Каталог уязвимостей - CWE - CWE-99

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-99

Improper Control of Resource Identifiers ('Resource Injection')

The product receives input from an upstream component, but it does not restrict or incorrectly restricts the input before it is used as an identifier for a resource that may be outside the intended sphere of control.

Тип уязвимости:	Не зависит от других уязвимостей
Вероятность эксплойта:	High

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2019-01260	Уязвимость библиотеки Django для языка программирования Python, позволяющая нарушителю нарушить целостность защищаемой информации
BDU:2019-01767	Уязвимость сервера приложений Apache Tomcat, связанная с использованием открытой переадресации, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2019-02138	Уязвимость панели мониторинга программного средства для создания отчетов Cisco Unified Intelligence Center, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2023-02425	Уязвимость функции Merge request approvals программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-02791	Уязвимость платформы интеграции данных Apache InLong ,связанная связана с некорректным контролем идентификаторов ресурсов, позволяющая нарушителю оказать воздействие на целостность и доступность защищаемой информации
BDU:2024-01033	Уязвимость компонента Kernel Samepage Merging (KSM) ядра операционной системы Linux, позволяющая нарушителю получить доступ к странице пользователя
BDU:2024-01758	Уязвимость платформы интеграции данных Apache InLong, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код
BDU:2024-01760	Уязвимость платформы интеграции данных Apache InLong, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю выполнить произвольный код
BDU:2024-03143	Уязвимость компонента idxd ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2024-03616	Уязвимость драйвера Intel Hardware Feedback Interface ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на целостность и доступность защищаемой информации
BDU:2024-06190	Уязвимость функции phpCAS::setUrl() библиотеки аутентификации phpCAS, позволяющая нарушителю получить доступ к учетной записи пользователя
BDU:2024-06800	Уязвимость компонентов arch/x86/kvm/x86.c, lapic_shutdown подсистемы виртуализации Kernel-based Virtual Machine (KVM) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-07047	Уязвимость функции fixup_guest_exit компонента arm64 подсистемы виртуализации KVM ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-08398	Уязвимость компонента qcom ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации
BDU:2024-08412	Уязвимость компонента crypto ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации
BDU:2024-08413	Уязвимость компонента mhi ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации
BDU:2024-10184	Уязвимость функции iopt_area_split() компонента iommufd ядра операционных систем Linux, позволяющая нарушителю оказать воздействие на целостность и доступность защищаемой информации
BDU:2024-10211	Уязвимость компонента blk-mq ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-10396	Уязвимость функции qd_check_sync() компонента imon ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-10417	Уязвимость драйвера компонента imon (drivers/media/rc/imon.c) ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-10528	Уязвимость виртуальной обучающей среды Moodle, связанная с использованием небезопасных прямых ссылок на объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-11519	Уязвимость функции vmxnet3_rq_destroy_all_rxdataring() компонента vmxnet3 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-00024	Уязвимость компонента Netfilter ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии
BDU:2025-00869	Уязвимость функций tcp_remove_empty_skb(), tcp_mark_push() и min_t() модуля net/ipv4/tcp.c ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-00926	Уязвимость функции i915_gem_object_is_shrinkable() драйвера DRM (drivers/gpu/drm/i915/gem/i915_gem_object.h) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-00933	Уязвимость функции nilfs_segctor_prepare_write() в модуле fs/nilfs2/segment.c файловой системы nilfs2 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-01045	Уязвимость компонентов s390/cio ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-01079	Уязвимость компонента net ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-01081	Уязвимость компонента net ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-01230	Уязвимость модуля nf_tables компонента netfilter ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-01336	Уязвимость функции usb_parse_endpoint() (drivers/usb/core/config.c) драйвера USB ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании.
BDU:2025-01337	Уязвимость функции nilfs_dotdot() файловой системы nilfs2 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании.
BDU:2025-01340	Уязвимость функции alloc_dispatch_log_kmem_cache() (arch/powerpc/platforms/pseries/setup.c) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании.
BDU:2025-02074	Уязвимость функции __cvmx_pcie_build_config_addr() компонента mips ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-02159	Уязвимость программного средства для интеграции данных и аналитики Hitachi Vantara Pentaho Data Integration Analytics, связанная с неправильным управлением идентификаторов ресурсов, позволяющая нарушителю раскрыть защищаемую информацию, повысить свои...
