2024-23823 | CORS settings overly permissive in vantage6 |
| CVE-2024-23929 | Pioneer DMH-WT7600NEX Telematics Directory Traversal |
| CVE-2024-24573 | facileManager Privilege Escalation via Mass Assignment |
| CVE-2024-24751 | Broken Access Control in Backend Module in sf_event_mgt |
| CVE-2024-24761 | Galette public pages accessibility restriction |
| CVE-2024-24773 | Apache Superset: Improper validation of SQL statements allows for unauthorized access to data |
| CVE-2024-24774 | Missing authorization allows users to access arbitrary security levels on Jira through webhooks (Jira Plugin) |
| CVE-2024-24779 | Apache Superset: Improper data authorization when creating a new dataset |
| CVE-2024-24824 | graylog2-server vulnerable to instantiation of arbitrary classes triggered by API request |
| CVE-2024-24966 | F5OS vulnerability |
| CVE-2024-25108 | Insufficient authorization allowing elevated access to resources in pixelfed |
| CVE-2024-25149 | Liferay Portal 7.2.0 through 7.4.1, and older unsupported versions, and Liferay DXP 7.3 before service pack 3, 7.2 before fix... |
| CVE-2024-25604 | Liferay Portal 7.2.0 through 7.4.3.4, and older unsupported versions, and Liferay DXP 7.4.13, 7.3 before service pack 3, 7.2... |
| CVE-2024-26016 | Apache Superset: Improper authorization validation on dashboards and charts import |
| CVE-2024-26145 | Uninvited user is able to join and mark the attendance of the the private event |
| CVE-2024-2698 | Freeipa: delegation rules allow a proxy service to impersonate any user to access another target service |
| CVE-2024-27086 | MSAL.NET applications targeting Xamarin Android and .NET Android (MAUI) susceptible to local denial of service |
| CVE-2024-27105 | Frappe File Permissions can by bypassed using certain endpoints |
| CVE-2024-27138 | Apache Archiva: disabling user registration is not effective |
| CVE-2024-27139 | Apache Archiva: incorrect authentication potentially leading to account takeover |
| CVE-2024-27288 | 1Panel open source panel project has an unauthorized vulnerability. |
| CVE-2024-27309 | Apache Kafka: Potential incorrect access control during migration from ZK mode to KRaft mode |
| CVE-2024-27312 | Authorization vulnerability in PAM360 |
| CVE-2024-2743 | Incorrect Authorization in GitLab |
| CVE-2024-27915 | Sulu grants access to pages regardless of role permissions |
| CVE-2024-27933 | Deno arbitrary file descriptor close via `op_node_ipc_pipe()` leading to permission prompt bypass |
| CVE-2024-28098 | Apache Pulsar: Improper Authorization For Topic-Level Policy Management |
| CVE-2024-28148 | Apache Superset: Incorrect datasource authorization on explore REST API |
| CVE-2024-29834 | Apache Pulsar: Improper Authorization For Namespace and Topic Management Endpoints |
| CVE-2024-29892 | ZITADEL's actions can overload reserved claims |
| CVE-2024-3033 | Improper Authorization in mintplex-labs/anything-llm |
| CVE-2024-31409 | CyberPower PowerPanel business Incorrect Authorization |
| CVE-2024-31441 | Arbitrary File Reading in DataEase |
| CVE-2024-31452 | OpenFGA Authorization Bypass |
| CVE-2024-31990 | Argo CD' API server does not enforce project sourceNamespaces |
| CVE-2024-32470 | Tolgee' API keys created by server admin users bypass the permission check |
| CVE-2024-32983 | Misskey allows the impersonation and takeover of remote accounts with unnormalized signed activities |
| CVE-2024-3379 | Incorrect Authorization in lunary-ai/lunary |
| CVE-2024-3388 | PAN-OS: User Impersonation in GlobalProtect SSL VPN |
| CVE-2024-3404 | Improper Access Control in gaizhenbiao/chuanhuchatgpt |
| CVE-2024-34106 | Insecure Direct Object Reference - An attacker can able to erase the victim quote details |
| CVE-2024-34130 | Acrobat Android : OverSecured Finding : Access to arbitrary* content providers via insecure Intent configuration |
| CVE-2024-34346 | Deno contains a permission escalation via open of privileged files with missing `--deny` flag |
| CVE-2024-34434 | WordPress MDTF – Meta Data and Taxonomies Filter plugin <= 1.3.3.2 - Arbitrary Shortcode Execution vulnerability |
| CVE-2024-34701 | CreateWiki vulnerable to impersonation of wiki requester |
| CVE-2024-3504 | Improper Access Control in lunary-ai/lunary |
| CVE-2024-3511 | Incorrect Authorization in Multiple WSO2 Products Allows Unauthorized Access to Registry Versioned Files |
| CVE-2024-35187 | Stalwart Mail Server has privilege escalation by design |
| CVE-2024-36037 | Insufficient Access Control Vulnerability |
| CVE-2024-36265 | Apache Submarine Server Core: authorization bypass |
| CVE-2024-37300 | Globus `identity_provider` restriction ignored when used with `allow_all` in JupyterHub 5.0 |
| CVE-2024-3745 | MSI Afterburner v4.6.6.16381 Beta 3 - ACL Bypass |
| CVE-2024-37905 | Improper Access Control and Incorrect Authorization in github.com/goauthentik/authentik |
| CVE-2024-38329 | IBM Storage Protect for Virtual Environments: Data Protection for VMware security bypass |
| CVE-2024-38369 | XWiki programming rights may be inherited by inclusion |
| CVE-2024-38856 | Apache OFBiz: Unauthenticated endpoint could allow execution of screen rendering code |
| CVE-2024-38868 | Incorrect Authorization |
| CVE-2024-38869 | Incorrect Authorization |
| CVE-2024-39322 | aimeos/ai-admin-jsonadm improper access control vulnerability allows editors to remove required records |
| CVE-2024-39323 | aimeos/ai-admin-graphql improper access control vulnerability allows an editor to modify admin account |
| CVE-2024-39324 | aimeos/ai-admin-graphql improper access control vulnerability allows editors to manage own services |
| CVE-2024-39352 | A vulnerability regarding incorrect authorization is found in the firmware upgrade functionality. This allows remote authenti... |
| CVE-2024-39690 | Capsule tenant owner with "patch namespace" permission can hijack system namespaces |
| CVE-2024-39696 | Evmos vulnerable to exploit of smart contract account and vesting |
| CVE-2024-39871 | A vulnerability has been identified in SINEMA Remote Connect Server (All versions < V3.2 SP1). Affected applications do not p... |
| CVE-2024-39905 | Red-DiscordBot vulnerable to Incorrect Authorization in commands API |
| CVE-2024-4006 | Incorrect Authorization in GitLab |
| CVE-2024-4011 | Improper Access Control in GitLab |
| CVE-2024-41110 | Moby authz zero length regression |
| CVE-2024-41140 | Improper Authorization |
| CVE-2024-4146 | Incorrect Authorization in lunary-ai/lunary |
| CVE-2024-41670 | PayPal Official Module for PrestaShop has Improperly Implemented Security Check for Standard |
| CVE-2024-41939 | A vulnerability has been identified in SINEC NMS (All versions < V3.0). The affected application does not properly enforce au... |
| CVE-2024-41941 | A vulnerability has been identified in SINEC NMS (All versions < V3.0). The affected application does not properly enforce au... |
| CVE-2024-41964 | Insufficient permission checks in the language settings in Kirby CMS |
| CVE-2024-41979 | A vulnerability has been identified in SmartClient modules Opcenter QL Home (SC) (All versions >= V13.2 < V2506), SOA Audit (... |
| CVE-2024-42000 | Unauthorized Access to view channels' details |
| CVE-2024-42062 | Apache CloudStack: User Key Exposure to Domain Admins |
| CVE-2024-42423 | Citrix Workspace App version 23.9.0.24.4 on Dell ThinOS 2311 contains an Incorrect Authorization vulnerability when Citrix CE... |
| CVE-2024-42473 | OpenFGA Authorization Bypass |
| CVE-2024-43131 | WordPress Docket (WooCommerce Collections / Wishlist / Watchlist) plugin < 1.7.0 - Unauthenticated Arbitrary Post/Page Deleti... |
| CVE-2024-43250 | WordPress Bit Form Pro plugin <= 2.6.4 - Authenticated Plugin Settings Change vulnerability |
| CVE-2024-43944 | WordPress Maintenance & Coming Soon Redirect Animation plugin <= 2.1.3 - IP Bypass vulnerability |
| CVE-2024-43954 | WordPress Droip plugin <= 1.1.1 - Subscriber+ Settings Change/Data Exposure Vulnerability |
