vrt 0.13.6 → 0.13.8

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
Files changed (41) hide show
  1. checksums.yaml +4 -4
  2. data/lib/data/1.18/deprecated-node-mapping.json +335 -0
  3. data/lib/data/1.18/mappings/cvss_v3/cvss_v3.json +1418 -0
  4. data/lib/data/1.18/mappings/cvss_v3/cvss_v3.schema.json +59 -0
  5. data/lib/data/1.18/mappings/cvss_v4/cvss_v4.json +2340 -0
  6. data/lib/data/1.18/mappings/cvss_v4/cvss_v4.schema.json +62 -0
  7. data/lib/data/1.18/mappings/cwe/cwe.json +1167 -0
  8. data/lib/data/1.18/mappings/cwe/cwe.schema.json +63 -0
  9. data/lib/data/1.18/mappings/remediation_advice/remediation_advice.json +2107 -0
  10. data/lib/data/1.18/mappings/remediation_advice/remediation_advice.schema.json +75 -0
  11. data/lib/data/1.18/third-party-mappings/remediation_training/secure-code-warrior-links.json +540 -0
  12. data/lib/data/1.18/vrt.schema.json +63 -0
  13. data/lib/data/1.18/vulnerability-rating-taxonomy.json +3371 -0
  14. data/lib/data/1.18.1/deprecated-node-mapping.json +341 -0
  15. data/lib/data/1.18.1/mappings/cvss_v3/cvss_v3.json +1602 -0
  16. data/lib/data/1.18.1/mappings/cvss_v3/cvss_v3.schema.json +59 -0
  17. data/lib/data/1.18.1/mappings/cvss_v4/cvss_v4.json +2521 -0
  18. data/lib/data/1.18.1/mappings/cvss_v4/cvss_v4.schema.json +62 -0
  19. data/lib/data/1.18.1/mappings/cwe/cwe.json +1363 -0
  20. data/lib/data/1.18.1/mappings/cwe/cwe.schema.json +63 -0
  21. data/lib/data/1.18.1/mappings/remediation_advice/remediation_advice.json +2300 -0
  22. data/lib/data/1.18.1/mappings/remediation_advice/remediation_advice.schema.json +75 -0
  23. data/lib/data/1.18.1/scw_links.json +583 -0
  24. data/lib/data/1.18.1/third-party-mappings/remediation_training/secure-code-warrior-links.json +583 -0
  25. data/lib/data/1.18.1/vrt.schema.json +63 -0
  26. data/lib/data/1.18.1/vulnerability-rating-taxonomy.json +3638 -0
  27. data/lib/data/1.19/deprecated-node-mapping.json +341 -0
  28. data/lib/data/1.19/mappings/cvss_v3/cvss_v3.json +1602 -0
  29. data/lib/data/1.19/mappings/cvss_v3/cvss_v3.schema.json +59 -0
  30. data/lib/data/1.19/mappings/cvss_v4/cvss_v4.json +2521 -0
  31. data/lib/data/1.19/mappings/cvss_v4/cvss_v4.schema.json +62 -0
  32. data/lib/data/1.19/mappings/cwe/cwe.json +1363 -0
  33. data/lib/data/1.19/mappings/cwe/cwe.schema.json +63 -0
  34. data/lib/data/1.19/mappings/remediation_advice/remediation_advice.json +2300 -0
  35. data/lib/data/1.19/mappings/remediation_advice/remediation_advice.schema.json +75 -0
  36. data/lib/data/1.19/third-party-mappings/remediation_training/secure-code-warrior-links.json +583 -0
  37. data/lib/data/1.19/vrt.schema.json +63 -0
  38. data/lib/data/1.19/vulnerability-rating-taxonomy.json +3638 -0
  39. data/lib/vrt/version.rb +1 -1
  40. data/lib/vrt.rb +1 -1
  41. metadata +40 -7
data/lib/data/1.18/mappings/cvss_v4/cvss_v4.json ADDED
@@ -0,0 +1,2340 @@
1
+ {
2
+ "metadata": {
3
+ "default": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
4
+ },
5
+ "content": [
6
+ {
7
+ "id": "ai_application_security",
8
+ "children": [
9
+ {
10
+ "id": "adversarial_example_injection",
11
+ "children": [
12
+ {
13
+ "id": "ai_misclassification_attacks",
14
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
15
+ }
16
+ ]
17
+ },
18
+ {
19
+ "id": "ai_safety",
20
+ "children": [
21
+ {
22
+ "id": "misinformation_wrong_factual_data",
23
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
24
+ }
25
+ ]
26
+ },
27
+ {
28
+ "id": "denial_of_service_dos",
29
+ "children": [
30
+ {
31
+ "id": "application_wide",
32
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H"
33
+ },
34
+ {
35
+ "id": "tenant_scoped",
36
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L"
37
+ }
38
+ ]
39
+ },
40
+ {
41
+ "id": "improper_input_handling",
42
+ "children": [
43
+ {
44
+ "id": "ansi_escape_codes",
45
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
46
+ },
47
+ {
48
+ "id": "rtl_overrides",
49
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
50
+ },
51
+ {
52
+ "id": "unicode_confusables",
53
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
54
+ }
55
+ ]
56
+ },
57
+ {
58
+ "id": "improper_output_handling",
59
+ "children": [
60
+ {
61
+ "id": "cross_site_scripting_xss",
62
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
63
+ },
64
+ {
65
+ "id": "markdown_html_injection",
66
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
67
+ }
68
+ ]
69
+ },
70
+ {
71
+ "id": "insufficient_rate_limiting",
72
+ "children": [
73
+ {
74
+ "id": "query_flooding_api_token_abuse",
75
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H"
76
+ }
77
+ ]
78
+ },
79
+ {
80
+ "id": "model_extraction",
81
+ "children": [
82
+ {
83
+ "id": "api_query_based_model_reconstruction",
84
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
85
+ }
86
+ ]
87
+ },
88
+ {
89
+ "id": "prompt_injection",
90
+ "children": [
91
+ {
92
+ "id": "system_prompt_leakage",
93
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N"
94
+ }
95
+ ]
96
+ },
97
+ {
98
+ "id": "remote_code_execution",
99
+ "children": [
100
+ {
101
+ "id": "full_system_compromise",
102
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
103
+ },
104
+ {
105
+ "id": "sandboxed_container_code_execution",
106
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:H/VA:H/SC:N/SI:L/SA:L"
107
+ }
108
+ ]
109
+ },
110
+ {
111
+ "id": "sensitive_information_disclosure",
112
+ "children": [
113
+ {
114
+ "id": "cross_tenant_pii_leakage_exposure",
115
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N"
116
+ },
117
+ {
118
+ "id": "key_leak",
119
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
120
+ }
121
+ ]
122
+ },
123
+ {
124
+ "id": "training_data_poisoning",
125
+ "children": [
126
+ {
127
+ "id": "backdoor_injection_bias_manipulation",
128
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
129
+ }
130
+ ]
131
+ },
132
+ {
133
+ "id": "vector_and_embedding_weaknesses",
134
+ "children": [
135
+ {
136
+ "id": "embedding_exfiltration_model_extraction",
137
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N"
138
+ },
139
+ {
140
+ "id": "semantic_indexing",
141
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
142
+ }
143
+ ]
144
+ }
145
+ ]
146
+ },
147
+ {
148
+ "id": "algorithmic_biases",
149
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
150
+ "children": [
151
+ {
152
+ "id": "aggregation_bias",
153
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
154
+ },
155
+ {
156
+ "id": "processing_bias",
157
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
158
+ }
159
+ ]
160
+ },
161
+ {
162
+ "id": "application_level_denial_of_service_dos",
163
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
164
+ "children": [
165
+ {
166
+ "id": "app_crash",
167
+ "children": [
168
+ {
169
+ "id": "malformed_android_intents",
170
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
171
+ },
172
+ {
173
+ "id": "malformed_ios_url_schemes",
174
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
175
+ }
176
+ ]
177
+ },
178
+ {
179
+ "id": "critical_impact_and_or_easy_difficulty",
180
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
181
+ },
182
+ {
183
+ "id": "excessive_resource_consumption",
184
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N",
185
+ "children": [
186
+ {
187
+ "id": "injection_prompt",
188
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
189
+ }
190
+ ]
191
+ },
192
+ {
193
+ "id": "high_impact_and_or_medium_difficulty",
194
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
195
+ }
196
+ ]
197
+ },
198
+ {
199
+ "id": "automotive_security_misconfiguration",
200
+ "children": [
201
+ {
202
+ "id": "abs",
203
+ "children": [
204
+ {
205
+ "id": "unintended_acceleration_brake",
206
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
207
+ }
208
+ ]
209
+ },
210
+ {
211
+ "id": "battery_management_system",
212
+ "children": [
213
+ {
214
+ "id": "firmware_dump",
215
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
216
+ },
217
+ {
218
+ "id": "fraudulent_interface",
219