BDU:2025-02531	Уязвимость функции cfg80211_wext_siwscan() (net/wireless/scan.c) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-02539	Уязвимость функции cxacru_bind() драйвера USB (drivers/usb/atm/cxacru.c) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-02552	Уязвимость функций ocfs2_extend_trans() и ocfs2_dio_end_io_write() кластерной файловой системы OCFS2 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-02846	Уязвимость функции paravirt_patch_default() модуля arch/x86/kernel/paravirt.c на платформе x86 ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.
BDU:2025-02955	Уязвимость функции next_ceqe_sw_v2() модуля drivers/infiniband/hw/hns/hns_roce_hw_v2.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-02973	Уязвимость функции sdhci_setup_host() модуля drivers/mmc/host/sdhci.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-02974	Уязвимость функции calc_available_free_space() модуля fs/btrfs/space-info.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-02981	Уязвимость функции wx_sw_init() модуля drivers/net/ethernet/wangxun/libwx/wx_hw.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-03025	Уязвимость функции mlx90635_probe() модуля drivers/iio/temperature/mlx90635.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-03155	Уязвимость функции do_sve_acc() модуля arch/arm64/kernel/fpsimd.c ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2025-03591	Уязвимость функции accountable_mapping() модуля mm/mmap.c ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2025-03618	Уязвимость функции nilfs_segctor_prepare_write() модуля fs/nilfs2/segment.c поддержки файловой системы NILFS2 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании.
BDU:2025-03765	Уязвимость функции omap8250_suspend() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-03908	Уязвимость компонента af_inet.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-04175	Уязвимость компонента landlock ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-04182	Уязвимость компонента light.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-04347	Уязвимость функции efi_init() модуля arch/riscv/include/asm/efi.h на процессорах с архитектурой RISC-V ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-04401	Уязвимость функции __dm_internal_suspend() модуля drivers/md/dm.c - драйвера поддержки нескольких устройств (RAID и LVM) ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защи...
BDU:2025-04408	Уязвимость функции kvm_hyp_reserve() модуля arch/arm64/kvm/pkvm.c подсистемы виртуализации на платформе ARM 64-бит ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-04413	Уязвимость функции sun8i_dwmac_dma_interrupt() модуля drivers/net/ethernet/stmicro/stmmac/dwmac-sun8i.c - драйвера поддержки сетевых адаптеров Ethernet ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на целостность защищае...
BDU:2025-04444	Уязвимость функции set_wm_ranges() модуля drivers/gpu/drm/amd/display/dc/dcn301/dcn301_resource.c - драйвера поддержки инфраструктуры прямого рендеринга (DRI) видеокарт AMD ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслу...
BDU:2025-04528	Уязвимость функции f2fs_setattr() модуля fs/f2fs/file.c поддержки файловой системы F2FS ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на целостность защищаемой информации.
BDU:2025-04637	Уязвимость функции btintel_pcie_setup_hdev() драйвера поддержки устройств Bluetooth ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-04662	Уязвимость функции vlan_get_protocol_dgram() ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-04704	Уязвимость функции exit_round_robin() компонента ACPI ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05172	Уязвимость функции btrfs_log_new_name() модуля fs/btrfs/tree-log.c поддержки файловой системы btrfs ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05173	Уязвимость функции init_dell_smbios_wmi() модуля drivers/platform/x86/dell-smbios-wmi.c - драйвера поддержки устройств X86 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-05646	Уязвимость модуля fs/netfs/read_collect.c файловой системы netfs ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-07000	Уязвимость функции check_func_arg() модуля kernel/bpf/verifier.c ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2025-07313	Уязвимость функции xrx200_alloc_skb() модуля drivers/net/ethernet/lantiq_xrx200.c - драйвера поддержки сетевых адаптеров Ethernet ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступн...
BDU:2025-07331	Уязвимость функции strset_reply_size() модуля net/ethtool/strset.c реализации сетевых функций ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-07337	Уязвимость функции trace_kvm_nested_vmenter_failed() модуля arch/x86/kvm/trace.h подсистемы виртуализации на платформе x86 ядра операционной системы Linux, позволяющая нарушителю получить доступ к защищаемой информации или вызвать отказ в обслуживани...