| CVE-2024-44114 | Missing Authorization check in SAP NetWeaver Application Server for ABAP and ABAP Platform |
| CVE-2024-4447 | In the System → Maintenance tool, the Logged Users tab surfaces sessionId data for all users via the Direct Web Remoting API... |
| CVE-2024-4465 | Incorrect authorization for Reports configuration in Guardian/CMC before 24.2.0 |
| CVE-2024-45037 | AWS CDK RestApi not generating authorizationScope correctly in resultant CFN template |
| CVE-2024-45043 | OpenTelemetry Collector AWS Firehose Receiver Authentication Bypass Vulnerability |
| CVE-2024-45081 | IBM Cognos Controller incorrect authorization |
| CVE-2024-45125 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2024-45128 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2024-45131 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2024-45132 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2024-45328 | An incorrect authorization vulnerability [CWE-863] in FortiSandbox 4.4.0 through 4.4.6 may allow a low priviledged administra... |
| CVE-2024-45586 | Account Take Over Vulnerability |
| CVE-2024-45587 | Unauthorized Modification Vulnerability |
| CVE-2024-45588 | Information Disclosure Vulnerability |
| CVE-2024-47077 | authentik cross-provider token validation problems |
| CVE-2024-47078 | Meshtastic firmware Authentication/Authorization Bypass via MQTT |
| CVE-2024-47102 | IBM AIX denial of service |
| CVE-2024-47172 | Computer Vision Annotation Tool (CVAT) access control is broken in several PATCH endpoints |
| CVE-2024-47560 | RevoWorks Cloud Client 3.0.91 and earlier contains an incorrect authorization vulnerability. If this vulnerability is exploit... |
| CVE-2024-47616 | Pomerium's service account access token may grant unintended access to databroker API |
| CVE-2024-47780 | Information Disclosure in TYPO3 Page Tree |
| CVE-2024-47876 | Sakai: Kernel users created with type roleview can login as a normal user |
| CVE-2024-48911 | OpenCanary Executes Commands From Potentially Writable Config File |
| CVE-2024-48925 | Umbraco CMS Improper Access Control Vulnerability Allows Low-Privilege Users to Access Webhook API |
| CVE-2024-49256 | WordPress Htaccess File Editor plugin <= 1.0.18 - Broken Access Control vulnerability |
| CVE-2024-49501 | Sysmac Studio provided by OMRON Corporation contains an incorrect authorization vulnerability. If this vulnerability is explo... |
| CVE-2024-49808 | IBM Sterling Connect:Direct Web Services improper authorization |
| CVE-2024-50310 | A vulnerability has been identified in SIMATIC CP 1543-1 V4.0 (6GK7543-1AX10-0XE0) (All versions >= V4.0.44 < V4.0.50). Affec... |
| CVE-2024-50419 | WordPress Greenshift plugin <= 9.7 - Broken Access Control vulnerability |
| CVE-2024-5071 | Bookster <= 1.1.0 - Unauthenticated Appointment Status Update |
| CVE-2024-52311 | data.all does not invalidate authentication token upon user logout |
| CVE-2024-52312 | data.all authenticated users can perform restricted operations against DataSets and Environments |
| CVE-2024-52313 | data.all authenticated users can obtain incorrect object level authorizations |
| CVE-2024-52314 | data.all admin user may access potentially sensitive data stored by producers via logs |
| CVE-2024-52584 | Autolab has vulnerable submission endpoints |
| CVE-2024-53949 | Apache Superset: Lower privilege users are able to create Role when FAB_ADD_SECURITY_API is enabled |
| CVE-2024-55592 | An incorrect authorization vulnerability [CWE-863] in FortiSIEM 7.2 all versions, 7.1 all versions, 7.0 all versions, 6.7 all... |
| CVE-2024-55633 | Apache Superset: SQLLab Improper readonly query validation allows unauthorized write access |
| CVE-2024-55662 | XWiki allows remote code execution through the extension sheet |
| CVE-2024-5705 | Hitachi Vantara Pentaho Business Analytics Server - Incorrect Authorization |
| CVE-2024-5714 | Improper Access Control in lunary-ai/lunary |
| CVE-2024-57969 | app/Model/Attribute.php in MISP before 2.4.198 ignores an ACL during a GUI attribute search. |
| CVE-2024-5816 | Improper authorization allows persistent access in GitHub Enterprise Server |
| CVE-2024-5817 | Improper authorization allows read access to issue content in GitHub Enterprise Server |
| CVE-2024-58260 | Rancher update on users can deny the service to the admin |
| CVE-2024-6086 | Improper Access Control in lunary-ai/lunary |
| CVE-2024-6202 | HaloITSM - SAML XML Signature Wrapping (XSW) |
| CVE-2024-6323 | Improper Isolation or Compartmentalization in GitLab |
| CVE-2024-6337 | Incorrect Authorization allows read access to issues in GitHub Enterprise Server |
| CVE-2024-6358 | Incorrect Authorization vulnerability |
| CVE-2024-6512 | Authorization bypass in the PAM access request approval mechanism in Devolutions Server 2024.2.10 and earlier allows authenti... |
| CVE-2024-6592 | WatchGuard Firebox Single Sign-On Agent Protocol Authorization Bypass |
| CVE-2024-6593 | WatchGuard Firebox Single Sign-On Agent Management Interface Authentication Bypass |
| CVE-2024-6782 | Calibre Remote Code Execution |
| CVE-2024-6845 | SmartSearchWP < 2.4.6 - Unauthenticated OpenAI Key Disclosure |
| CVE-2024-6914 | Incorrect Authorization in Multiple WSO2 Products via Account Recovery SOAP Admin Service Leading to Account Takeover |
| CVE-2024-6979 | Amin Aliakbari, member of the AXIS OS Bug Bounty Program, has found a broken access control which would lead to less-privileg... |
| CVE-2024-7039 | Improper Privilege Management in open-webui/open-webui |
| CVE-2024-7048 | IDOR in open-webui/open-webui |
| CVE-2024-7062 | Local Privilege Escalation in Nimble Commander <= v1.6.0, Build 4087 |
| CVE-2024-7096 | Privilege Escalation in Multiple WSO2 Products via SOAP Admin Service Due to Business Logic Flaw |
| CVE-2024-7108 | Incorrect Authorization in National Keep's CyberMath |
| CVE-2024-7265 | Privilege Escalation in EZD RP |
| CVE-2024-7266 | Users listing in EZD RP |
| CVE-2024-7296 | Incorrect Authorization in GitLab |
| CVE-2024-7457 | macOS Stash network-management utility: Unauthorized Manipulation of System Network Preferences |
| CVE-2024-7604 | Logsign Unified SecOps Platform Incorrect Authorization Authentication Bypass Vulnerability |
| CVE-2024-7711 | An Incorrect Authorization vulnerability was identified in GitHub Enterprise Server, allowing an attacker to update the title... |
| CVE-2024-7836 | Themify Builder <= 7.6.1 - Missing Authorization to Authenticated (Contributor+) Post Duplication |
| CVE-2024-7915 | macOS Sensei Mac Cleaner Local Privilege Escalation via PID Reuse - Race Condition Attack |
| CVE-2024-8001 | VIWIS LMS Print authorization |
| CVE-2024-8009 | Sensei LMS < 4.20.0 - Teacher+ Users Email Address Disclosure |
| CVE-2024-8011 | Logitech Options+ on MacOS prior 1.72 allows a local attacker to inject dynamic library within Options+ runtime and abuse per... |
| CVE-2024-8116 | Incorrect Authorization in GitLab |
| CVE-2024-8270 | macOS Rocket.Chat: TCC Policy Bypass via Dylib Injection Due to Missing Code Signing Flags and Dangerous Entitlements |
| CVE-2024-8606 | Fix 2FA bypass via RestAPI |
| CVE-2024-8650 | Incorrect Authorization in GitLab |
| CVE-2024-8691 | PAN-OS: User Impersonation in GlobalProtect Portal |
| CVE-2024-8970 | Incorrect Authorization in GitLab |
| CVE-2024-9098 | Privilege Escalation in lunary-ai/lunary |
| CVE-2024-9136 | Access permission verification vulnerability in the App Multiplier module Impact: Successful exploitation of this vulnerabili... |
| CVE-2024-9155 | Insufficient Authorization On Unlinked Channel Files |
| CVE-2024-9159 | Incorrect Authorization in gaizhenbiao/chuanhuchatgpt |
| CVE-2024-9623 | Incorrect Authorization in GitLab |
| CVE-2024-9654 | Easy Digital Downloads 3.1 - 3.3.4 - Improper Authorization to Paywall Bypass |
| CVE-2024-9693 | Incorrect Authorization in GitLab |