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N"
220
+ }
221
+ ]
222
+ },
223
+ {
224
+ "id": "can",
225
+ "children": [
226
+ {
227
+ "id": "injection_basic_safety_message",
228
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
229
+ },
230
+ {
231
+ "id": "injection_battery_management_system",
232
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
233
+ },
234
+ {
235
+ "id": "injection_disallowed_messages",
236
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
237
+ },
238
+ {
239
+ "id": "injection_dos",
240
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
241
+ },
242
+ {
243
+ "id": "injection_headlights",
244
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
245
+ },
246
+ {
247
+ "id": "injection_powertrain",
248
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
249
+ },
250
+ {
251
+ "id": "injection_pyrotechnical_device_deployment_tool",
252
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
253
+ },
254
+ {
255
+ "id": "injection_sensors",
256
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
257
+ },
258
+ {
259
+ "id": "injection_steering_control",
260
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
261
+ },
262
+ {
263
+ "id": "injection_vehicle_anti_theft_systems",
264
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
265
+ }
266
+ ]
267
+ },
268
+ {
269
+ "id": "gnss_gps",
270
+ "children": [
271
+ {
272
+ "id": "spoofing",
273
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
274
+ }
275
+ ]
276
+ },
277
+ {
278
+ "id": "immobilizer",
279
+ "children": [
280
+ {
281
+ "id": "engine_start",
282
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
283
+ }
284
+ ]
285
+ },
286
+ {
287
+ "id": "infotainment_radio_head_unit",
288
+ "children": [
289
+ {
290
+ "id": "code_execution_can_bus_pivot",
291
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
292
+ },
293
+ {
294
+ "id": "code_execution_no_can_bus_pivot",
295
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
296
+ },
297
+ {
298
+ "id": "default_credentials",
299
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
300
+ },
301
+ {
302
+ "id": "dos_brick",
303
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
304
+ },
305
+ {
306
+ "id": "ota_firmware_manipulation",
307
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
308
+ },
309
+ {
310
+ "id": "sensitive_data_leakage_exposure",
311
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L"
312
+ },
313
+ {
314
+ "id": "source_code_dump",
315
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
316
+ },
317
+ {
318
+ "id": "unauthorized_access_to_services",
319
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
320
+ }
321
+ ]
322
+ },
323
+ {
324
+ "id": "rf_hub",
325
+ "children": [
326
+ {
327
+ "id": "can_injection_interaction",
328
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
329
+ },
330
+ {
331
+ "id": "data_leakage_pull_encryption_mechanism",
332
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
333
+ },
334
+ {
335
+ "id": "key_fob_cloning",
336
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
337
+ },
338
+ {
339
+ "id": "relay",
340
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
341
+ },
342
+ {
343
+ "id": "replay",
344
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
345
+ },
346
+ {
347
+ "id": "roll_jam",
348
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
349
+ },
350
+ {
351
+ "id": "unauthorized_access_turn_on",
352
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
353
+ }
354
+ ]
355
+ },
356
+ {
357
+ "id": "rsu",
358
+ "children": [
359
+ {
360
+ "id": "sybil_attack",
361
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
362
+ }
363
+ ]
364
+ }
365
+ ]
366
+ },
367
+ {
368
+ "id": "blockchain_infrastructure_misconfiguration",
369
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
370
+ "children": [
371
+ {
372
+ "id": "improper_bridge_validation_and_verification_logic",
373
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
374
+ }
375
+ ]
376
+ },
377
+ {
378
+ "id": "broken_access_control",
379
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N",
380
+ "children": [
381
+ {
382
+ "id": "bypass_of_password_confirmation",
383
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N",
384
+ "children": [
385
+ {
386
+ "id": "change_password",
387
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N"
388
+ }
389
+ ]
390
+ },
391
+ {
392
+ "id": "exposed_sensitive_android_intent",
393
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
394
+ },
395
+ {
396
+ "id": "exposed_sensitive_ios_url_scheme",
397
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
398
+ },
399
+ {
400
+ "id": "idor",
401
+ "children": [
402
+ {
403
+ "id": "modify_sensitive_information_iterable_object_identifiers",
404
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
405
+ },
406
+ {
407
+ "id": "modify_view_sensitive_information_guid",
408
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
409
+ },
410
+ {
411
+ "id": "modify_view_sensitive_information_iterable_object_identifiers",
412
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
413
+ },
414
+ {
415
+ "id": "view_non_sensitive_information",
416
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
417
+ },
418
+ {
419
+ "id": "view_sensitive_information_iterable_object_identifiers",
420
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
421
+ }
422
+ ]
423
+ },
424
+ {
425
+ "id": "privilege_escalation",
426
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
427
+ },
428
+ {
429
+ "id": "username_enumeration",
430
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N",
431
+ "children": [
432
+ {
433
+ "id": "non_brute_force",
434
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
435
+ }
436
+ ]
437
+ }
438
+ ]
439
+ },
440
+ {
441
+ "id": "broken_authentication_and_session_management",
442
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
443
+ "children": [
444
+ {
445
+ "id": "authentication_bypass",
446
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
447
+ },
448
+ {
449
+ "id": "cleartext_transmission_of_session_token",
450
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
451
+ },
452
+ {
453
+ "id": "concurrent_logins",
454
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
455
+ },
456
+ {
457
+ "id": "failure_to_invalidate_session",
458
+ "children": [
459
+ {
460
+ "id": "all_sessions",
461
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
462
+ },
463
+ {
464
+ "id": "long_timeout",
465
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
466
+ },
467
+ {
468
+ "id": "on_email_change",
469
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
470
+ },
471
+ {
472
+ "id": "on_logout",
473
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
474
+ },
475
+ {
476
+ "id": "on_logout_server_side_only",
477
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
478
+ },
479
+ {
480
+ "id": "on_password_change",
481
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
482
+ },
483
+ {
484
+ "id": "on_two_fa_activation_change",
485
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
486
+ },
487
+ {
488
+ "id": "permission_change",
489
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
490
+ }
491
+ ]
492
+ },
493
+ {
494
+ "id": "saml_replay",
495
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
496
+ },
497
+ {
498
+ "id": "session_fixation",
499
+ "children": [
500
+ {
501
+ "id": "local_attack_vector",
502
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:L/UI:P/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N"
503
+ },
504
+ {
505
+ "id": "remote_attack_vector",
506
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N"
507
+ }
508
+ ]
509
+ },
510
+ {
511
+ "id": "two_fa_bypass",
512
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
513
+ },
514
+ {
515
+ "id": "weak_login_function",
516
+ "children": [
517
+ {
518
+ "id": "not_operational",
519
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
520
+ },
521
+ {
522
+ "id": "other_plaintext_protocol_no_secure_alternative",
523
