Каталоги
В сервис интегрированы наиболее популярные публичных базы знаний:
- Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
- CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
- БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
- НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
- MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
- БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.
CVE, БДУ ФСТЭК и НКЦКИ
Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.
Интерфейс каталогов идентичен и содержит следующие блоки:
- Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
- Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
- Идентификатор - id уязвимости в базе уязвимостей;
- Описание - текстовое описание уязвимости;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
- Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
- Идентификатор - id уязвимости в базе уязвимостей;
- Информация - текстовое описание уязвимости;
- Вектор атаки - локальный или сетевой вектор атаки;
- Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
- Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
- Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
- Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
- Уязвимости.
MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК
Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.
Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.
Каталоги могут использоваться в сервисе с целью:
- Облегчения процесса формирования рисков, угроз и уязвимостей;
- Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
- Взгляда на компанию и оценку рисков через публичные каталоги угроз.
Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:
- Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
- Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
- Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.
Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.
Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.
В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.
Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.
Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.
Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.
Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:
- матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
- Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
- Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
- Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
- Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
- Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
- Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.
Каталог MITRE ATT&CK содержит:
- Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
- Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
- Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
- Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
- Преступные группы - описание APT группировок и их особенности и модель поведения;
- Инструменты - ПО используемое нарушителями для вредоносного воздействия.
Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.
Сертификаты СЗИ
Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.
Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:
- Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
- Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
- Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
- Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.
Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.
Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:
- Номер сертификата;
- Дата внесения в реестр;
- Срок действия сертификата;
- Срок окончания тех. поддержки;
- Наименование средства (шифр);
- Схема сертификации;
- Испытательная лаборатория;
- Орган по сертификации;
- Заявитель;
- Наименования документов соответствия;
- Реквизиты заявителя.
Реестр обновляется автоматически один раз в месяц.
Куда я попал?
CWE-95
CWE-95 Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')
Идентификаторы ФСТЭК уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| BDU:2015-09812 | Уязвимость программы автоматизации работы пользователей Radia Client Automation, позволяющая удаленному злоумышленнику выполнить произвольные команды |
| BDU:2021-02856 | Уязвимость библиотеки uglify-js прикладного программного обеспечения Аврора Центр, связанная с ошибками проверки синтаксиса входных данных, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-02746 | Уязвимость компонента Microsoft Office Graphics редактора электронных таблиц Microsoft Excel, позволяющая нарушителю выполнить произвольный код |
