vrt 0.13.7 → 0.13.8

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
Files changed (28) hide show
  1. checksums.yaml +4 -4
  2. data/lib/data/1.18.1/deprecated-node-mapping.json +341 -0
  3. data/lib/data/1.18.1/mappings/cvss_v3/cvss_v3.json +1602 -0
  4. data/lib/data/1.18.1/mappings/cvss_v3/cvss_v3.schema.json +59 -0
  5. data/lib/data/1.18.1/mappings/cvss_v4/cvss_v4.json +2521 -0
  6. data/lib/data/1.18.1/mappings/cvss_v4/cvss_v4.schema.json +62 -0
  7. data/lib/data/1.18.1/mappings/cwe/cwe.json +1363 -0
  8. data/lib/data/1.18.1/mappings/cwe/cwe.schema.json +63 -0
  9. data/lib/data/1.18.1/mappings/remediation_advice/remediation_advice.json +2300 -0
  10. data/lib/data/1.18.1/mappings/remediation_advice/remediation_advice.schema.json +75 -0
  11. data/lib/data/1.18.1/scw_links.json +583 -0
  12. data/lib/data/1.18.1/third-party-mappings/remediation_training/secure-code-warrior-links.json +583 -0
  13. data/lib/data/1.18.1/vrt.schema.json +63 -0
  14. data/lib/data/1.18.1/vulnerability-rating-taxonomy.json +3638 -0
  15. data/lib/data/1.19/deprecated-node-mapping.json +341 -0
  16. data/lib/data/1.19/mappings/cvss_v3/cvss_v3.json +1602 -0
  17. data/lib/data/1.19/mappings/cvss_v3/cvss_v3.schema.json +59 -0
  18. data/lib/data/1.19/mappings/cvss_v4/cvss_v4.json +2521 -0
  19. data/lib/data/1.19/mappings/cvss_v4/cvss_v4.schema.json +62 -0
  20. data/lib/data/1.19/mappings/cwe/cwe.json +1363 -0
  21. data/lib/data/1.19/mappings/cwe/cwe.schema.json +63 -0
  22. data/lib/data/1.19/mappings/remediation_advice/remediation_advice.json +2300 -0
  23. data/lib/data/1.19/mappings/remediation_advice/remediation_advice.schema.json +75 -0
  24. data/lib/data/1.19/third-party-mappings/remediation_training/secure-code-warrior-links.json +583 -0
  25. data/lib/data/1.19/vrt.schema.json +63 -0
  26. data/lib/data/1.19/vulnerability-rating-taxonomy.json +3638 -0
  27. data/lib/vrt/version.rb +1 -1
  28. metadata +28 -3
data/lib/data/1.18.1/mappings/cvss_v4/cvss_v4.json ADDED
@@ -0,0 +1,2521 @@
1
+ {
2
+ "metadata": {
3
+ "default": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
4
+ },
5
+ "content": [
6
+ {
7
+ "id": "ai_application_security",
8
+ "children": [
9
+ {
10
+ "id": "adversarial_example_injection",
11
+ "children": [
12
+ {
13
+ "id": "ai_misclassification_attacks",
14
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
15
+ }
16
+ ]
17
+ },
18
+ {
19
+ "id": "ai_safety",
20
+ "children": [
21
+ {
22
+ "id": "misinformation_wrong_factual_data",
23
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
24
+ }
25
+ ]
26
+ },
27
+ {
28
+ "id": "denial_of_service_dos",
29
+ "children": [
30
+ {
31
+ "id": "application_wide",
32
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H"
33
+ },
34
+ {
35
+ "id": "tenant_scoped",
36
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L"
37
+ }
38
+ ]
39
+ },
40
+ {
41
+ "id": "improper_input_handling",
42
+ "children": [
43
+ {
44
+ "id": "ansi_escape_codes",
45
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
46
+ },
47
+ {
48
+ "id": "rtl_overrides",
49
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
50
+ },
51
+ {
52
+ "id": "unicode_confusables",
53
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
54
+ }
55
+ ]
56
+ },
57
+ {
58
+ "id": "improper_output_handling",
59
+ "children": [
60
+ {
61
+ "id": "cross_site_scripting_xss",
62
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
63
+ },
64
+ {
65
+ "id": "markdown_html_injection",
66
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
67
+ }
68
+ ]
69
+ },
70
+ {
71
+ "id": "insufficient_rate_limiting",
72
+ "children": [
73
+ {
74
+ "id": "query_flooding_api_token_abuse",
75
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H"
76
+ }
77
+ ]
78
+ },
79
+ {
80
+ "id": "model_extraction",
81
+ "children": [
82
+ {
83
+ "id": "api_query_based_model_reconstruction",
84
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
85
+ }
86
+ ]
87
+ },
88
+ {
89
+ "id": "prompt_injection",
90
+ "children": [
91
+ {
92
+ "id": "system_prompt_leakage",
93
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N"
94
+ }
95
+ ]
96
+ },
97
+ {
98
+ "id": "remote_code_execution",
99
+ "children": [
100
+ {
101
+ "id": "full_system_compromise",
102
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
103
+ },
104
+ {
105
+ "id": "sandboxed_container_code_execution",
106
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:H/VA:H/SC:N/SI:L/SA:L"
107
+ }
108
+ ]
109
+ },
110
+ {
111
+ "id": "sensitive_information_disclosure",
112
+ "children": [
113
+ {
114
+ "id": "cross_tenant_pii_leakage_exposure",
115
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N"
116
+ },
117
+ {
118
+ "id": "key_leak",
119
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
120
+ }
121
+ ]
122
+ },
123
+ {
124
+ "id": "training_data_poisoning",
125
+ "children": [
126
+ {
127
+ "id": "backdoor_injection_bias_manipulation",
128