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
524
+ },
525
+ {
526
+ "id": "over_http",
527
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
528
+ }
529
+ ]
530
+ },
531
+ {
532
+ "id": "weak_registration_implementation",
533
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N",
534
+ "children": [
535
+ {
536
+ "id": "over_http",
537
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
538
+ }
539
+ ]
540
+ }
541
+ ]
542
+ },
543
+ {
544
+ "id": "client_side_injection",
545
+ "children": [
546
+ {
547
+ "id": "binary_planting",
548
+ "children": [
549
+ {
550
+ "id": "no_privilege_escalation",
551
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
552
+ },
553
+ {
554
+ "id": "non_default_folder_privilege_escalation",
555
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
556
+ },
557
+ {
558
+ "id": "privilege_escalation",
559
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
560
+ }
561
+ ]
562
+ }
563
+ ]
564
+ },
565
+ {
566
+ "id": "cloud_security",
567
+ "children": [
568
+ {
569
+ "id": "identity_and_access_management_iam_misconfigurations",
570
+ "children": [
571
+ {
572
+ "id": "overly_permissive_iam_roles",
573
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
574
+ },
575
+ {
576
+ "id": "publicly_accessible_iam_credentials",
577
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
578
+ }
579
+ ]
580
+ },
581
+ {
582
+ "id": "logging_and_monitoring_issues",
583
+ "children": [
584
+ {
585
+ "id": "disabled_or_insufficient_logging",
586
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
587
+ }
588
+ ]
589
+ },
590
+ {
591
+ "id": "misconfigured_services_and_apis",
592
+ "children": [
593
+ {
594
+ "id": "exposed_debug_or_admin_interfaces",
595
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
596
+ },
597
+ {
598
+ "id": "insecure_api_endpoints",
599
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
600
+ }
601
+ ]
602
+ },
603
+ {
604
+ "id": "network_configuration_issues",
605
+ "children": [
606
+ {
607
+ "id": "lack_of_network_segmentation",
608
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
609
+ },
610
+ {
611
+ "id": "open_management_ports_to_the_internet",
612
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
613
+ }
614
+ ]
615
+ },
616
+ {
617
+ "id": "storage_misconfigurations",
618
+ "children": [
619
+ {
620
+ "id": "publicly_accessible_cloud_storage",
621
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
622
+ },
623
+ {
624
+ "id": "unencrypted_sensitive_data_at_rest",
625
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
626
+ }
627
+ ]
628
+ }
629
+ ]
630
+ },
631
+ {
632
+ "id": "cross_site_request_forgery_csrf",
633
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
634
+ "children": [
635
+ {
636
+ "id": "action_specific",
637
+ "children": [
638
+ {
639
+ "id": "authenticated_action",
640
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
641
+ },
642
+ {
643
+ "id": "logout",
644
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
645
+ },
646
+ {
647
+ "id": "unauthenticated_action",
648
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
649
+ }
650
+ ]
651
+ },
652
+ {
653
+ "id": "application_wide",
654
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
655
+ },
656
+ {
657
+ "id": "csrf_token_not_unique_per_request",
658
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
659
+ },
660
+ {
661
+ "id": "flash_based",
662
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
663
+ }
664
+ ]
665
+ },
666
+ {
667
+ "id": "cross_site_scripting_xss",
668
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
669
+ "children": [
670
+ {
671
+ "id": "cookie_based",
672
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
673
+ },
674
+ {
675
+ "id": "flash_based",
676
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
677
+ },
678
+ {
679
+ "id": "ie_only",
680
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
681
+ },
682
+ {
683
+ "id": "off_domain",
684
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N",
685
+ "children": [
686
+ {
687
+ "id": "data_uri",
688
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
689
+ }
690
+ ]
691
+ },
692
+ {
693
+ "id": "referer",
694
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
695
+ },
696
+ {
697
+ "id": "reflected",
698
+ "children": [
699
+ {
700
+ "id": "non_self",
701
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
702
+ },
703
+ {
704
+ "id": "self",
705
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
706
+ }
707
+ ]
708
+ },
709
+ {
710
+ "id": "stored",
711
+ "children": [
712
+ {
713
+ "id": "non_admin_to_anyone",
714
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N"
715
+ },
716
+ {
717
+ "id": "privileged_user_to_no_privilege_elevation",
718
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
719
+ },
720
+ {
721
+ "id": "privileged_user_to_privilege_elevation",
722
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N"
723
+ },
724
+ {
725
+ "id": "self",
726
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
727
+ },
728
+ {
729
+ "id": "url_based",
730
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
731
+ }
732
+ ]
733
+ },
734
+ {
735
+ "id": "trace_method",
736
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
737
+ },
738
+ {
739
+ "id": "universal_uxss",
740
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
741
+ }
742
+ ]
743
+ },
744
+ {
745
+ "id": "cryptographic_weakness",
746
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
747
+ "children": [
748
+ {
749
+ "id": "broken_cryptography",
750
+ "children": [
751
+ {
752
+ "id": "use_of_broken_cryptographic_primitive",
753
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
754
+ },
755
+ {
756
+ "id": "use_of_vulnerable_cryptographic_library",
757
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
758
+ }
759
+ ]
760
+ },
761
+ {
762
+ "id": "incomplete_cleanup_of_keying_material",
763
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
764
+ },
765
+ {
766
+ "id": "insecure_implementation",
767
+ "children": [
768
+ {
769
+ "id": "improper_following_of_specification",
770
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
771
+ },
772
+ {
773
+ "id": "missing_cryptographic_step",
774
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
775
+ }
776
+ ]
777
+ },
778
+ {
779
+ "id": "insecure_key_generation",
780
+ "children": [
781
+ {
782
+ "id": "improper_asymmetric_exponent_selection",
783
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
784
+ },
785
+ {
786
+ "id": "improper_asymmetric_prime_selection",
787
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
788
+ },
789
+ {
790
+ "id": "insufficient_key_space",
791
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
792
+ },
793
+ {
794
+ "id": "insufficient_key_stretching",
795
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
796
+ },
797
+ {
798
+ "id": "key_exchange_without_entity_authentication",
799
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
800
+ }
801
+ ]
802
+ },
803
+ {
804
+ "id": "insufficient_entropy",
805
+ "children": [
806
+ {
807
+ "id": "initialization_vector_reuse",
808
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
809
+ },
810
+ {
811
+ "id": "limited_rng_entropy_source",
812
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
813
+ },
814
+ {
815
+ "id": "predictable_initialization_vector",
816
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
817
+ },
818
+ {
819
+ "id": "predictable_prng_seed",
820
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
821
+ },
822
+ {
823
+ "id": "prng_seed_reuse",
824
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
825
+ },
826
+ {
827
+ "id": "small_seed_space_in_prng",
828
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
829
+ },
830
+ {
831
+ "id": "use_of_trng_for_nonsecurity_purpose",
832
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
833
+ }
834
+ ]
835
+ },
836
+ {
837
+ "id": "insufficient_verification_of_data_authenticity",
838
+ "children": [
839
+ {
840
+ "id": "cryptographic_signature",
841
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
