Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
Каталог Справка открывает раздел документации по каталогам.
Уязвимости CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-88
Improper Neutralization of Argument Delimiters in a Command ('Argument Injection')
The product constructs a string for a command to be executed by a separate component
in another control sphere, but it does not properly delimit the
intended arguments, options, or switches within that command string.
| Тип уязвимости: | Не зависит от других уязвимостей |
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2018-01006 | Уязвимость компонента SNMP Agent микропрограммного обеспечения контроллеров удаленного доступа iDRAC7, iDRAC8 и iDRAC9, позволяющая нарушителю выполнять произвольные команды |
| BDU:2020-00752 | Уязвимость модуля Gem::UserInteraction системы управления пакетами RubyGems, позволяющая нарушителю нарушить целостность данных |
| BDU:2020-04283 | Уязвимость интерфейса командной строки системы сетевого управления центром обработки данных Cisco Data Center Network Manager, позволяющая нарушителю выполнить произвольные команды с привилегиями root в базовой операционной системе |
| BDU:2020-05174 | Уязвимость интерфейса командной строки (CLI) программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код |
| BDU:2021-00778 | Уязвимость шаблонов java-фреймворка Apache Camel, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-01819 | Уязвимость компонента CLI операционных систем Cisco IOS XE маршрутизаторов Cisco IOS XE SD-WAN, позволяющая нарушителю получить доступ к базовой операционной системе с привилегиями суперпользователя |
| BDU:2021-01820 | Уязвимость компонента CLI операционных систем Cisco IOS XE маршрутизаторов Cisco IOS XE SD-WAN, позволяющая нарушителю получить доступ к базовой операционной системе с привилегиями суперпользователя |
| BDU:2021-02018 | Уязвимость интерфейса командной строки (CLI) операционной системы Cisco IOS XR, позволяющая нарушителю выполнить произвольные команды в базовой операционной системе Linux |
| BDU:2021-02415 | Уязвимость веб-интерфейса vManage программно-определяемой сети Cisco SD-WAN, позволяющая нарушителю выполнить произвольные команды или вызвать отказ в обслуживании |
| BDU:2021-02691 | Уязвимость приложения сбора и агрегации данных из контроллеров и точек доступа Cisco DNA Spaces Connector, связанная с внедрением или модификацией аргумента, позволяющая нарушителю выполнять произвольные команды с привилегиями root |
| BDU:2021-02697 | Уязвимость веб-интерфейса инструмента сетевого моделирования Cisco Modeling Labs, позволяющая нарушителю выполнить произвольные команды |
| BDU:2021-02763 | Уязвимость функции spool_read_header() агента пересылки сообщений Exim, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю обойти ограничения безопасности |
| BDU:2021-03746 | Уязвимость компонента encoding.c оконного менеджера GNU Screen, связанная с внедрением или модификацией аргумента, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2021-04576 | Уязвимость сервера SSH Server операционной системы Cisco IOS XR, позволяющая нарушителю прочитать и перезаписать произвольные файлы |
| BDU:2021-04732 | Уязвимость компонента CLI операционной системы Cisco IOS XR, позволяющая нарушителю выполнить произвольные команды |
| BDU:2021-04733 | Уязвимость компонента CLI операционной системы Cisco IOS XR, позволяющая нарушителю выполнить произвольные команды |
| BDU:2021-04771 | Уязвимость текстового редактора Etherpad, связанная с внедрением или модификацией аргумента, позволяющая нарушителю выполнить произвольный код |
| BDU:2021-05213 | Уязвимость компонента HgDriver менеджера зависимостей для PHP Composer, связанная с внедрением или модификацией аргумента, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| BDU:2022-00055 | Уязвимость интерфейса командной строки браузера Google Chrome, позволяющая нарушителю проводить спуфинг-атаки |
