Каталог уязвимостей - CWE - CWE-913

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

Каталог Справка открывает раздел документации по каталогам.

Уязвимости CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-913

Improper Control of Dynamically-Managed Code Resources

The product does not properly restrict reading from or writing to dynamically-managed code resources such as variables, objects, classes, attributes, functions, or executable instructions or statements.

Тип уязвимости:	Не зависит от других уязвимостей

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2019-01107	Уязвимость реализации протокола Fibre Channel over Ethernet (FCoE) сетевой операционной системы Cisco NX-OS маршрутизаторов Cisco, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2020-04335	Уязвимость компонента Windows GDI операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2020-04336	Уязвимость компонента Windows GDI операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2020-05530	Уязвимость программного обеспечения для веб-конференцсвязи Cisco Webex Meetings Server и Cisco Webex Meetings, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-04682	Уязвимость файлового менеджера Thunar, связанная с неправильным контролем доступа, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2022-00899	Уязвимость ядра операционной системы Linux, позволяющая нарушителю выполнить произвольный код
BDU:2022-05598	Уязвимость библиотеки vm2 пакетного менеджера NPM, позволяющая нарушителю выполнить произвольный код
BDU:2023-01956	Уязвимость объекта Error.prepareStackTrace библиотеки vm2 пакетного менеджера NPM, позволяющая нарушителю выйти из изолированной программной среды и выполнить произвольный код
BDU:2023-02119	Уязвимость преобразователя исходного кода библиотеки vm2 пакетного менеджера NPM, позволяющая нарушителю выйти из изолированной программной среды и выполнить произвольный код
BDU:2023-08340	Уязвимость сервера приложений Eclipse Glassfish, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю загружать вредоносный код на сервер
BDU:2023-08554	Уязвимость конфигурации struts.multipart.saveDir программной платформы Apache Struts, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2023-08618	Уязивмость системы управления контентом Crafter CMS, связанная с недостаточным контролем ресурсов с динамическим управлением, позволяющая нарушителю выполнить произвольный код
BDU:2024-00640	Уязвимость компонента Session Recording программного обеспечения для виртуализации и доставки приложений Citrix Virtual Apps и Desktops (CVAD) (ранее XenApp и XenDesktop), позволяющая нарушителю выполнить произвольный код
BDU:2024-01738	Уязвимость реализации прикладного программного интерфейса резервного копирования/восстановления поискового сервера Apache Solr, позволяющая нарушителю выполнить произвольный код в системе
BDU:2024-02430	Уязвимость прикладного программного интерфейса CRI-O Container Engine программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой инф...
BDU:2024-02676	Уязвимость модуля Pulsar Function Worker облачной платформы для распределенного обмена сообщениями и потоковой передачи Apache Pulsar, позволяющая нарушителю выполнить произвольный код
BDU:2025-03233	Уязвимость библиотеки пользовательского интерфейса Lite UI программного средства для планирования задач Apache ShardingSphere ElasticJob-UI, связанная с ошибкой назначения внутреннего индекса интерфейса, позволяющая нарушителю получить несанкциониров...
BDU:2025-05736	Уязвимость функции OTA загрузчика набора инструментов на базе платформы Gecko для разработки программного обеспечения Gecko SDK (GSDK), позволяющая нарушителю обойти ограничения безопасности и выполнить произвольный код
BDU:2025-10510	Уязвимость микропрограммного обеспечения модульных контроллеров зарядки переменного тока для зарядных станций и настенных зарядных устройств Phoenix Contact CHARX SEC-3000, связанная с недостаточным контролем ресурсов с динамическим управлением, позв...
BDU:2025-13873	Уязвимость класса Rack::Sendfile модульного интерфейса между веб-серверами и веб-приложениями Rack, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-16183	Уязвимость платформы для автоматизации рабочих процессов N8n, связанная с недостаточным контролем ресурсов с динамическим управлением, позволяющая нарушителю получить несанкционированный доступ к платформе
BDU:2026-00209	Уязвимость функции child_process() системы автоматической публикации Eclipse Open VSX Registry, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2026-01284	Уязвимость платформы для автоматизации рабочих процессов n8n, связанная с недостаточным контролем ресурсов с динамическим управлением, позволяющая нарушителю выполнить произвольный код
BDU:2026-03002	Уязвимость сетевого программного средства Apache Airflow, связанная с недостаточным контролем ресурсов с динамическим управлением, позволяющая нарушителю выполнить произвольный код