842
+ },
843
+ {
844
+ "id": "identity_check_value",
845
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
846
+ }
847
+ ]
848
+ },
849
+ {
850
+ "id": "key_reuse",
851
+ "children": [
852
+ {
853
+ "id": "inter_environment",
854
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
855
+ },
856
+ {
857
+ "id": "intra_environment",
858
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
859
+ },
860
+ {
861
+ "id": "lack_of_perfect_forward_secrecy",
862
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
863
+ }
864
+ ]
865
+ },
866
+ {
867
+ "id": "side_channel_attack",
868
+ "children": [
869
+ {
870
+ "id": "differential_fault_analysis",
871
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
872
+ },
873
+ {
874
+ "id": "emanations_attack",
875
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
876
+ },
877
+ {
878
+ "id": "padding_oracle_attack",
879
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
880
+ },
881
+ {
882
+ "id": "power_analysis_attack",
883
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
884
+ },
885
+ {
886
+ "id": "timing_attack",
887
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
888
+ }
889
+ ]
890
+ },
891
+ {
892
+ "id": "use_of_expired_cryptographic_key_or_cert",
893
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
894
+ },
895
+ {
896
+ "id": "weak_hash",
897
+ "children": [
898
+ {
899
+ "id": "lack_of_salt",
900
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
901
+ },
902
+ {
903
+ "id": "predictable_hash_collision",
904
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
905
+ },
906
+ {
907
+ "id": "use_of_predictable_salt",
908
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
909
+ }
910
+ ]
911
+ }
912
+ ]
913
+ },
914
+ {
915
+ "id": "data_biases",
916
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
917
+ "children": [
918
+ {
919
+ "id": "pre_existing_bias",
920
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
921
+ },
922
+ {
923
+ "id": "representation_bias",
924
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
925
+ }
926
+ ]
927
+ },
928
+ {
929
+ "id": "decentralized_application_misconfiguration",
930
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
931
+ "children": [
932
+ {
933
+ "id": "defi_security",
934
+ "children": [
935
+ {
936
+ "id": "flash_loan_attack",
937
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
938
+ },
939
+ {
940
+ "id": "function_level_accounting_error",
941
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
942
+ },
943
+ {
944
+ "id": "improper_implementation_of_governance",
945
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
946
+ },
947
+ {
948
+ "id": "pricing_oracle_manipulation",
949
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
950
+ }
951
+ ]
952
+ },
953
+ {
954
+ "id": "improper_authorization",
955
+ "children": [
956
+ {
957
+ "id": "insufficient_signature_validation",
958
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
959
+ }
960
+ ]
961
+ },
962
+ {
963
+ "id": "insecure_data_storage",
964
+ "children": [
965
+ {
966
+ "id": "plaintext_private_key",
967
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
968
+ },
969
+ {
970
+ "id": "sensitive_information_exposure",
971
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
972
+ }
973
+ ]
974
+ },
975
+ {
976
+ "id": "marketplace_security",
977
+ "children": [
978
+ {
979
+ "id": "denial_of_service",
980
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
981
+ },
982
+ {
983
+ "id": "improper_validation_and_checks_for_deposits_and_withdrawals",
984
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
985
+ },
986
+ {
987
+ "id": "malicious_order_offer",
988
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N"
989
+ },
990
+ {
991
+ "id": "miscalculated_accounting_logic",
992
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
993
+ },
994
+ {
995
+ "id": "ofac_bypass",
996
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
997
+ },
998
+ {
999
+ "id": "orderbook_manipulation",
1000
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N"
1001
+ },
1002
+ {
1003
+ "id": "price_or_fee_manipulation",
1004
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N"
1005
+ },
1006
+ {
1007
+ "id": "signer_account_takeover",
1008
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
1009
+ },
1010
+ {
1011
+ "id": "unauthorized_asset_transfer",
1012
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
1013
+ }
1014
+ ]
1015
+ },
1016
+ {
1017
+ "id": "protocol_security_misconfiguration",
1018
+ "children": [
1019
+ {
1020
+ "id": "node_level_denial_of_service",
1021
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
1022
+ }
1023
+ ]
1024
+ }
1025
+ ]
1026
+ },
1027
+ {
1028
+ "id": "developer_biases",
1029
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1030
+ "children": [
1031
+ {
1032
+ "id": "implicit_bias",
1033
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1034
+ }
1035
+ ]
1036
+ },
1037
+ {
1038
+ "id": "external_behavior",
1039
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1040
+ "children": [
1041
+ {
1042
+ "id": "browser_feature",
1043
+ "children": [
1044
+ {
1045
+ "id": "aggressive_offline_caching",
1046
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1047
+ },
1048
+ {
1049
+ "id": "autocomplete_enabled",
1050
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1051
+ },
1052
+ {
1053
+ "id": "autocorrect_enabled",
1054
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1055
+ },
1056
+ {
1057
+ "id": "plaintext_password_field",
1058
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1059
+ },
1060
+ {
1061
+ "id": "save_password",
1062
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1063
+ }
1064
+ ]
1065
+ },
1066
+ {
1067
+ "id": "captcha_bypass",
1068
+ "children": [
1069
+ {
1070
+ "id": "crowdsourcing",
1071
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1072
+ }
1073
+ ]
1074
+ },
1075
+ {
1076
+ "id": "csv_injection",
1077
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1078
+ },
1079
+ {
1080
+ "id": "system_clipboard_leak",
1081
+ "children": [
1082
+ {
1083
+ "id": "shared_links",
1084
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1085
+ }
1086
+ ]
1087
+ },
1088
+ {
1089
+ "id": "user_password_persisted_in_memory",
1090
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1091
+ }
1092
+ ]
1093
+ },
1094
+ {
1095
+ "id": "indicators_of_compromise",
1096
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1097
+ },
1098
+ {
1099
+ "id": "insecure_data_storage",
1100
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1101
+ "children": [
1102
+ {
1103
+ "id": "non_sensitive_application_data_stored_unencrypted",
1104
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1105
+ },
1106
+ {
1107
+ "id": "screen_caching_enabled",
1108
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1109
+ },
1110
+ {
1111
+ "id": "sensitive_application_data_stored_unencrypted",
1112
+ "children": [
1113
+ {
1114
+ "id": "on_external_storage",
1115
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
1116
+ },
1117
+ {
1118
+ "id": "on_internal_storage",
1119
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1120
+ }
1121
+ ]
1122
+ },
1123
+ {
1124
+ "id": "server_side_credentials_storage",
1125
+ "children": [
1126
+ {
1127
+ "id": "plaintext",
1128
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N"
1129
+ }
1130
+ ]
1131
+ }
1132
+ ]
1133
+ },
1134
+ {
1135
+ "id": "insecure_data_transport",
1136
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1137
+ "children": [
1138
+ {
1139
+ "id": "cleartext_transmission_of_sensitive_data",
1140
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1141
+ },
1142
+ {
1143
+ "id": "executable_download",
1144
+ "children": [
1145
+ {
1146
+ "id": "no_secure_integrity_check",
1147
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1148
+ },
1149
+ {
1150
+ "id": "secure_integrity_check",
1151
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1152
+ }
1153
+ ]
1154
+ }
1155
+ ]
1156
+ },
1157
+ {
1158