BDU:2025-07349	Уязвимость функции __ioremap_check_other() модуля arch/x86/mm/ioremap.c на платформе x86 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-07357	Уязвимость функции mld_newpack() модуля net/ipv6/mcast.c реализации протокола IPv6 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-07387	Уязвимость функции caif_seqpkt_sendmsg() модуля net/caif/caif_socket.c реализации сетевых функций ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-07406	Уязвимость функции bad_kernel_fault() модуля arch/powerpc/mm/fault.c поддержки платформы PowerPC ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-07416	Уязвимость функции enetc_clear_bdrs() модуля drivers/net/ethernet/freescale/enetc/enetc.c - драйвера поддержки сетевых адаптеров Ethernet Freescale ядра операционной системы Linux, позволяющая нарушителю, действующему удаленно, оказать воздействие на...
BDU:2025-07712	Уязвимость компонента drm/amd/display ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08022	Уязвимость компонента net/mlx5e ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08032	Уязвимость компонента flow_dissector ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08033	Уязвимость компонента mtk-cmdq ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08039	Уязвимость компонента ondemand.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08043	Уязвимость компонента SPARC. A ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08044	Уязвимость компонента smb2pdu.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08058	Уязвимость компонентов tty_ldisc.c, vt.c, tty_driver.h ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08060	Уязвимость компонента net/xdp/xsk.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-08072	Уязвимость компонента channel.c ядра операционной системы Linux, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2025-08916	Уязвимость модуля drivers/media/usb/cx231xx/cx231xx-417.c ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-11470	Уязвимость мультимедийной библиотеки FFmpeg, связанная с неправильным контролем идентификаторов ресурсов ("внедрение ресурсов"), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и нарушить её целостность
BDU:2025-12308	Уязвимость компонента nfsd ядра операционной системы Linux, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании
BDU:2025-12309	Уязвимость функции __send_empty_flush() драйвера dm ядра операционной системы Linux, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании
BDU:2025-12310	Уязвимость функции ethtool_cmis_module_poll() компонента net/ethtool/cmis_cdb.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12311	Уязвимость компонента tpm ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12312	Уязвимость компонента uprobes/x86 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12313	Уязвимость компонента arm64 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12314	Уязвимость компонента ksmbd ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12315	Уязвимость функции destroy_unused_implicit_child_mr() компонента mlx5/odp.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12316	Уязвимость функции sst_nor_write_data() компонента drivers/mtd/spi-nor/sst.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12317	Уязвимость функции init_user_queue() компонента kfd_process_queue_manager.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12318	Уязвимость функции __rxe_cleanup() компонента rxe_pool.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12319	Уязвимость функции nfsd4_run_cb_work() компонента nfs4callback.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12320	Уязвимость компонента misc.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12321	Уязвимость компонента bpf_local_storage.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12322	Уязвимость функции kvalloc() компонента eventlog/acpi.c The ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12323	Уязвимость функции rtw89_entity_recalc_mgnt_roles() компонента realtek/rtw89/chan.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-12324	Уязвимость ядра операционной системы Linux, связанная с неправильным контролем идентификаторов ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-13706	Уязвимость функции nfs_pageio_doio() модуля fs/nfs/pagelist.c поддержки файловой системы ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-13707	Уязвимость функции nfs_pageio_do_add_request() модуля fs/nfs/pagelist.c поддержки файловой системы ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-13711	Уязвимость функции pipapo_refill() модуля net/netfilter/nft_set_pipapo.c компонента netfilter ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-13712	Уязвимость функции dasd_diag_setup_blk_queue() модуля drivers/s390/block/dasd_diag.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании.
BDU:2025-13714	Уязвимость функции transport_init_se_cmd() модуля drivers/target/target_core_transport.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании.
BDU:2025-13719	Уязвимость функции advk_pcie_wait_pio() модуля drivers/pci/host/pci-aardvark.c - драйвера поддержки утройств PCI ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании.