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2017-3200	The implementation of Action Message Format (AMF3) deserializers in GraniteDS, version 3.1.1.GA, may allow instantiation of a...
CVE-2017-3202	The implementation of Action Message Format (AMF3) deserializers in Flamingo amf-serializer by Exadel, version 2.2.0, may all...
CVE-2019-1595	Cisco Nexus 5600 and 6000 Series Switches Fibre Channel over Ethernet Denial of Service Vulnerability
CVE-2019-1617	Cisco Nexus 9000 Series Switches Standalone NX-OS Mode Fibre Channel over Ethernet NPV Denial of Service Vulnerability
CVE-2020-25802	Authenticated attackers with developer privileges in Crafter Studio may execute OS commands via Groovy scripting.
CVE-2020-25803	Authenticated attackers with developer privileges in Crafter Studio may execute OS commands via deep inspection of FreeMarker...
CVE-2020-3419	Cisco Webex Meetings and Cisco Webex Meetings Server Ghost Join Vulnerability
CVE-2021-21413	Misuse of `Reference` and other transferable APIs may lead to access to nodejs isolate
CVE-2021-23258	Spring SPEL Expression Language Injection
CVE-2021-23259	Groovy Sandbox Bypass
CVE-2021-23262	Snakeyaml deserialization vulnerability bypass
CVE-2021-23267	Improper Control of Dynamically-Managed Code Resources in Crafter Studio
CVE-2021-32813	Drop Headers via Malicious Connection Header
CVE-2021-42809	The Sentinel Protection Installer 7.7.0 does not properly restrict loading Dynamic Link Library
CVE-2022-31764	Apache ShardingSphere ElasticJob-UI allows RCE via event trace data source JDBC
CVE-2022-3225	Improper Control of Dynamically-Managed Code Resources in budibase/budibase
CVE-2022-36067	vm2 vulnerable to Sandbox Escape before v3.9.11
CVE-2022-39051	Perl Code execution in Template Toolkit
CVE-2022-40634	Improper Control of Dynamically-Managed Code Resources in Crafter Studio
CVE-2022-40635	Improper Control of Dynamically-Managed Code Resources in Crafter Studio
CVE-2023-25560	JSON Injection in DataHub
CVE-2023-29017	vm2 Sandbox Escape vulnerability
CVE-2023-29199	vm2 Sandbox escape vulnerability
CVE-2023-35930	LookupResources may return partial results in spicedb
CVE-2023-37271	RestrictedPython vulnerable to arbitrary code execution via stack frame sandbox escape
CVE-2023-4041	Second Stage Gecko Bootloader GBL Parser Buffer Overrun Vulnerability
CVE-2023-50386	Apache Solr: Backup/Restore APIs allow for deployment of executables in malicious ConfigSets
CVE-2023-5763	Glassfish remote code execution
CVE-2023-6184	Cross SiteScripting vulnerability in Citrix Session Recording allows attacker to perform Cross Site Scripting
CVE-2024-2537	Electron Code Injection in Logi Tune macOS Application
CVE-2024-27135	Apache Pulsar: Improper Input Validation in Pulsar Function Worker allows Remote Code Execution
CVE-2024-7297	Langflow Privilege Escalation
CVE-2025-25270	Remote Code Execution via Unauthenticated Configuration Manipulation
CVE-2025-26405	Improper control of dynamically-managed code resources for some Intel(R) NPU Drivers within Ring 3: User Applications may all...
CVE-2025-46673	NASA CryptoLib before 1.3.2 does not check whether the SA is in an operational state before use, possibly leading to a bypass...
CVE-2025-46675	In NASA CryptoLib before 1.3.2, the key state is not checked before use, potentially leading to spacecraft hijacking.
CVE-2025-54065	GZDoom engine allows arbitrary code execution via ZScript actor states
CVE-2025-6107	comfyanonymous comfyui utils.py set_attr dynamically-determined object attributes
CVE-2025-61780	Rack has Possible Information Disclosure Vulnerability
CVE-2025-6384	Improper Control of Dynamically-Managed Code Resources in Crafter Studio
CVE-2025-66398	Signal K Server has Unauthenticated State Pollution leading to Remote Code Execution (RCE)
CVE-2025-6705	A vulnerability in the Eclipse Open VSX Registry’s automated publishing system could have allowed unauthorized uploads of ext...
CVE-2025-68613	n8n Vulnerable to Remote Code Execution via Expression Injection
CVE-2025-69219	Apache Airflow Providers Http: Unsafe Pickle Deserialization in apache-airflow-providers-http leading to RCE via HttpOperator
CVE-2025-9905	Arbitary Code execution in Keras load_model()
CVE-2026-1770	Improper Control of Dynamically-Managed Code Resources in Crafter Studio
CVE-2026-22709	vm2 has a Sandbox Escape
CVE-2026-23830	SandboxJS has Sandbox Escape via Unprotected AsyncFunction Constructor
CVE-2026-25049	n8n Has an Expression Escape Vulnerability Leading to RCE

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20230428-7	28.04.2023	Выполнение произвольного кода в App Connect Enterprise Certified Container
VULN:20251215-32	15.12.2025	Выполнение произвольного кода в Ivanti Endpoint Manager (EPM)
VULN:20260119-24	19.01.2026	Получение конфиденциальной информации в n8n

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.