+ "id": "insecure_os_firmware",
1159
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1160
+ "children": [
1161
+ {
1162
+ "id": "command_injection",
1163
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
1164
+ },
1165
+ {
1166
+ "id": "data_not_encrypted_at_rest",
1167
+ "children": [
1168
+ {
1169
+ "id": "non_sensitive",
1170
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1171
+ },
1172
+ {
1173
+ "id": "sensitive",
1174
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1175
+ }
1176
+ ]
1177
+ },
1178
+ {
1179
+ "id": "failure_to_remove_sensitive_artifacts_from_disk",
1180
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1181
+ },
1182
+ {
1183
+ "id": "hardcoded_password",
1184
+ "children": [
1185
+ {
1186
+ "id": "non_privileged_user",
1187
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1188
+ },
1189
+ {
1190
+ "id": "privileged_user",
1191
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
1192
+ }
1193
+ ]
1194
+ },
1195
+ {
1196
+ "id": "kiosk_escape_or_breakout",
1197
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1198
+ },
1199
+ {
1200
+ "id": "local_administrator_on_default_environment",
1201
+ "cvss_v4": "CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
1202
+ },
1203
+ {
1204
+ "id": "over_permissioned_credentials_on_storage",
1205
+ "cvss_v4": "CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
1206
+ },
1207
+ {
1208
+ "id": "poorly_configured_disk_encryption",
1209
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1210
+ },
1211
+ {
1212
+ "id": "poorly_configured_operating_system_security",
1213
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1214
+ },
1215
+ {
1216
+ "id": "recovery_of_disk_contains_sensitive_material",
1217
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1218
+ },
1219
+ {
1220
+ "id": "shared_credentials_on_storage",
1221
+ "cvss_v4": "CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
1222
+ },
1223
+ {
1224
+ "id": "weakness_in_firmware_updates",
1225
+ "children": [
1226
+ {
1227
+ "id": "firmware_cannot_be_updated",
1228
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1229
+ },
1230
+ {
1231
+ "id": "firmware_does_not_validate_update_integrity",
1232
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L"
1233
+ },
1234
+ {
1235
+ "id": "firmware_is_not_encrypted",
1236
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
1237
+ }
1238
+ ]
1239
+ }
1240
+ ]
1241
+ },
1242
+ {
1243
+ "id": "insufficient_security_configurability",
1244
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1245
+ "children": [
1246
+ {
1247
+ "id": "lack_of_notification_email",
1248
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1249
+ },
1250
+ {
1251
+ "id": "no_password_policy",
1252
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1253
+ },
1254
+ {
1255
+ "id": "password_policy_bypass",
1256
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1257
+ },
1258
+ {
1259
+ "id": "verification_of_contact_method_not_required",
1260
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1261
+ },
1262
+ {
1263
+ "id": "weak_password_policy",
1264
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1265
+ },
1266
+ {
1267
+ "id": "weak_password_reset_implementation",
1268
+ "children": [
1269
+ {
1270
+ "id": "token_has_long_timed_expiry",
1271
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1272
+ },
1273
+ {
1274
+ "id": "token_is_not_invalidated_after_email_change",
1275
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1276
+ },
1277
+ {
1278
+ "id": "token_is_not_invalidated_after_login",
1279
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1280
+ },
1281
+ {
1282
+ "id": "token_is_not_invalidated_after_new_token_is_requested",
1283
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1284
+ },
1285
+ {
1286
+ "id": "token_is_not_invalidated_after_password_change",
1287
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1288
+ },
1289
+ {
1290
+ "id": "token_is_not_invalidated_after_use",
1291
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1292
+ }
1293
+ ]
1294
+ },
1295
+ {
1296
+ "id": "weak_registration_implementation",
1297
+ "children": [
1298
+ {
1299
+ "id": "allows_disposable_email_addresses",
1300
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1301
+ }
1302
+ ]
1303
+ },
1304
+ {
1305
+ "id": "weak_two_fa_implementation",
1306
+ "children": [
1307
+ {
1308
+ "id": "missing_failsafe",
1309
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1310
+ },
1311
+ {
1312
+ "id": "old_two_fa_code_is_not_invalidated_after_new_code_is_generated",
1313
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1314
+ },
1315
+ {
1316
+ "id": "two_fa_code_is_not_updated_after_new_code_is_requested",
1317
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1318
+ },
1319
+ {
1320
+ "id": "two_fa_secret_cannot_be_rotated",
1321
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1322
+ },
1323
+ {
1324
+ "id": "two_fa_secret_remains_obtainable_after_two_fa_is_enabled",
1325
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1326
+ }
1327
+ ]
1328
+ }
1329
+ ]
1330
+ },
1331
+ {
1332
+ "id": "lack_of_binary_hardening",
1333
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1334
+ "children": [
1335
+ {
1336
+ "id": "lack_of_exploit_mitigations",
1337
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1338
+ },
1339
+ {
1340
+ "id": "lack_of_jailbreak_detection",
1341
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1342
+ },
1343
+ {
1344
+ "id": "lack_of_obfuscation",
1345
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1346
+ },
1347
+ {
1348
+ "id": "runtime_instrumentation_based",
1349
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1350
+ }
1351
+ ]
1352
+ },
1353
+ {
1354
+ "id": "misinterpretation_biases",
1355
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1356
+ "children": [
1357
+ {
1358
+ "id": "context_ignorance",
1359
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1360
+ }
1361
+ ]
1362
+ },
1363
+ {
1364
+ "id": "mobile_security_misconfiguration",
1365
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1366
+ "children": [
1367
+ {
1368
+ "id": "auto_backup_allowed_by_default",
1369
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
1370
+ },
1371
+ {
1372
+ "id": "clipboard_enabled",
1373
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1374
+ },
1375
+ {
1376
+ "id": "ssl_certificate_pinning",
1377
+ "children": [
1378
+ {
1379
+ "id": "absent",
1380
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1381
+ },
1382
+ {
1383
+ "id": "defeatable",
1384
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1385
+ }
1386
+ ]
1387
+ },
1388
+ {
1389
+ "id": "tapjacking",
1390
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1391
+ }
1392
+ ]
1393
+ },
1394
+ {
1395
+ "id": "network_security_misconfiguration",
1396
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1397
+ "children": [
1398
+ {
1399
+ "id": "telnet_enabled",
1400
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1401
+ }
1402
+ ]
1403
+ },
1404
+ {
1405
+ "id": "physical_security_issues",
1406
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1407
+ "children": [
1408
+ {
1409
+ "id": "bypass_of_physical_access_control",
1410
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1411
+ },
1412
+ {
1413
+ "id": "weakness_in_physical_access_control",
1414
+ "children": [
1415
+ {
1416
+ "id": "cloneable_key",
1417
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1418
+ },
1419
+ {
1420
+ "id": "commonly_keyed_system",
1421
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1422
+ },
1423
+ {
1424
+ "id": "master_key_identification",
1425
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1426
+ }
1427
+ ]
1428
+ }
1429
+ ]
1430
+ },
1431
+ {
1432
+ "id": "privacy_concerns",
1433
+ "children": [
1434
+ {
1435
+ "id": "unnecessary_data_collection",
1436
+ "children": [
1437
+ {
1438
+ "id": "wifi_ssid_password",
1439
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1440
+ }
1441
+ ]
1442
+ }
1443
+ ]
1444
+ },
1445