| BDU:2022-00196 | Уязвимость интерпретатора языка программирования Ruby, связанная с внедрением или модификацией аргумента, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2022-04001 | Уязвимость веб-приложения управления учетными записями LDAP Account Manager, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-04431 | Уязвимость реализации интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств Zyxel, позволяющая нарушителю выполнить произвольные команды |
| BDU:2022-04814 | Уязвимость реализации интерфейса API FileUtil.unTar(File, File) платформы для распределенной разработки и выполнения программ Apache Hadoop, позволяющая нарушителю выполнить произвольные команды |
| BDU:2022-05027 | Уязвимость компонента Discovery программного обеспечения управления инфраструктурой центра обработки данных Device42, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-05798 | Уязвимость браузеров Mozilla Firefox и Mozilla Firefox ESR для Windows, связанная с непринятием мер по чистке данных на управляющем уровне, позволяющая нарушителю выполнить произвольные команды |
| BDU:2022-07468 | Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения маршрутизаторов Cisco SD-WAN, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю вызвать отказ в обслуживании |
| BDU:2023-01772 | Уязвимость пакета офисных программ Apache OpenOffice, связанная с недостаточной проверкой входных данных при обработке аргументов, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-02039 | Уязвимость функции initializePlugin файла sipXopenfire\presence-plugin\src\org\sipfoundry\openfire\plugin\presence\SipXOpenfirePlugin.java. сервера PBX корпоративной системы управления IP-телефонией CoreDial sipXcom sipXopenfire, позволяющая нарушите... |
| BDU:2023-02310 | Уязвимость платформы управления кластерами ClusterEngine, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-03272 | Уязвимость функции HandleFileArg инструмент сжатия XML-данных Xmill, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-04160 | Уязвимость расширения Cgo языка программирования Go, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-05020 | Уязвимость интерфейса командной строки программного обеспечения для анализа сетей Cisco ThousandEyes Enterprise Agent, позволяющая нарушителю повысить свои привилегии до уровня root |
| BDU:2023-06075 | Уязвимость платформы для разработки и доставки контейнерных приложений Docker Desktop, связанная с внедрением или модификацией аргумента, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-06439 | Уязвимость реализации протокола связи микропрограммного обеспечения маршрутизаторов ER2000, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-06533 | Уязвимость реализации протокола связи микропрограммного обеспечения маршрутизаторов ER2000, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-07542 | Уязвимость утилиты buc Traceroute, связанная с неправильной обработкой строк кода, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-00092 | Уязвимость реализации прикладного программного интерфейса операционной системы PAN-OS, позволяющая нарушителю выполнять произвольный код |
| BDU:2024-00163 | Уязвимость пакета офисных программ Apache OpenOffice, связанная с недостаточной проверкой входных данных при обработке аргументов, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-00991 | Уязвимость интерфейса программной строки системы мониторинга и управления сетевым оборудованием Cisco Prime Infrastructure и программного средства управления сетевыми сервисами Cisco Evolved Programmable Network (EPN) Manager, позволяющая нарушителю... |
| BDU:2024-01118 | Уязвимость микропрограммного обеспечения роутеров BUFFALO VR-S1000, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01181 | Уязвимость веб-интерфейса управления микропрограммного обеспечения Wi-Fi роутера Cisco WAP371, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-01572 | Уязвимость компонента runtar.c. программного средства резервного копирования с открытым исходным кодом Advanced Maryland Automatic Network Disk Archiver (Amanda), позволяющая нарушителю повысить свои привилегии |