| CVE-2024-9825 | The Chef Habitat builder is impacted by Indirect Object reference(IDOR) by deletion of personal access token |
| CVE-2024-9902 | Ansible-core: ansible-core user may read/write unauthorized content |
| CVE-2024-9926 | Jetpack < 13.9.1 - Subscriber+ Arbitrary Feedback Access |
| CVE-2025-0359 | During an annual penetration test conducted on behalf of Axis Communication, Truesec discovered a flaw in the ACAP Applicatio... |
| CVE-2025-0360 | During an annual penetration test conducted on behalf of Axis Communication, Truesec discovered a flaw in the VAPIX Device Co... |
| CVE-2025-0516 | Incorrect Authorization in GitLab |
| CVE-2025-0580 | Shiprocket Module REST API Module rest_api authorization |
| CVE-2025-0652 | Incorrect Authorization in GitLab |
| CVE-2025-0765 | Incorrect Authorization in GitLab |
| CVE-2025-0781 | Incorrect Authorization in SimGear |
| CVE-2025-0885 | Incorrect Authorization vulnerability affects OpenText™ GroupWise |
| CVE-2025-0937 | Nomad Vulnerable To Event Stream Namespace ACL Policy Bypass Through Wildcard Namespace |
| CVE-2025-10015 | TCC Bypass via Downloader XPC Service in Sparkle |
| CVE-2025-10016 | Local Privilege Escalation in Sparkle Autoupdate Daemon |
| CVE-2025-10124 | Booking Manager < 2.1.15 - Contributor+ Booking Deletion |
| CVE-2025-10545 | Guest user can add unauthorized team users to private channels |
| CVE-2025-10696 | OpenSupports 4.11.0 — Insecure Direct Object Reference in supervised list |
| CVE-2025-11060 | Surrealdb: surrealdb is vulnerable to unauthorized data exposure via live query subscriptions |
| CVE-2025-11239 | Job details are visible to all team members on KNIME Business Hub |
| CVE-2025-11340 | Incorrect Authorization in GitLab |
| CVE-2025-11438 | JhumanJ OpnForm API Endpoint custom-domains authorization |
| CVE-2025-11439 | JhumanJ OpnForm integrations authorization |
| CVE-2025-11580 | PowerJob list authorization |
| CVE-2025-11581 | PowerJob OpenAPIController runJob authorization |
| CVE-2025-11776 | Guest user can discover archived public channels |
| CVE-2025-11777 | Cross-team channel membership access |
| CVE-2025-11862 | Verve Asset Manager Access Control Vulnerability |
| CVE-2025-11865 | Incorrect Authorization in GitLab |
| CVE-2025-11888 | ShopEngine Elementor WooCommerce Builder Addon – All in One WooCommerce Solution <= 4.8.4 - Incorrect Authorization to Authen... |
| CVE-2025-11971 | Incorrect Authorization in GitLab |
| CVE-2025-12038 | Folderly <= 0.3 - Incorrect Authorization to Authenticated (Author+) Term Deletion |
| CVE-2025-12082 | CivicTheme Design System - Moderately critical - Information disclosure - SA-CONTRIB-2025-112 |
| CVE-2025-1214 | pihome-shc PiHome Role-Based Access Control user_accounts.php authorization |
| CVE-2025-12149 | Unauthorized access to documents protected by Document-Level Security (DLS), when Signals watches include a search query invo... |
| CVE-2025-12621 | Flexible Refund and Return Order for WooCommerce <= 1.0.42 - Incorrect Authorization to Authenticated (Contributor+) Refund S... |
| CVE-2025-12924 | rymcu forest BankController.java GlobalResult authorization |
| CVE-2025-12925 | rymcu forest UserDicController.java deleteDic authorization |
| CVE-2025-13063 | DinukaNavaratna Dee Store authorization |
| CVE-2025-1415 | Information disclosure in Proget MDM |
| CVE-2025-1416 | Password disclosure in Proget MDM |
| CVE-2025-1417 | Information disclosure in Proget MDM |
| CVE-2025-1418 | Information disclosure in Proget MDM |
| CVE-2025-1472 | Unauthorized View Access to Site Statistics and Team Statistics |
| CVE-2025-1501 | Incorrect authorization for traces request/download in CMC before 25.1.0 |
| CVE-2025-1540 | Incorrect Authorization in GitLab |
| CVE-2025-1542 | Improper permission control in OXARI ServiceDesk |
| CVE-2025-1792 | Improper Access Control in Mattermost Channel Member API |
| CVE-2025-2003 | Incorrect authorization in PAM vaults in Devolutions Server 2024.3.12 and earlier allows an authenticated user to bypass the... |
| CVE-2025-20257 | Cisco Secure Network Analytics API Authorization Vulnerability |
| CVE-2025-20300 | Improper Access Control Lets Low-Privilege Users Suppress Read-Only Alerts in Splunk Enterprise |
| CVE-2025-20332 | Cisco Identity Services Engine Authorization Bypass Vulnerability |
| CVE-2025-2045 | Incorrect Authorization in GitLab |
| CVE-2025-20674 | In wlan AP driver, there is a possible way to inject arbitrary packet due to a missing permission check. This could lead to r... |
| CVE-2025-20701 | In the Airoha Bluetooth audio SDK, there is a possible way to pair Bluetooth audio device without user consent. This could le... |
| CVE-2025-21403 | On-Premises Data Gateway Information Disclosure Vulnerability |
| CVE-2025-21479 | Incorrect Authorization in Graphics |
| CVE-2025-21480 | Incorrect Authorization in Graphics Windows |
| CVE-2025-2201 | Broken access control vulnerability in the Innovación y Cualificación IcProgreso plugin |
| CVE-2025-2202 | Broken access control vulnerability in the Innovación y Cualificación local administration plugin ajax.php |
| CVE-2025-2242 | Incorrect Authorization in GitLab |
| CVE-2025-22449 | Access control flaw for team admins allows unauthorized team additions |
| CVE-2025-23244 | NVIDIA GPU Display Driver for Linux contains a vulnerability which could allow an unprivileged attacker to escalate permissio... |
| CVE-2025-23256 | NVIDIA BlueField contains a vulnerability in the management interface, where an attacker with local access could cause incorr... |
| CVE-2025-23262 | NVIDIA ConnectX contains a vulnerability in the management interface, where an attacker with local access could cause incorre... |
| CVE-2025-2424 | Leaked Metadata of Deleted Files via Bookmark Creation |
| CVE-2025-24407 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24409 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24419 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24420 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24421 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24434 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24436 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24437 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-24479 | FactoryTalk® View Machine Edition - Local Code Injection |
| CVE-2025-24526 | Channel export permitted on archived channel when viewing archived channels is disabled |
| CVE-2025-24839 | Unauthorized AI bot activation via Wrangler plugin |
| CVE-2025-24860 | Apache Cassandra: CassandraNetworkAuthorizer and CassandraCIDRAuthorizer can be bypassed allowing access to different network... |
| CVE-2025-24866 | Unauthorized Access to User Activity Logs API by delegated granular administration roles |
| CVE-2025-24869 | Information Disclosure vulnerability in SAP NetWeaver Application Server Java |
| CVE-2025-24872 | Missing Authorization check in SAP ABAP Platform (ABAP Build Framework) |
| CVE-2025-24920 | Unauthorized Bookmark Creation and Modification in Archived Channels |
| CVE-2025-25010 | Kibana privilege escalation via reporting_user role |
| CVE-2025-25026 | IBM Security Guardium information disclosure |
| CVE-2025-25251 | An Incorrect Authorization vulnerability [CWE-863] in FortiClient Mac 7.4.0 through 7.4.2, 7.2.0 through 7.2.8, 7.0.0 through... |
| CVE-2025-2527 | Improper access control to group information |
| CVE-2025-25274 | Unauthorized Command Execution in Archived Channels |
| CVE-2025-2564 | Unauthorized View Access to Archived Channel Member Info |
| CVE-2025-2570 | System Admin Cannot Access Environment settings in System Console While System Manager Can |
| CVE-2025-26330 | Dell PowerScale OneFS, versions 9.4.0.0 through 9.10.0.1, contains an incorrect authorization vulnerability. An unauthenticat... |
| CVE-2025-26511 | Cassandra-Lucene-Index allows bypass of Cassandra RBAC |
| CVE-2025-26526 | Feedback response viewing and deletions did not respect Separate Groups mode |