+ {
1446
+ "id": "protocol_specific_misconfiguration",
1447
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1448
+ "children": [
1449
+ {
1450
+ "id": "frontrunning_enabled_attack",
1451
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N"
1452
+ },
1453
+ {
1454
+ "id": "improper_validation_and_finalization_logic",
1455
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1456
+ },
1457
+ {
1458
+ "id": "misconfigured_staking_logic",
1459
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1460
+ },
1461
+ {
1462
+ "id": "sandwich_enabled_attack",
1463
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N"
1464
+ }
1465
+ ]
1466
+ },
1467
+ {
1468
+ "id": "sensitive_data_exposure",
1469
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1470
+ "children": [
1471
+ {
1472
+ "id": "disclosure_of_known_public_information",
1473
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1474
+ },
1475
+ {
1476
+ "id": "disclosure_of_secrets",
1477
+ "children": [
1478
+ {
1479
+ "id": "data_traffic_spam",
1480
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1481
+ },
1482
+ {
1483
+ "id": "for_internal_asset",
1484
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
1485
+ },
1486
+ {
1487
+ "id": "for_publicly_accessible_asset",
1488
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
1489
+ },
1490
+ {
1491
+ "id": "intentionally_public_sample_or_invalid",
1492
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1493
+ },
1494
+ {
1495
+ "id": "non_corporate_user",
1496
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1497
+ },
1498
+ {
1499
+ "id": "pay_per_use_abuse",
1500
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
1501
+ },
1502
+ {
1503
+ "id": "pii_leakage_exposure",
1504
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1505
+ }
1506
+ ]
1507
+ },
1508
+ {
1509
+ "id": "exif_geolocation_data_not_stripped_from_uploaded_images",
1510
+ "children": [
1511
+ {
1512
+ "id": "automatic_user_enumeration",
1513
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1514
+ },
1515
+ {
1516
+ "id": "manual_user_enumeration",
1517
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1518
+ }
1519
+ ]
1520
+ },
1521
+ {
1522
+ "id": "graphql_introspection_enabled",
1523
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1524
+ },
1525
+ {
1526
+ "id": "internal_ip_disclosure",
1527
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1528
+ },
1529
+ {
1530
+ "id": "json_hijacking",
1531
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1532
+ },
1533
+ {
1534
+ "id": "mixed_content",
1535
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1536
+ },
1537
+ {
1538
+ "id": "non_sensitive_token_in_url",
1539
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1540
+ },
1541
+ {
1542
+ "id": "sensitive_data_hardcoded",
1543
+ "children": [
1544
+ {
1545
+ "id": "file_paths",
1546
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1547
+ },
1548
+ {
1549
+ "id": "oauth_secret",
1550
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1551
+ }
1552
+ ]
1553
+ },
1554
+ {
1555
+ "id": "sensitive_token_in_url",
1556
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N",
1557
+ "children": [
1558
+ {
1559
+ "id": "in_the_background",
1560
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1561
+ },
1562
+ {
1563
+ "id": "on_password_reset",
1564
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1565
+ },
1566
+ {
1567
+ "id": "user_facing",
1568
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1569
+ }
1570
+ ]
1571
+ },
1572
+ {
1573
+ "id": "token_leakage_via_referer",
1574
+ "children": [
1575
+ {
1576
+ "id": "over_http",
1577
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
1578
+ },
1579
+ {
1580
+ "id": "password_reset_token",
1581
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1582
+ },
1583
+ {
1584
+ "id": "trusted_third_party",
1585
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1586
+ },
1587
+ {
1588
+ "id": "untrusted_third_party",
1589
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
1590
+ }
1591
+ ]
1592
+ },
1593
+ {
1594
+ "id": "via_localstorage_sessionstorage",
1595
+ "children": [
1596
+ {
1597
+ "id": "non_sensitive_token",
1598
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1599
+ },
1600
+ {
1601
+ "id": "sensitive_token",
1602
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1603
+ }
1604
+ ]
1605
+ },
1606
+ {
1607
+ "id": "visible_detailed_error_page",
1608
+ "children": [
1609
+ {
1610
+ "id": "descriptive_stack_trace",
1611
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1612
+ },
1613
+ {
1614
+ "id": "detailed_server_configuration",
1615
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1616
+ },
1617
+ {
1618
+ "id": "full_path_disclosure",
1619
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1620
+ }
1621
+ ]
1622
+ },
1623
+ {
1624
+ "id": "weak_password_reset_implementation",
1625
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N",
1626
+ "children": [
1627
+ {
1628
+ "id": "password_reset_token_sent_over_http",
1629
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
1630
+ },
1631
+ {
1632
+ "id": "token_leakage_via_host_header_poisoning",
1633
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
1634
+ }
1635
+ ]
1636
+ },
1637
+ {
1638
+ "id": "xssi",
1639
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1640
+ }
1641
+ ]
1642
+ },
1643
+ {
1644
+ "id": "server_security_misconfiguration",
1645
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1646
+ "children": [
1647
+ {
1648
+ "id": "bitsquatting",
1649
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1650
+ },
1651
+ {
1652
+ "id": "cache_deception",
1653
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1654
+ },
1655
+ {
1656
+ "id": "cache_poisoning",
1657
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1658
+ },
1659
+ {
1660
+ "id": "captcha",
1661
+ "children": [
1662
+ {
1663
+ "id": "brute_force",
1664
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1665
+ },
1666
+ {
1667
+ "id": "implementation_vulnerability",
1668
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
1669
+ },
1670
+ {
1671
+ "id": "missing",
1672
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1673
+ }
1674
+ ]
1675
+ },
1676
+ {
1677
+ "id": "clickjacking",
1678
+ "children": [
1679
+ {
1680
+ "id": "form_input",
1681
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1682
+ },
1683
+ {
1684
+ "id": "non_sensitive_action",
1685
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1686
+ },
1687
+ {
1688
+ "id": "sensitive_action",
1689
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1690
+ }
1691
+ ]
1692
+ },
1693
+ {
1694
+ "id": "cookie_scoped_to_parent_domain",
1695
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1696
+ },
1697
+ {
1698
+ "id": "dbms_misconfiguration",
1699
+ "children": [
1700
+ {
1701
+ "id": "excessively_privileged_user_dba",
1702
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1703
+ }
1704
+ ]
1705
+ },
1706
+ {
1707
+ "id": "directory_listing_enabled",
1708
+ "children": [
1709
+ {
1710
+ "id": "non_sensitive_data_exposure",
1711
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1712
+ },
1713
+ {
1714
+ "id": "sensitive_data_exposure",
1715
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1716
+ }
1717
+ ]
1718
+ },
1719
+ {
1720
+ "id": "email_verification_bypass",
1721
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1722
+ },
1723
+ {
1724
+ "id": "exposed_portal",
1725
+ "children": [
1726
+ {
1727
+ "id": "admin_portal",
1728
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
1729
+ },
1730
+ {
1731
+ "id": "non_admin_portal",
1732
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1733
+ },
1734
+ {
1735
+ "id": "protected",
1736
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1737
+ }
1738
+ ]
1739
+ },
1740
+ {
1741
+ "id": "fingerprinting_banner_disclosure",
1742
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1743
+ },
1744
+ {
1745
+ "id": "insecure_ssl",
1746
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1747