| BDU:2024-01579 | Уязвимость метода getParams программного обеспечения для промышленной автоматизации Inductive Automation Ignition, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-01612 | Уязвимость микропрограммного обеспечения антивандальной сетевой IP-станции Commend WS203VICM, связанная с внедрением или модификацией аргументов, позволяющая нарушителю перезагрузить систему |
| BDU:2024-02281 | Уязвимость библиотеки Ruby/Git интерпретатора Ruby, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-02838 | Уязвимость реализации прикладного программного интерфейса интерпретатора языка программирования Rust для операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03113 | Уязвимость интерфейса xdg-desktop-portal инструмента для управления приложениями и средами Flatpak, позволяющая нарушителю выйти из изолированной программной среды и получить доступ к файлам в базовой системе |
| BDU:2024-03474 | Уязвимость микропрограммного обеспечения настольных телефонов Mitel серии 6800, 6900, 6900w и 6970, связанная с внедрением или модификацией аргумента, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, изменить конфиг... |
| BDU:2024-04393 | Уязвимость системы контроля доступа и мониторинга событий LenelS2 NetBox, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-05765 | Уязвимость программного средства создания самоуправляемых Git-репозиториев Gogs, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнять произвольные команды |
| BDU:2024-05768 | Уязвимость программного средства создания самоуправляемых Git-репозиториев Gogs, связанная с внедрением или модификацией аргументов, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2024-05787 | Уязвимость библиотеки go-getter оркестратора приложений Nomad, связанная с неправильной нейтрализацией разделителей аргументов в команде, позволяющая нарушителю отформатировать URL-адрес Git, чтобы внедрить дополнительные аргументы Git в вызов Git |
| BDU:2024-06717 | Уязвимость функция std::process::Command компонента File Extension языка программирования Rust операционных систем Windows, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-06787 | Уязвимость микропрограммного обеспечения SIP-телефонов Mitel серий 6800, 6900, 6970 и 6900w, связанная с внедрением или модификацией аргумента, позволяющая нарушителю выполнить произвольные команды |
| BDU:2024-08789 | Уязвимость программного обеспечения для обеспечения безопасности SINEC Security Monitor, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнить произвольный код с привилегиями root |
| BDU:2024-10010 | Уязвимость конфигурации register_argc_argv = On PHP-фреймворка Laravel, позволяющая нарушителю оказать воздействие на целостность защищаемой информации |
| BDU:2024-10218 | Уязвимость реализации прикладного программного интерфейса платформы управления сетевыми ресурсами Cisco Nexus Dashboard Fabric Controller (NDFC), связанная с внедрением или модификацией аргументов, позволяющая нарушителю вызвать отказ в обслуживании. |
| BDU:2024-10716 | Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10717 | Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10718 | Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10719 | Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10725 | Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure, связанная с внедрением или модификацией аргументов, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-00210 | Уязвимость метода git-upload-pack библиотеки go-git, позволяющая нарушителю оказывать влияние на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-00887 | Уязвимость программного обеспечения для удалённого управления компьютером TeamViewer, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-03340 | Уязвимость модуля tqdm интерпретатора языка программирования Python, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-06563 | Уязвимость текстового редактора vim, связанная с внедрением или модификацией аргументов, позволяющая нарушителю получить доступ к конфиденциальной информации |