| CVE-2025-26531 | IDOR in badges allows disabling of arbitrary badges |
| CVE-2025-26532 | Teachers can evade trusttext config when restoring glossary entries |
| CVE-2025-26850 | The agent in Quest KACE Systems Management Appliance (SMA) before 14.0.97 and 14.1.x before 14.1.19 potentially allows privil... |
| CVE-2025-26853 | DESCOR INFOCAD 3.5.1 and before and fixed in v.3.5.2.0 has a broken authorization schema. |
| CVE-2025-27089 | Overlapping policies allow update to non-allowed fields in directus |
| CVE-2025-27188 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-27236 | User information disclosure via api_jsonrpc.php on method user.get with param search |
| CVE-2025-27427 | Apache ActiveMQ Artemis: Address routing-type can be updated by user without the createAddress permission |
| CVE-2025-27512 | Zincati allows unprivileged access to rpm-ostree D-Bus `Deploy()` and `FinalizeDeployment()` methods |
| CVE-2025-27571 | Channel metadata visible in archived channels despite configuration setting |
| CVE-2025-27601 | Umbraco Allows Improper API Access Control to Low-Privilege Users to Data Type Functionality |
| CVE-2025-27602 | Umbraco Allows a Restricted Editor User to Delete Media Item or Access Unauthorized Content |
| CVE-2025-27696 | Apache Superset: Incorrect authorization leading to resource ownership takeover |
| CVE-2025-27715 | Auto-Enrollment of Team Admins into Private Channels without explicit consent |
| CVE-2025-27822 | An issue was discovered in the Masquerade module before 1.x-1.0.1 for Backdrop CMS. It allows people to temporarily switch to... |
| CVE-2025-27933 | Unauthorized Private-to-Public Channel Conversion |
| CVE-2025-29757 | An incorrect authorisation check in the the 'plant transfer' function of the Growatt cloud service allowed a malicous attacke... |
| CVE-2025-29997 | Improper Access Control Vulnerability in CAP back office application |
| CVE-2025-30074 | Alludo Parallels Desktop before 19.4.2 and 20.x before 20.2.2 for macOS on Intel platforms allows privilege escalation to roo... |
| CVE-2025-30155 | Tuleap does not enforce read permissions on parent trackers in the REST API |
| CVE-2025-30162 | East-west traffic not subject to egress policy enforcement for requests via Gateway API load balancers |
| CVE-2025-30163 | Node based network policies may incorrectly allow workload traffic |
| CVE-2025-30171 | Admin Authorized System File Deletion |
| CVE-2025-30179 | MFA Enforcement Bypass in Search APIs |
| CVE-2025-30209 | Tuleap has improper permission handling in the REST endpoints and release notes display of the FRS plugin |
| CVE-2025-30741 | Pixelfed before 0.12.5 allows anyone to follow private accounts and see private posts on other Fediverse servers. This affect... |
| CVE-2025-31331 | Authorization Bypass vulnerability in SAP NetWeaver |
| CVE-2025-31481 | GraphQL query operations security can be bypassed |
| CVE-2025-31673 | Drupal core - Moderately critical - Access bypass - SA-CORE-2025-002 |
| CVE-2025-32068 | Revoking authorization of OAuth2 consumer does not invalidate refresh tokens |
| CVE-2025-32093 | Syatem admin profile modification by delegated granular administration role |
| CVE-2025-3227 | Unauthorized channel member management through playbook runs |
| CVE-2025-3228 | Unauthorized Guest user access to Playbook |
| CVE-2025-32408 | In Soffid Console 3.6.31 before 3.6.32, authorization to use the pam service is mishandled. |
| CVE-2025-32462 | Sudo before 1.9.17p1, when used with a sudoers file that specifies a host that is neither the current host nor ALL, allows li... |
| CVE-2025-3260 | A security vulnerability in the /apis/dashboard.grafana.app/* endpoints allows authenticated users to bypass dashboard and fo... |
| CVE-2025-3272 | Incorrect user authorization vulnerability has been identified in Open Text Operations Bridge Manager. |
| CVE-2025-32971 | XWiki Solr script service doesn't take dropped programming right into account |
| CVE-2025-3396 | Incorrect Authorization in GitLab |
| CVE-2025-34273 | Nagios Log Server < 2024R2.0.3 Non-Admin Dashboard Deletion |
| CVE-2025-3446 | Members Without Guest Invite Permissions Can Add Guests to Teams |
| CVE-2025-3453 | Password Protected – Password Protect your WordPress Site, Pages, & WooCommerce Products <= 2.7.7 - Unauthenticated Sensitive... |
| CVE-2025-3471 | SureForms < 1.4.4 - Contributor+ Settings Update |
| CVE-2025-3475 | WEB-T - Moderately critical - Access bypass, Denial of service - SA-CONTRIB-2025-030 |
| CVE-2025-3476 | Incorrect Authorization vulnerability in OpenText™ Operations Bridge Manager. The vulnerability could allows privilege escala... |
| CVE-2025-3586 | In Liferay Portal 7.4.3.27 through 7.4.3.42, and Liferay DXP 2024.Q1.1 through 2024.Q1.20, 2023.Q4.0 through 2023.Q4.10, 2023... |
| CVE-2025-3609 | Reales WP STPT <= 2.1.2 - Unauthorized User Registration |
| CVE-2025-3611 | Improper Access Control in Mattermost allows System Managers to view team details despite role restrictions |
| CVE-2025-36120 | IBM Storage Virtualize privilege escalation |
| CVE-2025-36157 | IBM Engineering Lifecycle Management incorrect authorization |
| CVE-2025-3644 | Moodle: ajax section delete does not respect course_can_delete_section() |
| CVE-2025-3645 | Moodle: idor in messaging web service allows access to some user details |
| CVE-2025-3647 | Moodle: idor when accessing the cohorts report |
| CVE-2025-36546 | F5OS Appliance Mode vulnerability |
| CVE-2025-36578 | Dell Wyse Management Suite, versions prior to WMS 5.2, contain an Incorrect Authorization vulnerability. A low privileged att... |
| CVE-2025-3719 | Incorrect authorization for CLI in Guardian/CMC before 25.2.0 |
| CVE-2025-37736 | Elastic Cloud Enterprise Improper Authorization |
| CVE-2025-3838 | Improper Authorization in the installer for the EOL OVA based connect component |
| CVE-2025-3861 | Prevent Direct Access 2.8.6 - 2.8.8.2 - Incorrect Authorization to Authenticated (Contributor+) Multiple Media Actions |
| CVE-2025-3879 | Vault’s Azure Authentication Method bound_location Restriction Could be Bypassed on Login |
| CVE-2025-3880 | Poll, Survey & Quiz Maker Plugin by Opinion Stage <= 19.9.0 - Incorrect Authorization to Authenticated (Contributor+) Plugin... |
| CVE-2025-3913 | Team Privacy Settings Authorization Bypass in Mattermost Server |
| CVE-2025-3960 | withstars Books-Management-System Background Interface allreaders.html authorization |
| CVE-2025-3963 | withstars Books-Management-System Background Interface list authorization |
| CVE-2025-40567 | A vulnerability has been identified in RUGGEDCOM RST2428P (6GK6242-6PA00) (All versions < V3.2), SCALANCE XC316-8 (6GK5324-8T... |
| CVE-2025-40568 | A vulnerability has been identified in RUGGEDCOM RST2428P (6GK6242-6PA00) (All versions < V3.2), SCALANCE XC316-8 (6GK5324-8T... |
| CVE-2025-40619 | Improper access control vulnerability in Bookgy |
| CVE-2025-40668 | Incorrect Authorization vulnerability in TCMAN GIM |
| CVE-2025-40669 | Incorrect Authorization vulnerability in TCMAN GIM |
| CVE-2025-40670 | Incorrect Authorization vulnerability in TCMAN GIM |
| CVE-2025-4101 | MultiVendorX – WooCommerce Multivendor Marketplace Solutions <= 4.2.22 - Incorrect Authorization to Authenticated (Contributo... |
| CVE-2025-41030 | Multiple vulnerabilities in Deporsite by T-INNOVA |
| CVE-2025-41031 | Multiple vulnerabilities in Deporsite by T-INNOVA |
| CVE-2025-41246 | Improper authorisation vulnerability |
| CVE-2025-4128 | Mattermost Guest User Information Disclosure Vulnerability |
| CVE-2025-41423 | Unauthorized Playbooks Post Deletion in Mattermost Playbooks Plugin |
| CVE-2025-41436 | Unauthorized access to archived channel content via threads interface |
| CVE-2025-42939 | Missing Authorization Check in SAP S/4HANA (Manage Processing Rules - For Bank Statements) |
| CVE-2025-42951 | Broken Authorization in SAP Business One (SLD) |