BDU:2025-13977	Уязвимость функции pmc_core_ssram_get_pmc() модуля drivers/platform/x86/intel/pmc/core_ssram.c драйвера ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-13980	Уязвимость функции build_tree() модуля drivers/firewire/core-topology.c драйвера поддержки FireWire ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-14143	Уязвимость функции mm_ksm_zero_pages() модуля include/linux/ksm.h ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-14148	Уязвимость функции walk_system_ram_res_rev() модуля kernel/resource.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-14237	Уязвимость функции nft_netdev_event() модуля net/netfilter/nft_chain_filter.c компонента netfilter ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-14238	Уязвимость функции isotp_sendmsg() модуля net/can/isotp.c подсистемы шины CAN ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-14264	Уязвимость функции nf_conntrack_hash_check_insert() модуля net/netfilter/nf_conntrack_core.c компонента netfilter ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-14287	Уязвимость функции ramoops_init_przs() модуля fs/pstore/ram.c поддержки постоянного хранилища ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-14385	Уязвимость функции die_mce() модуля arch/powerpc/kernel/traps.c поддержки платформы PowerPC ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-14588	Уязвимость функции dm_resume() модуля drivers/gpu/drm/amd/display/amdgpu_dm/amdgpu_dm.c драйвера поддержки инфраструктуры прямого рендеринга (DRI) видеокарт AMD ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-14614	Уязвимость функции batadv_iv_ogm_emit() модуля net/batman-adv/bat_iv_ogm.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-15010	Уязвимость функции thermal_zone_get_by_id() модуля drivers/thermal/thermal_core.c - драйвера управления температурой ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-15040	Уязвимость функции dc_dmub_srv_optimized_init_done() модуля drivers/gpu/drm/amd/display/dc/dc_dmub_srv.c - драйвера поддержки инфраструктуры прямого рендеринга (DRI) видеокарт AMD ядра операционной системы Linux, позволяющая нарушителю вызвать отказ...
BDU:2025-15054	Уязвимость функции ice_dpll_init_worker() модуля drivers/net/ethernet/intel/ice/ice_dpll.c - драйвера поддержки сетевых адаптеров Ethernet Intel ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-15086	Уязвимость функции dpu_encoder_helper_phys_cleanup() модуля drivers/gpu/drm/msm/disp/dpu1/dpu_encoder.c - драйвера поддержки инфраструктуры прямого рендеринга (DRI) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-15105	Уязвимость функции xe_oa_release() модуля drivers/gpu/drm/xe/xe_oa.c - драйвера поддержки инфраструктуры прямого рендеринга (DRI) ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-15113	Уязвимость функции ath12k_pci_free_irq() компонента pci.c ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-15325	Уязвимость функции mptcp_update_infinite_map() модуля net/mptcp/protocol.c реализации протокола MPTCP ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-15327	Уязвимость функции bond_setup_by_slave() модуля drivers/net/bonding/bond_main.c - драйвера поддержки сетевых адаптеров ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-15376	Уязвимость функции kvm_arch_vcpu_ioctl() модуля arch/powerpc/kvm/powerpc.c подсистемы виртуализации на платформе PowerPC ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-15436	Уязвимость функции amdgpu_vram_mgr_fini() модуля drivers/gpu/drm/amd/amdgpu/amdgpu_vram_mgr.c драйвера поддержки инфраструктуры прямого рендеринга (DRI) AMD GPU ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-16205	Уязвимость функции spi_async() модуля drivers/spi/spi.c драйвера поддержки устройств SPI ядра операционной системы Linux, позволяющая нарушителю повредить информацию
BDU:2025-16244	Уязвимость программного обеспечения для настройки устройств Poly Lens Desktop, связанная с неправильным контролем идентификаторов ресурсов, позволяющая нарушителю повысить свои привилегии
BDU:2026-01327	Уязвимость функции flush_cache_all_local() модуля arch/parisc/include/asm/cacheflush.h поддержки архитектуры PA-RISC ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на целостность защищаемой информации или вызвать отказ в...
BDU:2026-01423	Уязвимость функции hci_conn_del() модуля net/bluetooth/hci_conn.c подсистемы Bluetooth ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2026-01439	Уязвимость компонента smb ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2026-01443	Уязвимость функции nvmf_reg_read32() модуля drivers/nvme/host/fabrics.c драйвера поддержки NVME ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2026-01445	Уязвимость функции ena_com_cdesc_rx_pkt_get() модуля drivers/net/ethernet/amazon/ena/ena_eth_com.c драйвера поддержки сетевых адаптеров Ethernet Amazon ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2026-01455	Уязвимость функции nilfs_prepare_segment_for_recovery() модуля fs/nilfs2/recovery.c поддержки файловой системы NILFS2 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2026-01536	Уязвимость функций ext4_writepage(), mpage_prepare_extent_to_map() модуля fs/ext4/inode.c файловой системы Ext4 ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2026-01544	Уязвимость функции qla24xx_handle_plogi_done_event() модуля drivers/scsi/qla2xxx/qla_init.c драйвера поддержки устройств SCSI ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2016-8615	A flaw was found in curl before version 7.51. If cookie state is written into a cookie jar file that is later read back and u...
