Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-922
Insecure storage of sensitive information
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2019-04424 | Уязвимость пользовательского интерфейса браузера Google Chrome, позволяющая нарушителю скрыть пользовательский интерфейс безопасности |
| BDU:2019-04426 | Уязвимость пользовательского интерфейса браузера Google Chrome, позволяющая нарушителю скрыть пользовательский интерфейс безопасности |
| BDU:2020-05819 | Уязвимость контроллера с числовым программным управлением Fanuc 32i, связанная с недостатками хранения защищаемой информации, позволяющая нарушителю копировать или модифицировать пользовательские и системные файлы |
| BDU:2021-01898 | Уязвимость менеджера управления ресурсами SLURM, связанная с незащищенным хранением конфиденциальной информации, позволяющая нарушителю получить доступ к конфиденциальным данным |
| BDU:2021-02292 | Уязвимость SCADA системы ОИК Диспетчер НТ, связанная с незащищенным хранением критической информации, позволяющая нарушителю повысить свои привилегии |
| BDU:2021-02937 | Уязвимость компонента ajaxhelper.php программного средства визуализации рабочего состояния ИТ-инфраструктуры предприятия Nagios Fusion, позволяющая нарушителю получить доступ к паролям пользователей |
| BDU:2021-02948 | Уязвимость системы управления доступом IBM Security Verify Access, связанная с незащищённым хранением конфиденциальной информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2021-06036 | Уязвимость 5G роутера OPPO, связанная с незащищённым хранением конфиденциальной информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2022-02879 | Уязвимость базы данных ma.db антивирусного программного средства McAfee Agent, позволяющая нарушителю получить конфиденциальную информацию |
| BDU:2023-03434 | Уязвимость веб-интерфейса платформы для управления продуктами и системами автоматизации ABB My Control System, связанная с незащищённым хранением конфиденциальной информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой инф... |
| BDU:2023-05014 | Уязвимость онлайн-сервиса бизнес-аналитики IBM Cognos Analytics облачной платформы анализа, организации и управления данными IBM Cloud Pak for Data (CP4D), позволяющая нарушителю оказать влияние на целостность защищаемой информации |
| BDU:2023-05779 | Уязвимость модуля QMS.Mobile программного обеспечения управления качеством для производителей автомобилей QMS Automotive, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании |
| BDU:2023-05924 | Уязвимость веб-приложения управления модульного источника бесперебойного питания MODULYS GP (MOD3GP-SY-120K), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2023-06029 | Уязвимость пакета openSUSE-welcome операционной системы openSUSE, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-08616 | Уязвимость агента защиты конечных точек Digital Guardian Agent, связанная с незащищённым хранением конфиденциальной информации, позволяющая нарушителю удалить данное приложение |
| BDU:2023-08829 | Уязвимость сценария config.inc.php инструмента для мониторинга Nagios XI, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-07076 | Уязвимость конфигурации WOLFSSL_CHECK_SIG_FAULTS библиотеки SSL/TLS WolfSSL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-09477 | Уязвимость функции резервного копирования программного обеспечения для управления сетью Brocade SANnav, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-09902 | Уязвимость реализации протокола OpenID Connect (OIDC) средства управления IT-сервисами Ivanti Neurons for ITSM, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2024-10225 | Уязвимость виртуальной обучающей среды Moodle, связанная с незащищённым хранением конфиденциальной информации, позволяющая нарушителю получить доступ конфиденциальной информации |
| BDU:2024-10845 | Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server и Nextcloud Enterprise Server, связанная с незащищённым хранением конфиденциальной информации, позволяющая нарушителю получить несанкциониров... |
| BDU:2024-11274 | Уязвимость операционной системы Ruijie Reyee OS, связанная с недостатками хранения служебных данных, позволяющая нарушителю сопоставить серийный номер устройства с номером телефона пользователя и частью адреса электронной почты |