| CVE-2025-43561 | ColdFusion | Incorrect Authorization (CWE-863) |
| CVE-2025-43564 | ColdFusion | Incorrect Authorization (CWE-863) |
| CVE-2025-43565 | ColdFusion | Incorrect Authorization (CWE-863) |
| CVE-2025-43784 | Improper Access Control vulnerability in Liferay Portal 7.4.0 through 7.4.3.124, and Liferay DXP 2024.Q2.0 through 2024.Q2.8... |
| CVE-2025-43789 | JSON Web Services in Liferay Portal 7.4.0 through 7.4.3.119, and Liferay DXP 2024.Q1.1 through 2024.Q1.9, 7.4 GA through upda... |
| CVE-2025-43806 | Batch Engine in Liferay Portal 7.4.0 through 7.4.3.112, and Liferay DXP 2023.Q4.0 through 2023.Q4.7, 2023.Q3.1 through 2023.Q... |
| CVE-2025-43917 | In Pritunl Client before 1.3.4220.57, an administrator with access to /Applications can escalate privileges after uninstallin... |
| CVE-2025-43921 | GNU Mailman 2.1.39, as bundled in cPanel (and WHM), allows unauthenticated attackers to create lists via the /mailman/create... |
| CVE-2025-43922 | The FileWave Windows client before 16.0.0, in some non-default configurations, allows an unprivileged local user to escalate... |
| CVE-2025-44824 | Nagios Log Server before 2024R1.3.2 allows authenticated users (with read-only API access) to stop the Elasticsearch service... |
| CVE-2025-46265 | F5OS vulnerability |
| CVE-2025-4646 | A high privilege user is able to create and use a valid admin API token in centreon-web |
| CVE-2025-46544 | In Sherpa Orchestrator 141851, a low-privileged user can elevate their privileges by creating new users and roles. |
| CVE-2025-46569 | OPA server Data API HTTP path injection of Rego |
| CVE-2025-46702 | Mattermost Playbooks allows privilege escalation through improper access control in playbook run participant management |
| CVE-2025-46744 | Improper Privilege Management |
| CVE-2025-46834 | Alchemy's Modular Account can use executeUserOp to bypass allowlist prevalidation hook |
| CVE-2025-47871 | Mattermost Playbooks exposes private channel metadata to unauthorized users via run metadata API |
| CVE-2025-47930 | Zulip Server has access control bypass for restrictions on creation of specific channel types |
| CVE-2025-47937 | TYPO3 Vulnerable to Information Disclosure via DBAL Restriction Handling |
| CVE-2025-48042 | Before action hooks may execute in certain scenarios despite a request being forbidden |
| CVE-2025-48043 | Bypass and runtime policies that can never pass may be incorrectly applied in filter authorization |
| CVE-2025-48044 | Authorization bypass when bypass policy condition evaluates to true |
| CVE-2025-48373 | Schule Has Client-Side Role-Based Access Control (RBAC) Bypass Vulnerability |
| CVE-2025-48445 | Commerce Eurobank (Redirect) - Moderately critical - Access bypass - SA-CONTRIB-2025-066 |
| CVE-2025-48446 | Commerce Alphabank Redirect - Moderately critical - Access bypass - SA-CONTRIB-2025-067 |
| CVE-2025-48472 | FreeScout Vulnerable to Insufficient Authorization |
| CVE-2025-48473 | FreeScout Vulnerable to Insufficient Authorization |
| CVE-2025-48474 | FreeScout Vulnerable to Insufficient Authorization |
| CVE-2025-48475 | FreeScout Vulnerable to Insufficient Authorization |
| CVE-2025-48757 | An insufficient database Row-Level Security policy in Lovable through 2025-04-15 allows remote unauthenticated attackers to r... |
| CVE-2025-48881 | Valtimo backend libraries allows objects in the object-api to be accessed and modified by unauthorized users |
| CVE-2025-48888 | Deno run with --allow-read and --deny-read flags results in allowed |
| CVE-2025-48935 | Deno has --allow-read / --allow-write permission bypass in `node:sqlite` |
| CVE-2025-48948 | Navidrome Transcoding Permission Bypass Vulnerability Report |
| CVE-2025-49145 | iTop admin can drop iTop database using webhooks |
| CVE-2025-49536 | ColdFusion | Incorrect Authorization (CWE-863) |
| CVE-2025-49549 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-49550 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-49556 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-49586 | XWiki allows remote code execution through preview of XClass changes in AWM editor |
| CVE-2025-49599 | Huawei EG8141A5 devices through V5R019C00S100, EG8145V5 devices through V5R019C00S100, and EG8145V5-V2 devices through V5R021... |
| CVE-2025-49641 | Insufficient permission check for the problem.view.refresh action |
| CVE-2025-4972 | Incorrect Authorization in GitLab |
| CVE-2025-4975 | Tapo privilege escalation on shared devices using notifications |
| CVE-2025-49810 | Thread summarization allows persistent access to channel |
| CVE-2025-49825 | Teleport allows remote authentication bypass |
| CVE-2025-5071 | AI Engine 2.8.0 - 2.8.3 - Authenticated (Subscriber+) Insufficient Authorization to Privilege Escalation via MCP |
| CVE-2025-5187 | Nodes can delete themselves by adding an OwnerReference |
| CVE-2025-52487 | DNN.PLATFORM possibly allows bypass of IP Filters |
| CVE-2025-52890 | Incus vulnerable to antispoofing nftables firewall rule bypass on bridge networks with ACLs |
| CVE-2025-52918 | Yealink RPS before 2025-05-26 does not prevent OpenAPI access by frozen enterprise accounts, allowing unauthorized access to... |
| CVE-2025-53391 | The Debian zuluPolkit/CMakeLists.txt file for zuluCrypt through the zulucrypt_6.2.0-1 package has insecure PolicyKit allow_an... |
| CVE-2025-53836 | XWiki Rendering is vulnerable to RCE attacks when processing nested macros |
| CVE-2025-53895 | ZITADEL has broken authN and authZ in session API and resulting session tokens |
| CVE-2025-53902 | Tuleap exposes artifacts to a mentioned user via email notifications |
| CVE-2025-53922 | Galette has access control bypass |
| CVE-2025-53943 | VoidBot Open-Source Has Improper Permission Check That Allows Unauthorized Command Execution |
| CVE-2025-53971 | Channel and Team Membership APIs inadvertently allow loss of Member privileges. |
| CVE-2025-54246 | Adobe Experience Manager | Incorrect Authorization (CWE-863) |
| CVE-2025-54253 | Adobe Experience Manager | Incorrect Authorization (CWE-863) |
| CVE-2025-54263 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-54265 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-54267 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2025-54554 | tiaudit in Tera Insights tiCrypt before 2025-07-17 allows unauthenticated REST API requests that reveal sensitive information... |
| CVE-2025-54569 | In Malwarebytes Binisoft Windows Firewall Control before 6.16.0.0, the installer is vulnerable to local privilege escalation. |
| CVE-2025-54583 | GitProxy bypasses approvals when pushing multiple branches |
| CVE-2025-54596 | Abnormal Security /v1.0/rbac/users_v2/{USER_ID}/ before 2025-02-19 allows downgrading the privileges of other user accounts. |
| CVE-2025-54838 | An Incorrect Authorization vulnerability [CWE-863] in FortiPortal 7.4.0 through 7.4.5 may allow an authenticated attacker to... |
| CVE-2025-54877 | Tuleap's special and always there fields permissions are not verified in cross-tracker search |
| CVE-2025-54888 | @fedify/fedify: Improper Authentication and Incorrect Authorization |
| CVE-2025-55077 | Tyler Technologies ERP Pro 9 SaaS application escape |
| CVE-2025-55205 | Capsule tenant owners with "patch namespace" permission can hijack system namespaces label |
| CVE-2025-55213 | OpenFGA Authorization Bypass (Check) |
| CVE-2025-58052 | Galette has groups managers access control bypass on Members |
| CVE-2025-58134 | Zoom Workplace Clients for Windows - Incorrect Authorization |
| CVE-2025-5822 | Autel MaxiCharger AC Wallbox Commercial Technician API Incorrect Authorization Privilege Escalation Vulnerability |
| CVE-2025-59020 | TYPO3 CMS Allows Broken Access Control in Edit Document Controller |
| CVE-2025-59048 | OpenBao AWS Plugin Vulnerable to Cross-Account IAM Role Impersonation in AWS Auth Method |
| CVE-2025-59111 | Broken Access Control in Windu CMS |