| BDU:2025-06625 | Уязвимость сценария transmit_file микропрограммного обеспечения Wi-Fi-чипов Quantenna, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-06626 | Уязвимость функции run_cmd() сценария router_command.sh микропрограммного обеспечения Wi-Fi-чипов Quantenna, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-06627 | Уязвимость функции get_syslog_from_qtn() сценария router_command.sh микропрограммного обеспечения Wi-Fi-чипов Quantenna, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-06628 | Уязвимость функции sync_time() сценария router_command.sh микропрограммного обеспечения Wi-Fi-чипов Quantenna, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-06629 | Уязвимость функции put_file_to_qtn() сценария router_command.sh микропрограммного обеспечения Wi-Fi-чипов Quantenna, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-06630 | Уязвимость функции get_file_from_qtn() сценария router_command.sh микропрограммного обеспечения Wi-Fi-чипов Quantenna, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-06631 | Уязвимость сценария set_tx_pow микропрограммного обеспечения Wi-Fi-чипов Quantenna, позволяющая нарушителю выполнить произвольные команды |
| BDU:2025-06633 | Уязвимость команды AT+MNPINGTM микропрограммного обеспечения промышленных маршрутизаторов Microhard IPn4Gii-NA2 и BulletLTE-NA2, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-06634 | Уязвимость команды AT+MNNETSP микропрограммного обеспечения промышленных маршрутизаторов Microhard IPn4Gii-NA2 и BulletLTE-NA2, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-06635 | Уязвимость команды AT+MFIP микропрограммного обеспечения промышленных маршрутизаторов Microhard IPn4Gii-NA2 и BulletLTE-NA2, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-06636 | Уязвимость команды AT+MFPORTFWD микропрограммного обеспечения промышленных маршрутизаторов Microhard IPn4Gii-NA2 и BulletLTE-NA2, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-06637 | Уязвимость команды AT+MFMAC микропрограммного обеспечения промышленных маршрутизаторов Microhard IPn4Gii-NA2 и BulletLTE-NA2, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-06638 | Уязвимость команды AT+MMNAME микропрограммного обеспечения промышленных маршрутизаторов Microhard IPn4Gii-NA2 и BulletLTE-NA2, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-06639 | Уязвимость команды AT+MFRULE микропрограммного обеспечения промышленных маршрутизаторов Microhard IPn4Gii-NA2 и BulletLTE-NA2, позволяющая нарушителю повысить свои привилегии |
| BDU:2025-08964 | Уязвимость функции NetworkServlet.backupDatabase() системы централизованного управления сетевыми устройствами и портами Advantech iView, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-08966 | Уязвимость функции NetworkServlet.restoreDatabase() системы централизованного управления сетевыми устройствами и портами Advantech iView, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-09133 | Уязвимость платформы управления устройствами систем отопления, вентиляции и кондиционирования воздуха, освещения и энергопотребления Niagara Framework и средства контроля доступа и обеспечения безопасности Niagara Enterprise Security, связанная с нек... |
| BDU:2025-09361 | Уязвимость графический интерфейс пользователя Git GUI, связанная с внедрением или модификацией аргументов, позволяющая нарушителю создавать или перезаписывать произвольные файлы |
| BDU:2025-09792 | Уязвимость программной платформы управления сетевой инфраструктурой Versa Director, связанная с непринятием мер по нейтрализации особых элементов в выходных данных, позволяющая нарушителю обойти существующие ограничения безопасности и загрузить произ... |
| BDU:2025-11542 | Уязвимость функции mailSend библиотеки PHPMailer, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-12854 | Уязвимость программного средства защиты данных посредством резервного копирования PowerProtect Data Domain, программного средства защиты данных в корпоративной среде с использованием облачных технологий APEX Protection Storage, платформы защиты данны... |