+ "children": [
1748
+ {
1749
+ "id": "certificate_error",
1750
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1751
+ },
1752
+ {
1753
+ "id": "insecure_cipher_suite",
1754
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1755
+ },
1756
+ {
1757
+ "id": "lack_of_forward_secrecy",
1758
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1759
+ }
1760
+ ]
1761
+ },
1762
+ {
1763
+ "id": "lack_of_password_confirmation",
1764
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N",
1765
+ "children": [
1766
+ {
1767
+ "id": "change_email_address",
1768
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
1769
+ },
1770
+ {
1771
+ "id": "change_password",
1772
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
1773
+ },
1774
+ {
1775
+ "id": "delete_account",
1776
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
1777
+ },
1778
+ {
1779
+ "id": "manage_two_fa",
1780
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
1781
+ }
1782
+ ]
1783
+ },
1784
+ {
1785
+ "id": "lack_of_security_headers",
1786
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1787
+ "children": [
1788
+ {
1789
+ "id": "cache_control_for_a_non_sensitive_page",
1790
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1791
+ },
1792
+ {
1793
+ "id": "cache_control_for_a_sensitive_page",
1794
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1795
+ },
1796
+ {
1797
+ "id": "content_security_policy",
1798
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1799
+ },
1800
+ {
1801
+ "id": "content_security_policy_report_only",
1802
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1803
+ },
1804
+ {
1805
+ "id": "public_key_pins",
1806
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1807
+ },
1808
+ {
1809
+ "id": "strict_transport_security",
1810
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1811
+ },
1812
+ {
1813
+ "id": "x_content_security_policy",
1814
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1815
+ },
1816
+ {
1817
+ "id": "x_content_type_options",
1818
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1819
+ },
1820
+ {
1821
+ "id": "x_frame_options",
1822
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1823
+ },
1824
+ {
1825
+ "id": "x_webkit_csp",
1826
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1827
+ },
1828
+ {
1829
+ "id": "x_xss_protection",
1830
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1831
+ }
1832
+ ]
1833
+ },
1834
+ {
1835
+ "id": "mail_server_misconfiguration",
1836
+ "children": [
1837
+ {
1838
+ "id": "email_spoofing_on_non_email_domain",
1839
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1840
+ },
1841
+ {
1842
+ "id": "email_spoofing_to_inbox_due_to_missing_or_misconfigured_dmarc_on_email_domain",
1843
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1844
+ },
1845
+ {
1846
+ "id": "email_spoofing_to_spam_folder",
1847
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1848
+ },
1849
+ {
1850
+ "id": "missing_or_misconfigured_spf_and_or_dkim",
1851
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1852
+ },
1853
+ {
1854
+ "id": "no_spoofing_protection_on_email_domain",
1855
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1856
+ }
1857
+ ]
1858
+ },
1859
+ {
1860
+ "id": "misconfigured_dns",
1861
+ "children": [
1862
+ {
1863
+ "id": "missing_caa_record",
1864
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1865
+ },
1866
+ {
1867
+ "id": "subdomain_takeover",
1868
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1869
+ },
1870
+ {
1871
+ "id": "zone_transfer",
1872
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1873
+ }
1874
+ ]
1875
+ },
1876
+ {
1877
+ "id": "missing_dnssec",
1878
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1879
+ },
1880
+ {
1881
+ "id": "missing_secure_or_httponly_cookie_flag",
1882
+ "children": [
1883
+ {
1884
+ "id": "non_session_cookie",
1885
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1886
+ },
1887
+ {
1888
+ "id": "session_token",
1889
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1890
+ }
1891
+ ]
1892
+ },
1893
+ {
1894
+ "id": "missing_subresource_integrity",
1895
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1896
+ },
1897
+ {
1898
+ "id": "no_rate_limiting_on_form",
1899
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N",
1900
+ "children": [
1901
+ {
1902
+ "id": "change_password",
1903
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
1904
+ },
1905
+ {
1906
+ "id": "email_triggering",
1907
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1908
+ },
1909
+ {
1910
+ "id": "login",
1911
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1912
+ },
1913
+ {
1914
+ "id": "registration",
1915
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1916
+ },
1917
+ {
1918
+ "id": "sms_triggering",
1919
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1920
+ }
1921
+ ]
1922
+ },
1923
+ {
1924
+ "id": "oauth_misconfiguration",
1925
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N",
1926
+ "children": [
1927
+ {
1928
+ "id": "account_squatting",
1929
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1930
+ },
1931
+ {
1932
+ "id": "account_takeover",
1933
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
1934
+ },
1935
+ {
1936
+ "id": "insecure_redirect_uri",
1937
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1938
+ },
1939
+ {
1940
+ "id": "missing_state_parameter",
1941
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1942
+ }
1943
+ ]
1944
+ },
1945
+ {
1946
+ "id": "path_traversal",
1947
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1948
+ },
1949
+ {
1950
+ "id": "potentially_unsafe_http_method_enabled",
1951
+ "children": [
1952
+ {
1953
+ "id": "options",
1954
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1955
+ },
1956
+ {
1957
+ "id": "trace",
1958
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1959
+ }
1960
+ ]
1961
+ },
1962
+ {
1963
+ "id": "race_condition",
1964
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1965
+ },
1966
+ {
1967
+ "id": "request_smuggling",
1968
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1969
+ },
1970
+ {
1971
+ "id": "rfd",
1972
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1973
+ },
1974
+ {
1975
+ "id": "same_site_scripting",
1976
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1977
+ },
1978
+ {
1979
+ "id": "server_side_request_forgery_ssrf",
1980
+ "children": [
1981
+ {
1982
+ "id": "external_dns_query_only",
1983
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
1984
+ },
1985
+ {
1986
+ "id": "external_low_impact",
1987
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
1988
+ },
1989
+ {
1990
+ "id": "internal_high_impact",
1991
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1992
+ },
1993
+ {
1994
+ "id": "internal_scan_and_or_medium_impact",
1995
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1996
+ }
1997
+ ]
1998
+ },
1999
+ {
2000
+ "id": "software_package_takeover",
2001
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2002
+ },
2003
+ {
2004
+ "id": "ssl_attack_breach_poodle_etc",
2005
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2006
+ },
2007
+ {
2008
+ "id": "unsafe_cross_origin_resource_sharing",
2009
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2010
+ },
2011
+ {
2012
+ "id": "unsafe_file_upload",
2013
+ "children": [
2014
+ {
2015
+ "id": "file_extension_filter_bypass",
2016
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2017
+ },
2018
+ {
2019
+ "id": "no_antivirus",
2020
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2021
+ },
2022
+ {
2023
+ "id": "no_size_limit",
2024
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
2025
+ }
2026
+ ]
2027
+ },
2028
+ {
2029
+ "id": "username_enumeration",
2030
+ "children": [
2031
+ {
2032
+ "id": "brute_force",
2033
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2034
+ }
2035
+ ]
2036
+ },
2037
+ {
2038
+ "id": "using_default_credentials",
2039
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
2040
+ },
2041
+ {
2042
+ "id": "waf_bypass",
2043