| CVE-2025-59420 | Authlib: JWS/JWT accepts unknown crit headers (RFC violation → possible authz bypass) |
| CVE-2025-59449 | The YoSmart YoLink MQTT broker through 2025-10-02 does not enforce sufficient authorization controls to prevent cross-account... |
| CVE-2025-59451 | The YoSmart YoLink application through 2025-10-02 has session tokens with unexpectedly long lifetimes. |
| CVE-2025-59683 | Pexip Infinity 15.0 through 38.0 before 38.1 has Improper Access Control in the Secure Scheduler for Exchange service, when u... |
| CVE-2025-59714 | In Internet2 Grouper 5.17.1 before 5.20.5, group admins who are not Grouper sysadmins can configure loader jobs. |
| CVE-2025-59824 | Omni Wireguard SideroLink potential escape |
| CVE-2025-6003 | WordPress Single Sign-On (SSO) - Multiple Versions - Incorrect Authorization to Sensitive Information Exposure |
| CVE-2025-6018 | Pam-config: lpe from unprivileged to allow_active in pam |
| CVE-2025-6168 | Incorrect Authorization in GitLab |
| CVE-2025-61830 | Adobe Pass | Incorrect Authorization (CWE-863) |
| CVE-2025-62189 | LogStare Collector contains an incorrect authorization vulnerability in UserRegistration. If exploited, a non-administrative... |
| CVE-2025-62243 | Insecure direct object reference (IDOR) vulnerability in Publications in Liferay Portal 7.4.1 through 7.4.3.112, and Liferay... |
| CVE-2025-62259 | Liferay Portal 7.4.0 through 7.4.3.109, and older unsupported versions, and Liferay DXP 2023.Q3.1 through 2023.Q3.4, 7.4 GA t... |
| CVE-2025-62275 | Blogs in Liferay Portal 7.4.0 through 7.4.3.111, and older unsupported versions, and Liferay DXP 2023.Q4.0 through 2023.Q4.10... |
| CVE-2025-62394 | Moodle: quiz notifications sent to suspended participants |
| CVE-2025-62487 | Under certain configurations, file artifacts uploaded to the Dossier and Slides apps did not inherit security markings of the... |
| CVE-2025-62506 | MinIO vulnerable to privilege escalation via session policy bypass in service accounts and STS |
| CVE-2025-62647 | The Restaurant Brands International (RBI) assistant platform through 2025-09-06 provides the functionality of returning a JWT... |
| CVE-2025-62648 | The Restaurant Brands International (RBI) assistant platform through 2025-09-06 allows remote attackers to adjust Drive Thru... |
| CVE-2025-62651 | The Restaurant Brands International (RBI) assistant platform through 2025-09-06 does not implement access control for the bat... |
| CVE-2025-62730 | Privilege Escalation via Incorrect Authorization in SOPlanning |
| CVE-2025-62795 | JumpServer Unauthorized LDAP Configuration Access via WebSocket |
| CVE-2025-64421 | Coolify has a privilege escalation - low privileged user can invite themselves as an admin user |
| CVE-2025-64490 | SuiteCRM's Inconsistent RBAC Enforcement Enables Access Control Bypass |
| CVE-2025-64641 | Mattermost Jira plugin crafted action leaks Jira issue details |
| CVE-2025-64707 | Frappe LMS revoking access did not show immediate effect as roles were cached |
| CVE-2025-64746 | Directus has Improper Permission Handling on Deleted Fields |
| CVE-2025-64753 | grist-core has insufficient access control in endpoints for comparisons between documents and versions |
| CVE-2025-65002 | Fujitsu / Fsas Technologies iRMC S6 on M5 before 1.37S mishandles Redfish/WebUI access if the length of a username is exactly... |
| CVE-2025-65073 | OpenStack Keystone before 26.0.1, 27.0.0, and 28.0.0 allows a /v3/ec2tokens or /v3/s3tokens request with a valid AWS Signatur... |
| CVE-2025-6549 | Junos OS: SRX Series: J-Web can be exposed on additional interfaces |
| CVE-2025-66005 | Lack of Authentication in the InputManager D-Bus interface |
| CVE-2025-66360 | An issue was discovered in Logpoint before 7.7.0. An improperly configured access control policy exposes sensitive Logpoint i... |
| CVE-2025-66378 | Pexip Infinity 38.0 and 38.1 before 39.0 has insufficient access control in the RTMP implementation, allowing an attacker to... |
| CVE-2025-66406 | Improper Authorization Check for SSH Certificate Revocation |
| CVE-2025-66423 | Tryton trytond 6.0 before 7.6.11 does not enforce access rights for the route of the HTML editor. This is fixed in 7.6.11, 7.... |
| CVE-2025-66424 | Tryton trytond 6.0 before 7.6.11 does not enforce access rights for data export. This is fixed in 7.6.11, 7.4.21, 7.0.40, and... |
| CVE-2025-66433 | HTCondor Access Point before 25.3.1 allows an authenticated user to impersonate other users on the local machine by submittin... |
| CVE-2025-66581 | Frappe LMS is Missing Server-Side Authorization in Business Logic |
| CVE-2025-66623 | Strimzi allows unrestricted access to all Secrets in the same Kubernetes namespace from Kafka Connect and MirrorMaker 2 opera... |
| CVE-2025-6707 | Race condition in privilege cache invalidation cycle |
| CVE-2025-67490 | Auth0 Next.js SDK has Improper Request Caching Lookup |
| CVE-2025-68129 | Auth0-PHP SDK has Improper Audience Validation |
| CVE-2025-68140 | EVerest allows null session ID to bypass session ID verification |
| CVE-2025-68386 | Kibana Improper Authorization |
| CVE-2025-68422 | Kibana Improper Authorization |
| CVE-2025-68476 | KEDA has Arbitrary File Read via Insufficient Path Validation in HashiCorp Vault Service Account Credential |
| CVE-2025-68660 | Discourse AI Discover's continue conversation allows threat actor to impersonate user |
| CVE-2025-68666 | Discourse users archives leaked to users with moderation privileges |
| CVE-2025-6892 | An Incorrect Authorization vulnerability has been identified in Moxa’s network security appliances and routers. A flaw in the... |
| CVE-2025-68933 | Discourse non-admin moderators can exfiltrate private content via post ownership transfer |
| CVE-2025-68938 | Gitea before 1.25.2 mishandles authorization for deletion of releases. |
| CVE-2025-68940 | In Gitea before 1.22.5, branch deletion permissions are not adequately enforced after merging a pull request. |
| CVE-2025-68941 | Gitea before 1.22.3 mishandles access to a private resource upon receiving an API token with scope limited to public resource... |
| CVE-2025-69218 | Discourse moderators can access admin-only reports exposing private upload URLs |
| CVE-2025-69289 | Discourse has insecure default configuration that allows non-admin moderators to takeover any non-staff account via email cha... |
| CVE-2025-69414 | Plex Media Server (PMS) through 1.42.2.10156 allows retrieval of a permanent access token via a /myplex/account call with a t... |
| CVE-2025-69416 | In the plex.tv backend for Plex Media Server (PMS) through 2025-12-31, a non-server device token can retrieve other tokens (i... |
| CVE-2025-69417 | In the plex.tv backend for Plex Media Server (PMS) through 2025-12-31, a non-server device token can retrieve share tokens (i... |
| CVE-2025-6981 | Incorrect authorization vulnerability was identified in GitHub Enterprise Server that allowed unauthorized read-only access |
| CVE-2025-7374 | WP JobHunt <= 7.6 Authenticated (Custom+) Authorization Bypass |
| CVE-2025-7736 | Incorrect Authorization in GitLab |
| CVE-2025-7773 | Rockwell Automation ArmorBlock 5000 I/O – Web Server Vulnerabilities |
| CVE-2025-7974 | rocket.chat Incorrect Authorization Information Disclosure Vulnerability |
| CVE-2025-8068 | HT Mega – Absolute Addons For Elementor <= 2.9.1 - Improper Authorization to Authenticated (Contributor+) Limited Administrat... |
| CVE-2025-8148 | CVE-2025-8148 Improper Access Control in SFTP service of GoAnywhere MFT |
| CVE-2025-8434 | code-projects Online Movie Streaming admin.php authorization |
| CVE-2025-8435 | code-projects Online Movie Streaming admin-control.php authorization |
| CVE-2025-8533 | Incorrect Authorization of XPC Service in Fantastical.app |
| CVE-2025-8796 | LitmusChaos Litmus Delete Request delete_project authorization |
| CVE-2025-8807 | xujeff tianti 天梯 save authorization |
| CVE-2025-8886 | Authorization Bypass in Usta Information Systems' Aybs Interaktif |