| BDU:2024-11354 | Уязвимость аппаратных и программных решений для хранения данных и обработки информации Dell PowerFlex Appliance, PowerFlex Rack, PowerFlex Custom Node, InsightIQ и Data Lakehouse, связанная с незащищённым хранением конфиденциальной информации, позвол... |
| BDU:2024-11500 | Уязвимость компонентов Compiler виртуальных машин Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK и программной платформы Oracle Java SE, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01115 | Уязвимость интерфейса Launch Services операционных систем MacOS, iOS, iPadOS, watchOS и visionOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01236 | Уязвимость функции проверки ссылок системы управления контентом CMSimple, позволяющая нарушителю осуществить SSRF-атаку |
| BDU:2025-01254 | Уязвимость операционных систем macOS, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01257 | Уязвимость технологии видео- аудиозвонков FaceTime операционных систем macOS, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-01388 | Уязвимость операционных систем macOS, связанная с незащищённым хранением конфиденциальной информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01395 | Уязвимость операционных систем macOS, связанная с незащищённым хранением конфиденциальной информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01503 | Уязвимость компонента Messages операционной системы MacOs, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01504 | Уязвимость компонента Security операционной системы MacOs, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-01804 | Уязвимость сервера управления печатью Xerox Workplace Suite, связанная с незащищенным хранением конфиденциальной информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02094 | Уязвимость реализации протокола Kerberos операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-02918 | Уязвимость компонента Hive программного обеспечения управления кластерами Kubernetes Multicluster Engine (MCE) и Advanced Cluster Management (ACM), позволяющая нарушителю получить несанкционированный доступ к учетным данным VCenter |
| BDU:2025-04111 | Уязвимость реализации протокола Kerberos операционных систем Windows, позволяющая нарушителю обойти существующие ограничения безопасности и раскрыть защищаемую информацию |
| BDU:2025-04288 | Уязвимость конфигурации Factory Default микропрограммного обеспечения цифровых радиостанций передачи данных Trio Q Data Radio, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05059 | Уязвимость модуля аутентификации Linux-PAM, связанная с незащищённым хранением конфиденциальной информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-05629 | Уязвимость реализации протокола telnet микропрограммного обеспечения маршрутизаторов Tenda RX2 Pro, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-09518 | Уязвимость API-интерфейса платформы для управления частными сетями 5G HPE Aruba Networking Private 5G Core, позволяющая нарушителю раскрыть защищаемую информацию |
| BDU:2025-11304 | Уязвимость компонента Notes (Заметки) операционных систем iOS, iPadOS, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2025-16215 | Уязвимость приложения GuiXT графического интерфейса пользователя SAP GUI для Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации |
| BDU:2026-00137 | Уязвимость компонента Foreman программного средства для управления системами Red Hat Satellite, связанная с незащищенным хранением критической информации, позволяющая нарушителю повысить свои привилегии |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2017-5249 | In version 6.1.0.19 and prior of Wink Labs's Wink - Smart Home Android app, the OAuth token used by the app to authorize user... |
| CVE-2017-5250 | In version 1.9.7 and prior of Insteon's Insteon for Hub Android app, the OAuth token used by the app to authorize user access... |
| CVE-2019-3684 | susemanager installer creates world-readable swap files |
| CVE-2019-5625 | Eaton Halo Home Android App Insecure Storage |
| CVE-2019-5626 | BlueCats Reveal Android App Insecure Storage |
| CVE-2019-5627 | BlueCats Reveal iOS App Insecure Storage |
| CVE-2019-5632 | Hickory Smart Lock Insecure Storage on Android |
| CVE-2019-5633 | Hickory Smart Lock Insecure Storage on iOS |
| CVE-2020-7000 | VISAM VBASE Editor version 11.5.0.2 and VBASE Web-Remote Module may allow an unauthenticated attacker to discover the cryptog... |
| CVE-2020-8482 | ABB Device Library Wizard Information Disclosure Vulnerability |