| BDU:2022-05228 | Уязвимость веб-портала Portal for ArcGIS, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-03973 | Уязвимость класса XWikiSkins платформы создания совместных веб-приложений XWiki Platform, позволяющая нарушителю доступ на чтение, изменение или удаление данных |
| BDU:2023-05268 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-05270 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki , связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код |
| BDU:2023-05275 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki , связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю повысить свои привилегии |
| BDU:2023-05276 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki , связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код с root-привилегиями |
| BDU:2023-07919 | Уязвимость функции Read() библиотеки криптографических алгоритмов с открытым исходным кодом Circl, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации |
| BDU:2024-00130 | Уязвимость библиотеки для работы с XLS-файлами Spreadsheet::ParseExcel, связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-00229 | Уязвимость пользовательского интерфейса поиска платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-00231 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-00298 | Уязвимость программного обеспечения OpenVPN Connect, связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-00755 | Уязвимость программного обеспечения автоматизации HR-процессов Websoft HCM, связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольные команды в системе |
| BDU:2024-00970 | Уязвимость функции регистрации пользователей платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-03893 | Уязвимость библиотеки Node.js программного обеспечения OpenVPN Connect, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-04974 | Уязвимость прикладного программного интерфейса библиотеки GeoTools программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-05288 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07408 | Уязвимость функции eval программной платформы для автоматизации обмена данными между конвейерами MindsDB, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07409 | Уязвимость функции eval программной платформы для автоматизации обмена данными между конвейерами MindsDB, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07410 | Уязвимость функции eval программной платформы для автоматизации обмена данными между конвейерами MindsDB, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07411 | Уязвимость функции eval программной платформы для автоматизации обмена данными между конвейерами MindsDB, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07412 | Уязвимость функции eval программной платформы для автоматизации обмена данными между конвейерами MindsDB, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-07413 | Уязвимость функции eval программной платформы для автоматизации обмена данными между конвейерами MindsDB, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-08879 | Уязвимость функции DatabaseSearch платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю выполнить произвольный код |
| BDU:2024-10118 | Уязвимость системы электронного обучения и управления контентом Chamilo LMS, связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код. |
| BDU:2025-01581 | Уязвимость набора библиотек XWiki Commons платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-01880 | Уязвимость компонента SolrSearchMacros платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-01901 | Уязвимость класса XWiki.SearchSuggestSourceClass платформы создания совместных веб-приложений XWiki Platform XWiki, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации |
| BDU:2025-03363 | Уязвимость библиотеки GeoTools программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-04026 | Уязвимость программного интерфейса платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-10719 | Уязвимость компонента Migration Page Template инструмента для миграции данных XWiki Confluence Migrator Pro, позволяющая нарушителю выполнить произвольный код |
| BDU:2025-11146 | Уязвимость функции eval() микропрограммного обеспечения роутеров Totolink A3002R, позволяющая нарушителю проводить межсайтовые сценарные атаки |
| BDU:2025-14494 | Уязвимость службы сканирования вредоносных программ Ai-Boilt платформы безопасности для веб-серверов Linux Imunify360, позволяющая нарушителю выполнить произвольный код и вызвать отказ в обслуживании |
| BDU:2025-15982 | Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю выполнить произвольный код и получить доступ на чтение и изме... |
| BDU:2025-15988 | Уязвимость веб-системы обработки заявок для служб поддержки клиентов, технической поддержки и управления ИТ-услугами Znuny, связанная с непринятием мер по нейтрализации инструкций в динамически исполняемом коде, позволяющая нарушителю повысить свои п... |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2011-10033 | WordPress Plugin is-human <= v1.4.2 Eval Injection RCE |