| BDU:2025-12869 | Уязвимость программного средства защиты данных посредством резервного копирования PowerProtect Data Domain, программного средства защиты данных в корпоративной среде с использованием облачных технологий APEX Protection Storage, платформы защиты данны... |
| BDU:2025-14505 | Уязвимость функции gettreesha() инструмента для автоматической регистрации сервисов в контейнерах Docker Registrator, позволяющая нарушителю выполнить произвольный код |
| BDU:2026-00135 | Уязвимость компонента EDA платформы автоматизации Red Hat Ansible Automation Platform, позволяющая нарушителю выполнять произвольные команды |
| BDU:2026-00709 | Уязвимость сервера telnetd пакета сетевых программ Inetutils, позволяющая нарушителю обойти существующие механизмы безопасности |
| BDU:2026-02541 | Уязвимость обработчика setDiagnosisCfg исполняемого файла /usr/sbin/lighttpd микропрограммного обеспечения роутеров TOTOLINK X5000R, позволяющая нарушителю внедрять произвольные параметры командной строки |
| BDU:2026-02751 | Уязвимость набора инструментов для работы с Network Block Device Libnbd, связанная с внедрением или модификацией аргумента, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживани... |
| BDU:2026-03034 | Уязвимость средства выявления и принятия мер реагирования на внешние и внутренние угрозы безопасности Fortinet FortiDeceptor, связанная с внедрением или модификацией аргументов, позволяющая нарушителю удалять конфиденциальные файлы |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2017-1001003 | math.js before 3.17.0 had an issue where private properties such as a constructor could be replaced by using unicode characte... |
| CVE-2019-3931 | Crestron AM-100 with firmware 1.6.0.2 and AM-101 with firmware 2.7.0.2 are vulnerable to argumention injection to the curl bi... |
| CVE-2019-5012 | An exploitable privilege escalation vulnerability exists in the Wacom, driver version 6.3.32-3, update helper service in the... |
| CVE-2019-5013 | An exploitable privilege escalation vulnerability exists in the Wacom, driver version 6.3.32-3, update helper service in the... |
| CVE-2020-1738 | A flaw was found in Ansible Engine when the module package or service is used and the parameter 'use' is not specified. If a... |
| CVE-2020-27129 | Cisco SD-WAN vManage Software Command Injection Vulnerability |
| CVE-2020-3380 | Cisco Data Center Network Manager Privilege Escalation Vulnerability |
| CVE-2020-7496 | A CWE-88: Argument Injection or Modification vulnerability exists in EcoStruxure Operator Terminal Expert 3.1 Service Pack 1... |
| CVE-2020-7808 | RAONWIZ Inc K Upload, arguments modiffication via missing support for integrity check vulnerability |
| CVE-2020-7850 | Douzone ActiveX File Download and Execution Vulnerability |
| CVE-2020-7851 | Innorix File Transfer Solution File Download and Execution Vulnerability |
| CVE-2021-1484 | Cisco SD-WAN vManage Command Injection Vulnerability |
| CVE-2021-1485 | Cisco IOS XR Software Command Injection Vulnerability |
| CVE-2021-1531 | Cisco Modeling Labs Web UI Command Injection Vulnerability |
| CVE-2021-21384 | Null characters not escaped in shescape |
| CVE-2021-21386 | Improper Neutralization of Argument Delimiters in a Decompiling Package Process |
| CVE-2021-24030 | The fbgames protocol handler registered as part of Facebook Gameroom does not properly quote arguments passed to the executab... |
| CVE-2021-29472 | Missing argument delimiter can lead to code execution via VCS repository URLs or source download URLs on systems with Mercuri... |
| CVE-2021-3045 | PAN-OS: OS Command Argument Injection in Web Interface |
| CVE-2021-34718 | Cisco IOS XR Software Arbitrary File Read and Write Vulnerability |
| CVE-2021-3540 | Ivanti MobileIron Core clish Restricted Shell Escape via Argument Injection |