| CVE-2025-8944 | OceanWP < 4.1.2 - Subscriber+ Limited Option Update |
| CVE-2025-9056 | Unprotected service in the AudioLink component allows a local attacker to overwrite system files via unauthorized service inv... |
| CVE-2025-9228 | Insufficient authorization when creating notes |
| CVE-2025-9376 | Block Bad Bots and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection <= 11.58 - Insufficient Authorization to Unaut... |
| CVE-2026-0684 | CP Image Store with Slideshow <= 1.1.9 - Missing Authorization to Authenticated (Contributor+) Arbitrary Product Import |
| CVE-2026-0713 | Без описания... |
| CVE-2026-0831 | Templately <= 3.4.8 - Unauthenticated Limited Arbitrary JSON File Write |
| CVE-2026-0997 | Mattermost Zoom Plugin channel preference API lacks authorization checks |
| CVE-2026-1007 | Incorrect Authorization vulnerability in virtual gateway component in Devolutions Server allows attackers to bypass deny IP r... |
| CVE-2026-1471 | Caching of authentication context |
| CVE-2026-1497 | Incorrect privilege assignment in composite databases |
| CVE-2026-1514 | 2100 Technology|Official Document Management System - Incorrect Authorization |
| CVE-2026-1524 | Auth misconfiguration when multiple providers enabled |
| CVE-2026-1553 | Drupal Canvas - Moderately critical - Access bypass - SA-CONTRIB-2026-006 |
| CVE-2026-1734 | Zhong Bang CRMEB crontab Endpoint CrontabController.php authorization |
| CVE-2026-1768 | A permission cache poisoning vulnerability in Devolutions Server allows authenticated users to bypass permissions to access e... |
| CVE-2026-1897 | WeKan Position-History Tracking positionHistory.js PositionHistoryBleed authorization |
| CVE-2026-1999 | Server-Side Request Forgery in GitHub Enterprise Server Webhook Delivery Allows Access to Internal Services |
| CVE-2026-2126 | User Submitted Posts <= 20260113 - Incorrect Authorization to Unauthenticated Category Restriction Bypass via 'user-submitted... |
| CVE-2026-21309 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2026-21359 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2026-21621 | Improper Scope Enforcement in OAuth client_credentials Flow Allows Read-Only API Key to Escalate to Full Access |
| CVE-2026-21896 | Kirby is missing permission checks in the content changes API |
| CVE-2026-22042 | RustFS has IAM Incorrect Authorization in ImportIam that Allows Privilege Escalation |
| CVE-2026-2208 | WeKan Rules rules.js RulesBleed authorization |
| CVE-2026-22230 | OPEXUS eCASE Audit incorrect access control |
| CVE-2026-22253 | Soft Serve is missing an authorization check in LFS lock deletion |
| CVE-2026-22595 | Ghost has Staff Token permission bypass |
| CVE-2026-22784 | Lychee cross-album password propagation on Album unlocking |
| CVE-2026-22806 | vCluster Platform's Access Keys Allows Access Beyond Scope |
| CVE-2026-22822 | External Secrets Operator insecurely retrieves secrets through the getSecretKey templating function |
| CVE-2026-22892 | Insufficient Authorization in Mattermost Jira Plugin Allows Unauthorized Access to Post Attachments |
| CVE-2026-2293 | NestJS 11.1.13 - Lack of data validation allowing authentication/authorization bypass |
| CVE-2026-23572 | Improper Access Control in TeamViewer clients |
| CVE-2026-23632 | Gogs user can update repository content with read-only permission |
| CVE-2026-23837 | MyTube has an Authorization Bypass vulnerability |
| CVE-2026-2386 | The Plus Addons for Elementor – Addons for Elementor, Page Templates, Widgets, Mega Menu, WooCommerce <= 6.4.7 - Incorrect Au... |
| CVE-2026-23925 | Unauthorized host creation via configuration.import API by low-privilege user with write permissions |
| CVE-2026-23961 | Mastodon may allow a remote suspension bypass |
| CVE-2026-23964 | Mastodon has insufficient access control to push notification settings |
| CVE-2026-23982 | Apache Superset: Improper Authorization in Dataset Creation Allows Access Control Bypass |
| CVE-2026-23984 | Apache Superset: SQLLab Read-Only Bypass on PostgreSQL |
| CVE-2026-23989 | REVA Public Link Exploit |
| CVE-2026-24003 | EvseV2G has sequence state validation bypass |
| CVE-2026-24428 | Tenda W30E V2 Incorrect Authorization Allows Administrator Password Change |
| CVE-2026-24480 | QGIS had validated RCE and Repository Takeover via GitHub Actions |
| CVE-2026-24487 | OpenEMR has FHIR Patient Compartment Bypass in CareTeam Resource |
| CVE-2026-2462 | Admin RCE via Malicious Plugin Upload on CI Test Instances |
| CVE-2026-24740 | Dozzle Agent Label-Based Access Control Bypass Allows Unauthorized Container Shell Access |
| CVE-2026-24742 | Discourse staff action logs expose sensitive information to moderators |
| CVE-2026-24748 | Kargo's `GetConfig()` and `RefreshResource()` API endpoints allow unauthenticated access |
| CVE-2026-24780 | AutoGPT is Vulnerable to RCE via Disabled Block Execution |
| CVE-2026-24851 | OpenFGA Improper Policy Enforcement |
| CVE-2026-25040 | Budibase Vulnerable to Privilege Escalation via API Abuse – Creator Can Invite Users with Admin/Any Role |
| CVE-2026-25127 | OpenEMR has Broken Access Control on Care Coordination Module |
| CVE-2026-25232 | Gogs has a Protected Branch Deletion Bypass in Web Interface |
| CVE-2026-25561 | WeKan < 8.19 Attachment Upload Object Relationship Validation Bypass |
| CVE-2026-25565 | WeKan < 8.19 Read-only Board Roles Can Update Cards |
| CVE-2026-25566 | WeKan < 8.19 Cross-board Card Move Without Destination Authorization |
| CVE-2026-25568 | WeKan < 8.19 allowPrivateOnly Setting Enforcement Bypass |
| CVE-2026-25729 | DeepAudit Affected by User Enumeration via Broken Access Control |
| CVE-2026-25741 | Zulip Vulnerable to Modification of Payment Method (Stripe Default Card) by Non-Billing Users |
| CVE-2026-25767 | LavinMQ has incomplete shovel configuration validation |
| CVE-2026-25811 | PlaciPy Email Domain Trust Enables Cross-Tenant Data Access (Multi-Tenant Isolation Failure) |
| CVE-2026-25859 | WeKan < 8.20 Migration Functionality Insufficient Permission Checks |
| CVE-2026-25875 | PlaciPy Admin Privilege Escalation via Trusted JWT Claims |
| CVE-2026-25890 | File Browser has a Path-Based Access Control Bypass via Multiple Leading Slashes in URL |
| CVE-2026-25924 | Kanboard is Missing Access Control on Plugin Installation leading to Administrative RCE |
| CVE-2026-25963 | Fleet: Authorization Bypass in certificate template batch deletion for team administrators |
| CVE-2026-26012 | vaultwarden has Full Cipher Enumeration Ignoring Organization Collection Permissions |
| CVE-2026-26031 | Frappe LMS affected by unauthorised user was able to access the full list of batch enrolled students |
| CVE-2026-26205 | opa-envoy-plugin has an Authorization Bypass via Double-Slash Path Misinterpretation in `input.parsed_path` |
| CVE-2026-26265 | Discourse has IDOR vulnerability in the directory items endpoint |
| CVE-2026-26308 | Envoy has an RBAC Header Validation Bypass via Multi-Value Header Concatenation |
| CVE-2026-26316 | OpenClaw has BlueBubbles webhook auth bypass via loopback proxy trust |
| CVE-2026-26328 | OpenClaw iMessage group allowlist authorization inherited DM pairing-store identities |
| CVE-2026-26336 | Hyland Alfresco Improper Authorization Arbitrary File Read |
| CVE-2026-26949 | Dell Device Management Agent (DDMA), versions prior to 26.02, contain an Incorrect Authorization vulnerability. A low privile... |
| CVE-2026-26963 | Cilium may not enforce host firewall policies when Native Routing, WireGuard and Node Encryption are enabled |
| CVE-2026-26973 | Discourse doesn't scope reviewable notes to user-visible reviewables |
| CVE-2026-27112 | Kargo has an Authorization Bypass Vulnerability in Batch Resource Creation API Endpoints |
| CVE-2026-27153 | Discourse doesn't prevent moderators from exporting user Chat DMs |
| CVE-2026-27607 | RustFS's Missing Post Policy Validation leads to Arbitrary Object Write |