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
129
+ }
130
+ ]
131
+ },
132
+ {
133
+ "id": "vector_and_embedding_weaknesses",
134
+ "children": [
135
+ {
136
+ "id": "embedding_exfiltration_model_extraction",
137
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N"
138
+ },
139
+ {
140
+ "id": "semantic_indexing",
141
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
142
+ }
143
+ ]
144
+ }
145
+ ]
146
+ },
147
+ {
148
+ "id": "algorithmic_biases",
149
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
150
+ "children": [
151
+ {
152
+ "id": "aggregation_bias",
153
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
154
+ },
155
+ {
156
+ "id": "processing_bias",
157
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
158
+ }
159
+ ]
160
+ },
161
+ {
162
+ "id": "application_level_denial_of_service_dos",
163
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
164
+ "children": [
165
+ {
166
+ "id": "app_crash",
167
+ "children": [
168
+ {
169
+ "id": "malformed_android_intents",
170
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
171
+ },
172
+ {
173
+ "id": "malformed_ios_url_schemes",
174
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
175
+ }
176
+ ]
177
+ },
178
+ {
179
+ "id": "critical_impact_and_or_easy_difficulty",
180
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
181
+ },
182
+ {
183
+ "id": "excessive_resource_consumption",
184
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N",
185
+ "children": [
186
+ {
187
+ "id": "injection_prompt",
188
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
189
+ }
190
+ ]
191
+ },
192
+ {
193
+ "id": "high_impact_and_or_medium_difficulty",
194
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
195
+ }
196
+ ]
197
+ },
198
+ {
199
+ "id": "automotive_security_misconfiguration",
200
+ "children": [
201
+ {
202
+ "id": "abs",
203
+ "children": [
204
+ {
205
+ "id": "unintended_acceleration_brake",
206
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
207
+ }
208
+ ]
209
+ },
210
+ {
211
+ "id": "battery_management_system",
212
+ "children": [
213
+ {
214
+ "id": "firmware_dump",
215
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
216
+ },
217
+ {
218
+ "id": "fraudulent_interface",
219
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N"
220
+ }
221
+ ]
222
+ },
223
+ {
224
+ "id": "can",
225
+ "children": [
226
+ {
227
+ "id": "injection_basic_safety_message",
228
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
229
+ },
230
+ {
231
+ "id": "injection_battery_management_system",
232
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
233
+ },
234
+ {
235
+ "id": "injection_disallowed_messages",
236
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
237
+ },
238
+ {
239
+ "id": "injection_dos",
240
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
241
+ },
242
+ {
243
+ "id": "injection_headlights",
244
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
245
+ },
246
+ {
247
+ "id": "injection_powertrain",
248
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
249
+ },
250
+ {
251
+ "id": "injection_pyrotechnical_device_deployment_tool",
252
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
253
+ },
254
+ {
255
+ "id": "injection_sensors",
256
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
257
+ },
258
+ {
259
+ "id": "injection_steering_control",
260
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
261
+ },
262
+ {
263
+ "id": "injection_vehicle_anti_theft_systems",
264
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
265
+ }
266
+ ]
267
+ },
268
+ {
269
+ "id": "gnss_gps",
270
+ "children": [
271
+ {
272
+ "id": "spoofing",
273
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
274
+ }
275
+ ]
276
+ },
277
+ {
278
+ "id": "immobilizer",
279
+ "children": [
280
+ {
281
+ "id": "engine_start",
282
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
283
+ }
284
+ ]
285
+ },
286
+ {
287
+ "id": "infotainment_radio_head_unit",
288
+ "children": [
289
+ {
290
+ "id": "code_execution_can_bus_pivot",
291
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
292
+ },
293
+ {
294
+ "id": "code_execution_no_can_bus_pivot",
295
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
296
+ },
297
+ {
298
+ "id": "default_credentials",
299
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
300
+ },
301
+ {
302
+ "id": "dos_brick",
303
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
304
+ },
305
+ {
306
+ "id": "ota_firmware_manipulation",
307
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
308
+ },
309
+ {
310
+ "id": "sensitive_data_leakage_exposure",
311
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L"
312
+ },
313
+ {
314
+ "id": "source_code_dump",
315
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
316
+ },
317
+ {
318
+ "id": "unauthorized_access_to_services",
319
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
320
+ }
321
+ ]
322
+ },
323
+ {
324
+ "id": "rf_hub",
325