| CVE-2013-10051 | InstantCMS <= 1.6 Remote PHP Code Execution |
| CVE-2013-10070 | PHP-Charts v1.0 PHP Code Execution |
| CVE-2019-9507 | The web interface of the Vertiv Avocent UMG-4000 version 4.2.1.19 is vulnerable to arbitrary remote code execution |
| CVE-2020-5217 | Directive injection when using dynamic overrides with user input in RubyGems secure_headers |
| CVE-2020-5256 | Remote Code Execution Through Image Uploads in BookStack |
| CVE-2020-6650 | Arbitrary code execution through “Update Manager” Class |
| CVE-2021-23277 | Improper Neutralization of Directives in Dynamically Evaluated Code |
| CVE-2021-33678 | A function module of SAP NetWeaver AS ABAP (Reconciliation Framework), versions - 700, 701, 702, 710, 711, 730, 731, 740, 750... |
| CVE-2022-36010 | Arbitrary code execution via function parsing in react-editable-json-tree |
| CVE-2022-36099 | XWiki Platform Wiki UI Main Wiki Eval Injection vulnerability |
| CVE-2022-36100 | XWiki Platform Applications Tag and XWiki Platform Tag UI vulnerable to Eval Injection |
| CVE-2022-38193 | Code injection issue in Portal for ArcGIS (10.7.1 and 10.8.1) |
| CVE-2022-41928 | XWiki Platform vulnerable to Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') in Attach... |
| CVE-2022-41931 | Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') in xwiki-platform-icon-ui |
| CVE-2023-0089 | Proofpoint Enterprise Protection webutils authenticated RCE |
| CVE-2023-0090 | Proofpoint Enterprise Protection webservices unauthenticated RCE |
| CVE-2023-0888 | Authenticated eval injection in B. Braun Space Battery pack SP with Wi-Fi |
| CVE-2023-26477 | org.xwiki.platform:xwiki-platform-flamingo-theme-ui Eval Injection vulnerability |
| CVE-2023-29209 | org.xwiki.platform:xwiki-platform-legacy-notification-activitymacro Eval Injection vulnerability |
| CVE-2023-29210 | org.xwiki.platform:xwiki-platform-notifications-ui Eval Injection vulnerability |
| CVE-2023-29211 | org.xwiki.platform:xwiki-platform-wiki-ui-mainwiki Eval Injection vulnerability |
| CVE-2023-29212 | xwiki.platform:xwiki-platform-panels-ui Eval Injection vulnerability |
| CVE-2023-29214 | org.xwiki.platform:xwiki-platform-panels-ui Eval Injection vulnerability |
| CVE-2023-29509 | org.xwiki.platform:xwiki-platform-flamingo-theme-ui Eval Injection vulnerability |
| CVE-2023-29511 | xwiki-platform-administration-ui vulnerable to privilege escalation |
| CVE-2023-30537 | org.xwiki.platform:xwiki-platform-flamingo-theme-ui vulnerable to privilege escalation |
| CVE-2023-35150 | XWiki Platform vulnerable to privilege escalation (PR) from view right via Invitation application |
| CVE-2023-35152 | XWiki Platform vulnerable to privilege escalation (PR) from account through like LiveTableResults |
| CVE-2023-37462 | Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') in org.xwiki.platform:xwiki-platform-s... |
| CVE-2023-37909 | Privilege escalation (PR)/remote code execution from account through Menu.UIExtensionSheet |
| CVE-2023-40177 | XWiki Platform privilege escalation (PR) from account through AWM content fields |
| CVE-2023-46731 | Remote code execution through the section parameter in Administration as guest in XWiki Platform |
| CVE-2023-48699 | fastbots Eval Injection vulnerability |
| CVE-2023-50721 | XWiki Platform RCE from account through SearchAdmin |
| CVE-2023-50723 | XWiki Platform remote code execution/programming rights with configuration section from any user account |
| CVE-2023-6735 | Privilege escalation in mk_tsm |
| CVE-2023-7101 | Arbitrary Code Execution (ACE) Vulnerability |
| CVE-2023-7224 | OpenVPN Connect version 3.0 through 3.4.6 on macOS allows local users to execute code in external third party libraries using... |
| CVE-2023-7245 | The nodejs framework in OpenVPN Connect 3.0 through 3.4.3 (Windows)/3.4.7 (macOS) was not properly configured, which allows a... |
| CVE-2024-10633 | Quiz Maker Business, Developer, and Agency <= (Multiple Versions) - Unauthenticated Arbitrary Shortcode Execution via content |
| CVE-2024-21650 | XWiki Remote Code Execution vulnerability via user registration |
| CVE-2024-27320 | An arbitrary code execution vulnerability exists in versions 0.0.8 and newer of the Refuel Autolabel library because of the w... |
| CVE-2024-27321 | An arbitrary code execution vulnerability exists in versions 0.0.8 and newer of the Refuel Autolabel library because of the w... |
| CVE-2024-31465 | XWiki Platform: Remote code execution from account via SearchSuggestSourceSheet |
| CVE-2024-31982 | XWiki Platform: Remote code execution as guest via DatabaseSearch |