CVE-2019-1860	Cisco Unified Intelligence Center Remote File Injection Vulnerability
CVE-2019-6545	AVEVA Software, LLC InduSoft Web Studio prior to Version 8.1 SP3 and InTouch Edge HMI (formerly InTouch Machine Edition) prio...
CVE-2020-5230	Opencast uses unsafe identifiers
CVE-2020-6245	SAP Business Objects Business Intelligence Platform, version 4.2, allows an attacker with access to local instance, to inject...
CVE-2020-8177	curl 7.20.0 through 7.70.0 is vulnerable to improper restriction of names for files and other resources that can lead too ove...
CVE-2021-22879	Nextcloud Desktop Client prior to 3.1.3 is vulnerable to resource injection by way of missing validation of URLs, allowing a...
CVE-2021-42360	Starter Templates — Elementor, Gutenberg & Beaver Builder Templates <= 2.7.0 Authenticated Block Import to Stored XSS
CVE-2022-1287	School Club Application System resource injection
CVE-2022-27670	SAP SQL Anywhere - version 17.0, allows an authenticated attacker to prevent legitimate users from accessing a SQL Anywhere d...
CVE-2022-3774	SourceCodester Train Scheduler App resource injection
CVE-2022-39369	Service Hostname Discovery Exploitation in phpCAS
CVE-2023-2980	Abstrium Pydio Cells User Creation resource injection
CVE-2023-3517	Hitachi Vantara Pentaho Data Integration & Analytics - Improper Control of Resource Identifiers ('Resource Injection')
CVE-2023-6601	Ffmpeg: hls unsafe file extension bypass in ffmpeg
CVE-2023-6602	Ffmpeg: improper handling of input format in tty demuxer of ffmpeg
CVE-2023-6604	Ffmpeg: hls xbin demuxer dos amplification in ffmpeg
CVE-2023-6605	Ffmpeg: dash playlist ssrf vulnerability in ffmpeg
CVE-2024-0231	Improper Control of Resource Identifiers ('Resource Injection') in GitLab
CVE-2024-4294	PHPGurukul Doctor Appointment Management System view-appointment-detail.php resource injection
CVE-2024-4817	Campcodes Online Laundry Management System HTTP Request Parameter manage_user.php resource injection
CVE-2024-5706	Hitachi Vantara Pentaho Data Integration & Analytics - Improper Control of Resource Identifiers ('Resource Injection')
CVE-2024-57971	DataSourceResource.java in the SpagoBI API support in Knowage Server in KNOWAGE before 8.1.30 does not ensure that java:comp/...
CVE-2024-6051	Cross Application Scripting in Redlink SDK
CVE-2024-7437	SimpleMachines SMF Delete User index.php resource injection
CVE-2024-7438	SimpleMachines SMF User Alert Read Status index.php resource injection
CVE-2024-7658	projectsend process.php get_preview resource injection
CVE-2025-0625	CampCodes School Management Software Attachment resource injection
CVE-2025-0756	Hitachi Vantara Pentaho Data Integration & Analytics - Improper Control of Resource Identifiers ('Resource Injection')
CVE-2025-12270	LearnHouse Student Assignment Submission sub_file resource injection
CVE-2025-12918	yungifez Skuul School Management System View Fee Invoice fee-invoices resource injection
CVE-2025-12919	EverShop Order Order.resolvers.js resource injection
CVE-2025-1575	Harpia DiagSystem atualatendimento_jpeg.php resource injection
CVE-2025-1642	Benner ModernaNet GetImageMedico resource injection
CVE-2025-1645	Benner Connecta EditarLogado resource injection
CVE-2025-2125	Control iD RH iD PDF Document companyId resource injection
CVE-2025-2410	Admin Authorized Port (iptables) manipulation (open/close/disable ports)
CVE-2025-3405	FCJ Venture Builder appclientefiel HTTP GET Request ObterPedido resource injection
CVE-2025-3855	CodeCanyon RISE Ultimate Project Manager Profile Picture save_profile_image resource injection
CVE-2025-43491	Poly Lens Desktop Application – Privilege Escalation
CVE-2025-6534	xxyopen/201206030 novel-plus File FileController.java remove resource injection
CVE-2025-8793	LitmusChaos Litmus resource injection
CVE-2025-9263	Xuxueli xxl-job JobLogController.java getJobsByGroup resource injection
CVE-2025-9264	Xuxueli xxl-job Jobs JobInfoController.java remove resource injection
CVE-2025-9619	E4 Sistemas Mercatus ERP id resource injection

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.