+ "children": [
2044
+ {
2045
+ "id": "direct_server_access",
2046
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
2047
+ }
2048
+ ]
2049
+ }
2050
+ ]
2051
+ },
2052
+ {
2053
+ "id": "server_side_injection",
2054
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2055
+ "children": [
2056
+ {
2057
+ "id": "content_spoofing",
2058
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2059
+ "children": [
2060
+ {
2061
+ "id": "email_html_injection",
2062
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2063
+ },
2064
+ {
2065
+ "id": "email_hyperlink_injection_based_on_email_provider",
2066
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2067
+ },
2068
+ {
2069
+ "id": "external_authentication_injection",
2070
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2071
+ },
2072
+ {
2073
+ "id": "flash_based_external_authentication_injection",
2074
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2075
+ },
2076
+ {
2077
+ "id": "homograph_idn_based",
2078
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2079
+ },
2080
+ {
2081
+ "id": "html_content_injection",
2082
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2083
+ },
2084
+ {
2085
+ "id": "iframe_injection",
2086
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
2087
+ },
2088
+ {
2089
+ "id": "impersonation_via_broken_link_hijacking",
2090
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2091
+ },
2092
+ {
2093
+ "id": "rtlo",
2094
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2095
+ },
2096
+ {
2097
+ "id": "text_injection",
2098
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2099
+ }
2100
+ ]
2101
+ },
2102
+ {
2103
+ "id": "exposed_data",
2104
+ "children": [
2105
+ {
2106
+ "id": "non_sensitive_data",
2107
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2108
+ },
2109
+ {
2110
+ "id": "sensitive_data",
2111
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2112
+ }
2113
+ ]
2114
+ },
2115
+ {
2116
+ "id": "file_inclusion",
2117
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N",
2118
+ "children": [
2119
+ {
2120
+ "id": "local",
2121
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N"
2122
+ }
2123
+ ]
2124
+ },
2125
+ {
2126
+ "id": "http_response_manipulation",
2127
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N",
2128
+ "children": [
2129
+ {
2130
+ "id": "response_splitting_crlf",
2131
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
2132
+ }
2133
+ ]
2134
+ },
2135
+ {
2136
+ "id": "ldap_injection",
2137
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2138
+ },
2139
+ {
2140
+ "id": "parameter_pollution",
2141
+ "children": [
2142
+ {
2143
+ "id": "social_media_sharing_buttons",
2144
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2145
+ }
2146
+ ]
2147
+ },
2148
+ {
2149
+ "id": "remote_code_execution_rce",
2150
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
2151
+ },
2152
+ {
2153
+ "id": "sql_injection",
2154
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N"
2155
+ },
2156
+ {
2157
+ "id": "ssti",
2158
+ "children": [
2159
+ {
2160
+ "id": "basic",
2161
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
2162
+ },
2163
+ {
2164
+ "id": "custom",
2165
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2166
+ }
2167
+ ]
2168
+ },
2169
+ {
2170
+ "id": "xml_external_entity_injection_xxe",
2171
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N"
2172
+ }
2173
+ ]
2174
+ },
2175
+ {
2176
+ "id": "smart_contract_misconfiguration",
2177
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2178
+ "children": [
2179
+ {
2180
+ "id": "bypass_of_function_modifiers_and_checks",
2181
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2182
+ },
2183
+ {
2184
+ "id": "function_level_denial_of_service",
2185
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
2186
+ },
2187
+ {
2188
+ "id": "improper_decimals_implementation",
2189
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2190
+ },
2191
+ {
2192
+ "id": "improper_fee_implementation",
2193
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
2194
+ },
2195
+ {
2196
+ "id": "improper_use_of_modifier",
2197
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2198
+ },
2199
+ {
2200
+ "id": "inaccurate_rounding_calculation",
2201
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2202
+ },
2203
+ {
2204
+ "id": "integer_overflow_underflow",
2205
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N"
2206
+ },
2207
+ {
2208
+ "id": "irreversible_function_call",
2209
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
2210
+ },
2211
+ {
2212
+ "id": "malicious_superuser_risk",
2213
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
2214
+ },
2215
+ {
2216
+ "id": "reentrancy_attack",
2217
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
2218
+ },
2219
+ {
2220
+ "id": "smart_contract_owner_takeover",
2221
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
2222
+ },
2223
+ {
2224
+ "id": "unauthorized_smart_contract_approval",
2225
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N"
2226
+ },
2227
+ {
2228
+ "id": "unauthorized_transfer_of_funds",
2229
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
2230
+ },
2231
+ {
2232
+ "id": "uninitialized_variables",
2233
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N"
2234
+ }
2235
+ ]
2236
+ },
2237
+ {
2238
+ "id": "societal_biases",
2239
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2240
+ "children": [
2241
+ {
2242
+ "id": "confirmation_bias",
2243
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2244
+ },
2245
+ {
2246
+ "id": "systemic_bias",
2247
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2248
+ }
2249
+ ]
2250
+ },
2251
+ {
2252
+ "id": "unvalidated_redirects_and_forwards",
2253
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2254
+ "children": [
2255
+ {
2256
+ "id": "lack_of_security_speed_bump_page",
2257
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2258
+ },
2259
+ {
2260
+ "id": "open_redirect",
2261
+ "children": [
2262
+ {
2263
+ "id": "flash_based",
2264
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2265
+ },
2266
+ {
2267
+ "id": "get_based",
2268
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2269
+ },
2270
+ {
2271
+ "id": "header_based",
2272
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2273
+ },
2274
+ {
2275
+ "id": "post_based",
2276
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2277
+ }
2278
+ ]
2279
+ },
2280
+ {
2281
+ "id": "tabnabbing",
2282
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2283
+ }
2284
+ ]
2285
+ },
2286
+ {
2287
+ "id": "using_components_with_known_vulnerabilities",
2288
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2289
+ "children": [
2290
+ {
2291
+ "id": "captcha_bypass",
2292
+ "children": [
2293
+ {
2294
+ "id": "ocr_optical_character_recognition",
2295
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2296
+ }
2297
+ ]
2298
+ },
2299
+ {
2300
+ "id": "outdated_software_version",
2301
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2302
+ },
2303
+ {
2304
+ "id": "rosetta_flash",
2305
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2306
+ }
2307
+ ]
2308
+ },
2309
+ {
2310
+ "id": "zero_knowledge_security_misconfiguration",
2311
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2312
+ "children": [
2313
+ {
2314
+ "id": "deanonymization_of_data",
2315
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
2316
+ },
2317
+ {
2318
+ "id": "improper_proof_validation_and_finalization_logic",
2319
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
2320
+ },
2321
+ {
2322
+ "id": "misconfigured_trusted_setup",
2323
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2324
+ },
2325
+ {
2326
+ "id": "mismatching_bit_lengths",
2327
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2328
+ },
2329
+ {
2330
+ "id": "missing_constraint",
2331
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2332
+ },
2333
+ {
2334
+ "id": "missing_range_check",
2335
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2336
+ }
2337
+ ]
2338
+ }
2339
+ ]
2340
+ }