| CVE-2024-31984 | XWiki Platform: Remote code execution through space title and Solr space facet |
| CVE-2024-31986 | XWiki Platform CSRF remote code execution through scheduler job's document reference |
| CVE-2024-31996 | XWiki Commons missing escaping of `{` in Velocity escapetool allows remote code execution |
| CVE-2024-32647 | vyper performs double eval of raw_args in create_from_blueprint |
| CVE-2024-32649 | vyper performs double eval of the argument of sqrt |
| CVE-2024-36401 | Remote Code Execution (RCE) vulnerability in evaluating property name expressions in Geoserver |
| CVE-2024-36404 | GeoTools Remote Code Execution (RCE) vulnerability in evaluating XPath expressions |
| CVE-2024-37901 | XWiki Platform vulnerable to remote code execution from account via SearchSuggestConfigSheet |
| CVE-2024-39289 | Unsafe use of eval() method in rosparam tool |
| CVE-2024-39835 | Unsafe use of eval() method in roslaunch tool |
| CVE-2024-41148 | Unsafe use of eval() method in rostopic hz tool |
| CVE-2024-41921 | Unsafe use of eval() method in rostopic echo tool |
| CVE-2024-43404 | Remote Code Execution Vulnerability in MEGABOT |
| CVE-2024-45846 | An arbitrary code execution vulnerability exists in versions 23.10.3.0 up to 24.7.4.1 of the MindsDB platform, when the Weavi... |
| CVE-2024-45847 | An arbitrary code execution vulnerability exists in versions 23.11.4.2 up to 24.7.4.1 of the MindsDB platform, when one of se... |
| CVE-2024-45848 | An arbitrary code execution vulnerability exists in versions 23.12.4.0 up to 24.7.4.1 of the MindsDB platform, when the Chrom... |
| CVE-2024-45849 | An arbitrary code execution vulnerability exists in versions 23.10.5.0 up to 24.7.4.1 of the MindsDB platform, when the Micro... |
| CVE-2024-45850 | An arbitrary code execution vulnerability exists in versions 23.10.5.0 up to 24.7.4.1 of the MindsDB platform, when the Micro... |
| CVE-2024-45851 | An arbitrary code execution vulnerability exists in versions 23.10.5.0 up to 24.7.4.1 of the MindsDB platform, when the Micro... |
| CVE-2024-45858 | An arbitrary code execution vulnerability exists in versions 0.2.9 up to 0.5.10 of the Guardrails AI Guardrails framework bec... |
| CVE-2024-6891 | Journyx Authenticated Remote Code Execution |
| CVE-2024-7954 | SPIP porte_plume Plugin Arbitrary PHP Execution |
| CVE-2024-8512 | W3SPEEDSTER <= 7.26 - Authenticated (Administrator+) Remote Code Execution |
| CVE-2025-0868 | Remote Code Execution in DocsGPT |
| CVE-2025-24893 | Remote code execution as guest via SolrSearchMacros request in xwiki |
| CVE-2025-27603 | XWiki Confluence Migrator Pro allows Remote Code Execution via unescaped translations |
| CVE-2025-32435 | Hydra no restricted eval after nix-eval-jobs migration |
| CVE-2025-3753 | Unsafe use of eval() method in rosbag tool |
| CVE-2025-4318 | Input validation issue in AWS Amplify Studio UI component properties |
| CVE-2025-47271 | OZI-Project/ozi-publish Code Injection vulnerability |
| CVE-2025-48868 | Horilla vulnerable to authenticated RCE via eval() in project_bulk_archive |
| CVE-2025-49013 | WilderForge vulnerable to code Injection via GitHub Actions Workflows |
| CVE-2025-49598 | conda-forge-ci-setup Allows Arbitrary Code Execution via Insecure Version Parsing |
| CVE-2025-54322 | Xspeeder SXZOS through 2025-12-26 allows root remote code execution via base64-encoded Python code in the chkid parameter to... |
| CVE-2025-55727 | XWiki Remote Macros vulnerable to remote code execution from width parameter in the column macro |
| CVE-2025-55728 | XWiki Remote Macros vulnerable to remote code execution using the panel macro |
| CVE-2025-58365 | XWiki Blog Application: Privilege Escalation (PR) from account through blog content |
| CVE-2025-6101 | letta-ai letta interface.py function_message eval injection |
| CVE-2025-61955 | F5OS vulnerability |
| CVE-2025-64496 | Open WebUI Affected by an External Model Server (Direct Connections) Code Injection via SSE Events |
| CVE-2025-66474 | XWiki vulnerable to remote code execution through insufficient protection against {{/html}} injection |
| CVE-2025-68271 | Unauthenticated Remote Code Execution in openc3-api |
| CVE-2025-8420 | Request a Quote Form Plugin <= 2.5.2 - Unauthenticated Limited Remote Code Execution |
| CVE-2026-0863 | Sandbox escape in n8n Python task runner allows for arbitrary code execution on the underlying host. |
| CVE-2026-23885 | AlchemyCMS has Authenticated Remote Code Execution (RCE) via eval injection in ResourcesHelper |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20250326-25 | 26.03.2025 | Выполнение произвольного кода в geotools и GeoServer |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.