| CVE-2026-27802 | Vaultwarden: Privilege Escalation via Bulk Permission Update to Unauthorized Collections by Manager |
| CVE-2026-27803 | Vaultwarden: Collection Management Operations Allowed Without `manage` Verification for Manager Role |
| CVE-2026-27899 | WireGuard Portal Vulnerable to Privilege Escalation to Admin via User Self-Update |
| CVE-2026-2819 | Dromara RuoYi-Vue-Plus Workflow deleteByInstanceIds SaServletFilter authorization |
| CVE-2026-28227 | Discourse Vulnerable to Unauthorized Topic Creation in Staff-Only Categories via Topic Timer publish_to_category |
| CVE-2026-28229 | Argo Workflows has unauthorized access to Argo Workflows Template |
| CVE-2026-28354 | ClipBucket v5 has IDOR in Collection Item Management |
| CVE-2026-28466 | OpenClaw < 2026.2.14 - Remote Code Execution via Node Invoke Approval Bypass |
| CVE-2026-28473 | OpenClaw < 2026.2.2 - Authorization Bypass via /approve Chat Command |
| CVE-2026-28474 | OpenClaw Nextcloud Talk < 2026.2.6 - Allowlist Bypass via actor.name Display Name Spoofing |
| CVE-2026-28513 | Pocket ID: OIDC authorization code validation uses AND instead of OR, allowing cross-client token exchange |
| CVE-2026-28709 | Unauthorized resource manipulation due to improper authorization checks. The following products are affected: Acronis Cyber P... |
| CVE-2026-28715 | Sensitive information disclosure due to improper authorization checks. The following products are affected: Acronis Cyber Pro... |
| CVE-2026-28716 | Information disclosure and manipulation due to improper authorization checks. The following products are affected: Acronis Cy... |
| CVE-2026-28719 | Unauthorized resource manipulation due to improper authorization checks. The following products are affected: Acronis Cyber P... |
| CVE-2026-28720 | Unauthorized modification of settings due to insufficient authorization checks. The following products are affected: Acronis... |
| CVE-2026-28723 | Unauthorized report deletion due to insufficient access control. The following products are affected: Acronis Cyber Protect 1... |
| CVE-2026-28724 | Unauthorized data access due to insufficient access control validation. The following products are affected: Acronis Cyber Pr... |
| CVE-2026-28726 | Sensitive information disclosure due to improper access control. The following products are affected: Acronis Cyber Protect 1... |
| CVE-2026-28790 | OliveTin: Unauthenticated Action Termination via KillAction When Guests Must Login |
| CVE-2026-29087 | @hono/node-server: Authorization bypass for protected static paths via encoded slashes in Serve Static Middleware |
| CVE-2026-29182 | Parse Server: Cloud Hooks and Cloud Jobs bypass `readOnlyMasterKey` write restriction |
| CVE-2026-29194 | Netmaker: Insufficient Authorization in Host Token Verification |
| CVE-2026-29195 | Netmaker: Privilege Escalation from Admin to Super-Admin via User Update |
| CVE-2026-29196 | Netmaker: Service User with Network Access Can Access config files with WireGuard Private Keys |
| CVE-2026-29773 | kubewarden-controller cross-namespace data exfiltration via deprecated host callback binding |
| CVE-2026-30228 | Parse Server: File creation and deletion bypasses `readOnlyMasterKey` write restriction |
| CVE-2026-30229 | Parse Server: Endpoint `/loginAs` allows `readOnlyMasterKey` to gain full read and write access as any user |
| CVE-2026-30236 | OpenProject users that are not project members can be used to calculate Labor Budget, leaking their global hourly rate |
| CVE-2026-30239 | OpenProject has a Permission Check bypass on Budget deletion allows reassignment of WorkPackages into other budgets |
| CVE-2026-30241 | Mercurius: queryDepth limit bypassed for WebSocket subscriptions |
| CVE-2026-30820 | Flowise Authorization Bypass via Spoofed x-request-from Header |
| CVE-2026-30854 | Parse Server: GraphQL `__type` introspection bypass via inline fragments when public introspection is disabled |
| CVE-2026-30943 | Gokapi has Privilege Escalation in File Replace |
| CVE-2026-30944 | StudioCMS Affected by Privilege Escalation via Insecure API Token Generation |
| CVE-2026-30945 | StudioCMS: IDOR — Arbitrary API Token Revocation Leading to Denial of Service |
| CVE-2026-30947 | Parse Server ha a bypass of class-level permissions in LiveQuery |
| CVE-2026-30965 | Parse Server session token exfiltration via `redirectClassNameForKey` query parameter |
| CVE-2026-3103 | Deletion of passwords via RestApi |
| CVE-2026-3136 | Google Cloud Build Comment Control Bypass |
| CVE-2026-31801 | zot create-only policy allows overwrite attempts of existing latest tag (update permission not required) |
| CVE-2026-31838 | Istio HTTP debug endpoints on port 15014 to enforce namespace-based authorization, preventing cross-namespace proxy data acce... |
| CVE-2026-31887 | Shopware unauthenticated data extraction possible through store-api.order endpoint |
| CVE-2026-31892 | WorkflowTemplate Security Bypass via podSpecPatch in Strict/Secure Reference Mode |
| CVE-2026-32059 | OpenClaw 2026.2.22-2 < 2026.2.23 - Allowlist Bypass via sort Long-Option Abbreviation in tools.exec.safeBins |
| CVE-2026-32101 | StudioCMS S3 Storage Manager Authorization Bypass via Missing `await` on Async Auth Check |
| CVE-2026-32102 | OliveTin Unauthorized Action Output Disclosure via EventStream |
| CVE-2026-32108 | Copyparty ftp/sftp: Sharing a single file did not fully restrict source-folder access |
| CVE-2026-32123 | OpenEMR: Therapy Group Sensitivity ACL No Longer Enforced |
| CVE-2026-32245 | Tinyauth's OIDC authorization codes are not bound to client on token exchange |
| CVE-2026-3236 | In affected versions of Octopus Server it was possible to create a new API key from an existing access token resulting in the... |
| CVE-2026-32597 | PyJWT accepts unknown `crit` header extensions (RFC 7515 §4.1.11 MUST violation) |
| CVE-2026-32715 | AnythingLLM Manager Privilege Bypass Allows Access to Admin-Only System Preferences |
| CVE-2026-32717 | AnythingLLM access control bypass: suspended users can continue using Browser Extension API keys |
| CVE-2026-3977 | projectsend AJAX Endpoints authorization |
| CVE-2026-4265 | Guest user can upload files without permission across teams |
| CVE-2026-21274 | Dreamweaver Desktop | Incorrect Authorization (CWE-863) |
| CVE-2026-21285 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2026-21286 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2026-21289 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2026-21296 | Adobe Commerce | Incorrect Authorization (CWE-863) |
| CVE-2026-21297 | Adobe Commerce | Incorrect Authorization (CWE-863) |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230621-13 | 21.06.2023 | Обход безопасности в Adobe Commerce (formerly Magento Commerce) |
| VULN:20230825-11 | 25.08.2023 | Повышение привилегий в D-Link DIR-645 firmware |
| VULN:20230825-12 | 25.08.2023 | Повышение привилегий в D-Link DIR-885L |
| VULN:20230825-14 | 25.08.2023 | Повышение привилегий в D-Link DIR-895 |
| VULN:20240205-1 | 05.02.2024 | Повышение привилегий в BuildKit |
| VULN:20240805-4 | 05.08.2024 | Выполнение произвольного кода в Calibre |
| VULN:20240812-35 | 12.08.2024 | Повышение привилегий в Docker |
| VULN:20241014-93 | 14.10.2024 | Обход безопасности в Cisco IOS XE Software |
| VULN:20241227-21 | 27.12.2024 | Повышение привилегий в Dell PowerStore T Family |
| VULN:20250117-5 | 17.01.2025 | Повышение привилегий в Dell OpenManage Network Integration (OMNI) |
| VULN:20250210-29 | 10.02.2025 | Выполнение произвольного кода в Rockwell Automation FactoryTalk View ME |
| VULN:20250331-3 | 31.03.2025 | Повышение привилегий в FortiSandbox |
| VULN:20250526-24 | 26.05.2025 | Выполнение произвольного кода в Adobe ColdFusion |
| VULN:20260126-9 | 26.01.2026 | Отказ в обслуживании в GitLab Community Edition (CE) and Enterprise Edition (EE) |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.