| CVE-2021-22914 | Citrix Cloud Connector before 6.31.0.62192 suffers from insecure storage of sensitive information due to sensitive informatio... |
| CVE-2021-25402 | Information Exposure vulnerability in Samsung Notes prior to version 4.2.04.27 allows attacker to access s pen latency inform... |
| CVE-2021-25404 | Information Exposure vulnerability in SmartThings prior to version 1.7.64.21 allows attacker to access user information via l... |
| CVE-2021-25406 | Information exposure vulnerability in Gear S Plugin prior to version 2.2.05.20122441 allows unstrusted applications to access... |
| CVE-2021-25523 | Insecure storage of device information in Samsung Dialer prior to version 12.7.05.24 allows attacker to get Samsung Account I... |
| CVE-2021-25524 | Insecure storage of device information in Contacts prior to version 12.7.05.24 allows attacker to get Samsung Account ID. |
| CVE-2021-28815 | Insecure Storage of Sensitive Information in myQNAPcloud Link |
| CVE-2022-0724 | Insecure Storage of Sensitive Information in microweber/microweber |
| CVE-2022-0881 | Insecure Storage of Sensitive Information in chocobozzz/peertube |
| CVE-2022-1021 | Insecure Storage of Sensitive Information in chatwoot/chatwoot |
| CVE-2022-1044 | Sensitive Data Exposure Due To Insecure Storage Of Profile Image in polonel/trudesk |
| CVE-2022-1257 | Improper Verification of Cryptographic Signature by McAfee Agent |
| CVE-2022-20939 | Cisco Smart Software Manager On-Prem Privilege Escalation Vulnerability |
| CVE-2022-21823 | A insecure storage of sensitive information vulnerability exists in Ivanti Workspace Control <2021.2 (10.7.30.0) that could a... |
| CVE-2022-2815 | Insecure Storage of Sensitive Information in publify/publify |
| CVE-2022-34354 | IBM Sterling Partner Engagement Manager information disclosure |
| CVE-2022-41876 | ezplatform-graphql GraphQL queries can expose password hashes |
| CVE-2022-43475 | Insecure storage of sensitive information in the Intel(R) DCM software before version 5.1 may allow an authenticated user to... |
| CVE-2022-44581 | WordPress Defender Security plugin <= 3.3.2 - Broken Authentication vulnerability |
| CVE-2022-44619 | Insecure storage of sensitive information in the Intel(R) DCM software before version 5.1 may allow an authenticated user to... |
| CVE-2023-0580 | Information Disclosure vulnerability in My Control System (on-premise) |
| CVE-2023-22469 | Nextcloud Deck card vulnerable to data leak to unauthorized users via reference preview cache |
| CVE-2023-22687 | WordPress Freesoul Deactivate Plugins – Plugin manager and cleanup Plugin <= 1.9.4.0 is vulnerable to Sensitive Data Exposure |
| CVE-2023-26427 | Default permissions for a properties file were too permissive. Local system users could read potentially sensitive informatio... |
| CVE-2023-29261 | IBM Sterling Secure Proxy information disclosure |
| CVE-2023-32184 | A Insecure Storage of Sensitive Information vulnerability in openSUSE opensuse-welcome allows local attackers to execute code... |
| CVE-2023-32191 | rke's credentials are stored in the RKE1 Cluster state ConfigMap |
| CVE-2023-37879 | Exposed Session Variable in Wing FTP Server <= 7.2.0 |
| CVE-2023-40728 | A vulnerability has been identified in QMS Automotive (All versions < V12.39). The QMS.Mobile module of the affected applicat... |
| CVE-2023-43630 | Config Partition Not Measured From 2 Fronts |
| CVE-2023-43631 | SSH as Root Unlockable Without Triggering Measured Boot |
| CVE-2023-43633 | Debug Functions Unlockable Without Triggering Measured Boot |
| CVE-2023-43634 | Config Partition Not Protected by Measured Boot |
| CVE-2023-45182 | IBM i Access Client Solutions information disclosure |
| CVE-2023-45184 | IBM i Access Client Solutions |
| CVE-2023-5879 | Aladdin Connect Android Application Insecure Storage |
| CVE-2023-6253 | Saved Uninstall Key in Digital Guardian Agent Uninstaller |
| CVE-2023-6460 | Information leak in nodejs-firestore |
| CVE-2024-10028 | Everest Backup – WordPress Cloud Backup, Migration, Restore & Cloning Plugin <= 2.2.13 - Sensitive Invormation Disclosure via... |
| CVE-2024-10041 | Pam: libpam: libpam vulnerable to read hashed password |
| CVE-2024-10943 | FactoryTalk® Updater Authentication Bypass |
| CVE-2024-12082 | Ability Runtime has an out-of-bounds read permission bypass vulnerability |