| CVE-2021-41146 | Arbitrary command execution on Windows in qutebrowser |
| CVE-2021-43809 | Local Code Execution through Argument Injection via dash leading git url parameter in Gemfile |
| CVE-2022-1399 | Remote code execution in scheduled tasks component |
| CVE-2022-20930 | Cisco SD-WAN Software Arbitrary File Corruption Vulnerability |
| CVE-2022-23740 | Improper Neutralization of Argument Delimiters in a Command in GitHub Enterprise Server leading to Remote Code Execution |
| CVE-2022-26532 | A argument injection vulnerability in the 'packet-trace' CLI command of Zyxel USG/ZyWALL series firmware versions 4.09 throug... |
| CVE-2022-29184 | Command Injection/Argument Injection in GoCD |
| CVE-2022-29215 | Argument Injection in RegionProtect |
| CVE-2022-31084 | Unauthenticated Remote Code Execution in ldap-account-manager |
| CVE-2022-31749 | Authenticated arbitrary file read/write in WatchGuard Fireware OS |
| CVE-2022-36322 | In JetBrains TeamCity before 2022.04.2 build parameter injection was possible |
| CVE-2022-40677 | A improper neutralization of argument delimiters in a command ('argument injection') in Fortinet FortiNAC versions 9.4.0, 9.2... |
| CVE-2022-44731 | A vulnerability has been identified in SIMATIC WinCC OA V3.15 (All versions < V3.15 P038), SIMATIC WinCC OA V3.16 (All versio... |
| CVE-2022-47502 | Apache OpenOffice: Macro URL arbitrary script execution |
| CVE-2022-4864 | Argument Injection in froxlor/froxlor |
| CVE-2023-0633 | In Docker Desktop on Windows before 4.12.0 an argument injection to installer may result in LPE |
| CVE-2023-26310 | Command Injection In OPPO Service |
| CVE-2023-34395 | Apache Airflow ODBC Provider: Remote code execution vulnerability |
| CVE-2023-44452 | Linux Mint Xreader CBT File Parsing Argument Injection Remote Code Execution Vulnerability |
| CVE-2023-47804 | Apache OpenOffice: Macro URL arbitrary script execution |
| CVE-2023-49096 | Argument Injection in FFmpeg codec parameters in Jellyfin |
| CVE-2023-50232 | Inductive Automation Ignition getParams Argument Injection Remote Code Execution Vulnerability |
| CVE-2023-6269 | Argument injection vulnerability in Atos Unify OpenScape Session Border Controller, Atos Unify OpenScape Branch and Atos Unif... |
| CVE-2023-6792 | PAN-OS: OS Command Injection Vulnerability in the XML API |
| CVE-2024-11633 | Argument injection in Ivanti Connect Secure before version 22.7R2.4 allows a remote authenticated attacker with admin privile... |
| CVE-2024-20287 | A vulnerability in the web-based management interface of the Cisco WAP371 Wireless-AC/N Dual Radio Access Point (AP) with Sin... |
| CVE-2024-20444 | Cisco Nexus Dashboard Fabric Controller REST API Command Injection Vulnerability |
| CVE-2024-22182 | Commend WS203VICM Argument Injection |
| CVE-2024-2422 | LenelS2 NetBox Improper Neutralization of Argumented Delimiters |
| CVE-2024-24576 | Rusts's `std::process::Command` did not properly escape arguments of batch files on Windows |
| CVE-2024-32462 | Flatpak vulnerable to a sandbox escape via RequestBackground portal due to bad argument parsing |
| CVE-2024-32884 | gix-transport indirect code execution via malicious username |
| CVE-2024-3367 | Argument injection to runmqsc |
| CVE-2024-35307 | Argument Injection Leading to Remote Code Execution in Realtime Graph Extension |
| CVE-2024-3684 | Improper Privilege Management was identified in GitHub Enterprise Server that allowed privilege escalation in the Management... |
| CVE-2024-3775 | aEnrich Technology a+HRD - Argument Injection |
| CVE-2024-3817 | HashiCorp go-getter Vulnerable to Argument Injection When Fetching Remote Default Git Branches |
| CVE-2024-43402 | Rust OS Command Injection/Argument Injection vulnerability |
| CVE-2024-47516 | Pagure: argument injection in pagurerepo.log() |
| CVE-2024-47553 | A vulnerability has been identified in Siemens SINEC Security Monitor (All versions < V4.9.0). The affected application does... |