| CVE-2024-12315 | Export All Posts, Products, Orders, Refunds & Users <= 2.9.3 - Information Disclosure Through Unprotected Directory |
| CVE-2024-13954 | Serialization / Deserialization of configuration data |
| CVE-2024-21826 | Huks has an insecure storage of sensitive information vulnerability |
| CVE-2024-22193 | vantage6 unencrypted task can be created in encrypted collaboration |
| CVE-2024-28132 | BIG-IP NEXT CNF vulnerability |
| CVE-2024-29953 | Encoded session passwords on session storage for Virtual Fabric platforms |
| CVE-2024-29965 | Insecure backup |
| CVE-2024-29968 | SQL Table names, column names, and SQL queries are collected in DR standby Supportsave |
| CVE-2024-3334 | USB Security Feature Bypass in Digital Guardian Windows Agent Prior to version 8.2.0 |
| CVE-2024-3501 | Exposure of Sensitive Information in lunary-ai/lunary |
| CVE-2024-3502 | Exposure of Sensitive Information in lunary-ai/lunary |
| CVE-2024-37144 | Dell PowerFlex appliance versions prior to IC 46.381.00 and IC 46.376.00, Dell PowerFlex rack versions prior to RCM 3.8.1.0 (... |
| CVE-2024-38382 | Ability Runtime has an out-of-bounds read permission bypass vulnerability |
| CVE-2024-39612 | Background Task Manager has an out-of-bounds read permission bypass vulnerability |
| CVE-2024-39775 | Net Manager has an out-of-bounds read permission bypass vulnerability |
| CVE-2024-43694 | goTenna Pro ATAK Plugin Insecure Storage of Sensitive Information |
| CVE-2024-47043 | Ruijie Reyee OS Insecure Storage of Sensitive Information |
| CVE-2024-47122 | Insecure Storage of Sensitive Information in goTenna Pro |
| CVE-2024-47197 | Maven Archetype Plugin: Maven Archetype integration-test may package local settings into the published artifact, possibly con... |
| CVE-2024-52519 | Nextcloud Server's OAuth2 client secrets were stored in a recoverable way |
| CVE-2024-5288 | Safe-error attack on TLS 1.3 Protocol |
| CVE-2024-55931 | Token stored in session storage |
| CVE-2024-6295 | udn News App - Insecure Data Storage |
| CVE-2024-7569 | An information disclosure vulnerability in Ivanti ITSM on-prem and Neurons for ITSM versions 2023.4 and earlier allows an una... |
| CVE-2025-11639 | Tomofun Furbo 360/Furbo Mini Debug Log S3 Bucket collect_logs.sh sensitive information |
| CVE-2025-11644 | Tomofun Furbo 360/Furbo Mini UART sensitive information |
| CVE-2025-11645 | Tomofun Furbo Mobile App Authentication Token sensitive information |
| CVE-2025-12539 | TNC Toolbox: Web Performance <= 1.4.2 - Unauthenticated Sensitive Information Exposure to Privilege Escalation/cPanel Account... |
| CVE-2025-21098 | Liteos-A has an insecure storage of sensitive information vulnerability |
| CVE-2025-21299 | Windows Kerberos Security Feature Bypass Vulnerability |
| CVE-2025-2157 | Foreman: disclosure of executed commands and outputs in foreman / red hat satellite |
| CVE-2025-2241 | Hive: exposure of vcenter credentials via clusterprovision in hive / mce / acm |
| CVE-2025-22492 | Insecure storage of connection strings in FRS |
| CVE-2025-2440 | CWE-922: Insecure Storage of Sensitive Information vulnerability exists that could potentially lead to unauthorized access of... |
| CVE-2025-2489 | Insecure storage of sensitive information in NTFS Tool |
| CVE-2025-29809 | Windows Kerberos Security Feature Bypass Vulnerability |
| CVE-2025-34189 | Vasion Print (formerly PrinterLogic) Insecure Inter-Process Communication Allows Local Session Hijacking |
| CVE-2025-35054 | Newforma Info Exchange (NIX) insufficiently protected credentials |
| CVE-2025-37110 | Sensitive Credential Information stored insecurely in System Database |
| CVE-2025-42979 | Insecure Key & Secret Management vulnerability in SAP GUI for Windows |
| CVE-2025-48929 | The TeleMessage service through 2025-05-05 implements authentication through a long-lived credential (e.g., not a token with... |
| CVE-2025-53507 | Multiple products provided by iND Co.,Ltd contain an insecure storage of sensitive information vulnerability. If exploited, c... |
| CVE-2025-54083 | Calix GigaCenter ONT firmware - Sensitive Information Disclosure |
| CVE-2025-8699 | Some "Stored Value" Unattended Payment Solutions of KioSoft use vulnerable NFC cards. Attackers could potentially use this vu... |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.