| CVE-2024-47611 | XZ Utils on Microsoft Windows platform are vulnerable to argument injection |
| CVE-2024-51532 | Dell PowerStore contains an Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') vulnerability.... |
| CVE-2024-52301 | Laravel allows environment manipulation via query string |
| CVE-2024-7573 | Relevanssi Live Ajax Search <= 2.4 - Unauthenticated WP_Query Argument Injection |
| CVE-2024-9131 | A user with administrator privileges can perform command injection |
| CVE-2025-0065 | Improper Neutralization of Argument Delimiters in TeamViewer Clients |
| CVE-2025-12556 | IDIS ICM Viewer Argument Injection |
| CVE-2025-1712 | Arbitrary file write with vcrtrace |
| CVE-2025-21613 | go-git has an Argument Injection via the URL field |
| CVE-2025-23073 | API list=globalblocks can reveal IP of autoblock if username and IP are included in the bgtargets parameter |
| CVE-2025-24845 | Improper neutralization of argument delimiters in a command ('Argument Injection') issue exists in Defense Platform Home Edit... |
| CVE-2025-27146 | Matrix IRC Bridge allows IRC command injection to own puppeted user |
| CVE-2025-29768 | Vim vulnerable to potential data loss with zip.vim and special crafted zip files |
| CVE-2025-31499 | Jellyfin Vulnerable to Argument Injection in FFmpeg |
| CVE-2025-32455 | ON Semiconductor Quantenna router_command.sh (in the run_cmd argument) Argument Injection |
| CVE-2025-32456 | ON Semiconductor Quantenna router_command.sh (in the put_file_to_qtn argument) Argument Injection |
| CVE-2025-32457 | ON Semiconductor Quantenna router_command.sh (in the get_file_from_qtn argument) Argument Injection |
| CVE-2025-32458 | ON Semiconductor Quantenna router_command.sh (in the get_syslog_from_qtn argument) Argument Injection |
| CVE-2025-32459 | ON Semiconductor Quantenna router_command.sh (in the sync_time argument) Argument Injection |
| CVE-2025-32931 | DevDojo Voyager 1.4.0 through 1.8.0, when Laravel 8 or later is used, allows authenticated administrators to execute arbitrar... |
| CVE-2025-3459 | ON Semiconductor Quantenna transmit_file Argument Injection |
| CVE-2025-3460 | ON Semiconductor Quantenna set_tx_pow Argument Injection |
| CVE-2025-35004 | Microhard Bullet-LTE and IPn4Gii AT+MFIP Argument Injection |
| CVE-2025-35005 | Microhard Bullet-LTE and IPn4Gii AT+MFMAC Argument Injection |
| CVE-2025-35006 | Microhard Bullet-LTE and IPn4Gii AT+MFPORTFWD Argument Injection |
| CVE-2025-35007 | Microhard Bullet-LTE and IPn4Gii AT+MFRULE Argument Injection |
| CVE-2025-35008 | Microhard Bullet-LTE and IPn4Gii AT+MMNAME Argument Injection |
| CVE-2025-35009 | Microhard Bullet-LTE and IPn4Gii AT+MNNETSP Argument Injection |
| CVE-2025-35010 | Microhard Bullet-LTE and IPn4Gii AT+MNPINGTM Argument Injection |
| CVE-2025-36565 | Dell PowerProtect Data Domain with Data Domain Operating System (DD OS) of Feature Release versions 7.7.1.0 through 8.1.0.10,... |
| CVE-2025-3945 | Improper Neutralization of Argument Delimiters in a Command (‘Argument Injection’) |
| CVE-2025-43730 | Dell ThinOS 10, versions prior to 2508_10.0127, contains an Improper Neutralization of Argument Delimiters in a Command ('Arg... |
| CVE-2025-43905 | Dell PowerProtect Data Domain with Data Domain Operating System (DD OS) of Feature Release versions 7.7.1.0 through 8.3.0.15,... |
| CVE-2025-46835 | Git GUI can create and overwrite files for which the user has write permission |
| CVE-2025-47421 | Privilege escalation via SCP login |
| CVE-2025-48385 | Git alllows arbitrary file writes via bundle-uri parameter injection |
| CVE-2025-49008 | Atheos Improper Input Validation Vulnerability Enables RCE in Common.php |
| CVE-2025-49520 | Event-driven-ansible: authenticated argument injection in git url in eda project creation |
| CVE-2025-52459 | Advantech iView Argument Injection |
| CVE-2025-52480 | Registrator.jl Argument Injection Vulnerability |
| CVE-2025-53509 | Advantech iView Argument Injection |
| CVE-2025-53542 | Kubernetes Headlamp Allows Arbitrary Command Injection in macOS Process headlamp@codeSign |
| CVE-2025-57791 | Argument Injection Vulnerability in CommServe |
| CVE-2025-59433 | @conventional-changelog/git-client has an Argument Injection vulnerability |
| CVE-2025-59489 | Unity Runtime before 2025-10-02 on Android, Windows, macOS, and Linux allows argument injection that can result in loading of... |
| CVE-2025-59937 | go-mail has insufficient address encoding when passing mail addresses to the SMTP client |
| CVE-2025-6231 | An improper validation vulnerability was reported in Lenovo Vantage that under certain conditions could allow a local attacke... |
| CVE-2025-6232 | An improper validation vulnerability was reported in Lenovo Vantage that under certain conditions could allow a local attacke... |
| CVE-2025-62847 | QTS, QuTS hero |
| CVE-2025-66002 | Local users can perform arbitrary unmounts via smb4k mount helper due to lack of input validation |
| CVE-2025-67858 | A crafted "interface" input parameter can lead to integrity loss of the firewall configuration |
| CVE-2025-68144 | mcp-server-git argument injection in git_diff and git_checkout functions allows overwriting local files |
| CVE-2025-8276 | HTML Injection in Patika Global Technologies' HumanSuite |
| CVE-2026-0774 | WatchYourLAN Configuration Page Argument Injection Remote Code Execution Vulnerability |
| CVE-2026-1715 | An input validation vulnerability was reported in the DeviceSettingsSystemAddin used in Lenovo Vantage and Lenovo Baiying tha... |
| CVE-2026-1716 | An input validation vulnerability was reported in the DeviceSettingsSystemAddin used in Lenovo Vantage and Lenovo Baiying tha... |
| CVE-2026-1717 | An input validation vulnerability was reported in the LenovoProductivitySystemAddin used in Lenovo Vantage and Lenovo Baiying... |
| CVE-2026-20016 | A vulnerability in the Cisco FXOS Software CLI feature for Cisco Secure Firewall ASA Software and Secure FTD Software could a... |
| CVE-2026-20063 | Cisco Secure FTD Software Authenticated Command Injection Vulnerability |
| CVE-2026-22582 | Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') vulnerability in Salesforce Marketing Clou... |
| CVE-2026-22583 | Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') vulnerability in Salesforce Marketing Clou... |
| CVE-2026-23766 | Без описания... |
| CVE-2026-24061 | telnetd in GNU Inetutils through 2.7 allows remote authentication bypass via a "-f root" value for the USER environment varia... |
| CVE-2026-24126 | Weblate has an argument injection in management console |
| CVE-2026-24739 | Symfony has incorrect argument escaping under MSYS2/Git Bash on Windows that can lead to destructive file operations |
| CVE-2026-25134 | Group-Office Argument Injection in MaintenanceController::actionZipLanguage |
| CVE-2026-25689 | An improper neutralization of argument delimiters in a command ('argument injection') vulnerability in Fortinet FortiDeceptor... |
| CVE-2026-26194 | Gogs: Release tag option injection in release deletion |
| CVE-2026-27208 | api-gateway-deploy Affected by Exploitable Command Injection via Unprivileged Root Execution |
| CVE-2026-27613 | CGI Parameter Injection (Bypass of STRICT_CGI_PARAMS and EscapeShellParam) |
| CVE-2026-27947 | Group-Office Vulnerable to Remote Code Execution (RCE) |
| CVE-2026-28470 | OpenClaw < 2026.2.2 - Exec Allowlist Bypass via Command Substitution in Double Quotes |
| CVE-2026-3682 | welovemedia FFmate ffmpeg.go Execute argument injection |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20240226-6 | 26.02.2024 | Отказ в обслуживании в WS203VICM |
| VULN:20241014-40 | 14.10.2024 | Выполнение произвольного кода в Siemens SINEC Security Monitor |
| VULN:20250127-33 | 27.01.2025 | Выполнение произвольного кода в Hitachi Energy FOXMAN-UN and UNEM |
| VULN:20260223-44 | 23.02.2026 | Получение конфиденциальной информации в Ansible Automation Platform 2.5 packages |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.