+ "children": [
326
+ {
327
+ "id": "can_injection_interaction",
328
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
329
+ },
330
+ {
331
+ "id": "data_leakage_pull_encryption_mechanism",
332
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
333
+ },
334
+ {
335
+ "id": "key_fob_cloning",
336
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
337
+ },
338
+ {
339
+ "id": "relay",
340
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
341
+ },
342
+ {
343
+ "id": "replay",
344
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
345
+ },
346
+ {
347
+ "id": "roll_jam",
348
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
349
+ },
350
+ {
351
+ "id": "unauthorized_access_turn_on",
352
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
353
+ }
354
+ ]
355
+ },
356
+ {
357
+ "id": "rsu",
358
+ "children": [
359
+ {
360
+ "id": "sybil_attack",
361
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
362
+ }
363
+ ]
364
+ }
365
+ ]
366
+ },
367
+ {
368
+ "id": "blockchain_infrastructure_misconfiguration",
369
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
370
+ "children": [
371
+ {
372
+ "id": "improper_bridge_validation_and_verification_logic",
373
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
374
+ }
375
+ ]
376
+ },
377
+ {
378
+ "id": "broken_access_control",
379
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N",
380
+ "children": [
381
+ {
382
+ "id": "bypass_of_password_confirmation",
383
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N",
384
+ "children": [
385
+ {
386
+ "id": "change_password",
387
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N"
388
+ }
389
+ ]
390
+ },
391
+ {
392
+ "id": "exposed_sensitive_android_intent",
393
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
394
+ },
395
+ {
396
+ "id": "exposed_sensitive_ios_url_scheme",
397
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
398
+ },
399
+ {
400
+ "id": "idor",
401
+ "children": [
402
+ {
403
+ "id": "modify_sensitive_information_iterable_object_identifiers",
404
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
405
+ },
406
+ {
407
+ "id": "modify_view_sensitive_information_guid",
408
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
409
+ },
410
+ {
411
+ "id": "modify_view_sensitive_information_iterable_object_identifiers",
412
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
413
+ },
414
+ {
415
+ "id": "view_non_sensitive_information",
416
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
417
+ },
418
+ {
419
+ "id": "view_sensitive_information_iterable_object_identifiers",
420
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
421
+ }
422
+ ]
423
+ },
424
+ {
425
+ "id": "privilege_escalation",
426
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
427
+ },
428
+ {
429
+ "id": "username_enumeration",
430
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N",
431
+ "children": [
432
+ {
433
+ "id": "non_brute_force",
434
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
435
+ }
436
+ ]
437
+ }
438
+ ]
439
+ },
440
+ {
441
+ "id": "broken_authentication_and_session_management",
442
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
443
+ "children": [
444
+ {
445
+ "id": "authentication_bypass",
446
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
447
+ },
448
+ {
449
+ "id": "cleartext_transmission_of_session_token",
450
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
451
+ },
452
+ {
453
+ "id": "concurrent_logins",
454
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
455
+ },
456
+ {
457
+ "id": "failure_to_invalidate_session",
458
+ "children": [
459
+ {
460
+ "id": "all_sessions",
461
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
462
+ },
463
+ {
464
+ "id": "long_timeout",
465
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
466
+ },
467
+ {
468
+ "id": "on_email_change",
469
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
470
+ },
471
+ {
472
+ "id": "on_logout",
473
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
474
+ },
475
+ {
476
+ "id": "on_logout_server_side_only",
477
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
478
+ },
479
+ {
480
+ "id": "on_password_change",
481
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
482
+ },
483
+ {
484
+ "id": "on_two_fa_activation_change",
485
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
486
+ },
487
+ {
488
+ "id": "permission_change",
489
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
490
+ }
491
+ ]
492
+ },
493
+ {
494
+ "id": "saml_replay",
495
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
496
+ },
497
+ {
498
+ "id": "session_fixation",
499
+ "children": [
500
+ {
501
+ "id": "local_attack_vector",
502
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:L/UI:P/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N"
503
+ },
504
+ {
505
+ "id": "remote_attack_vector",
506
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N"
507
+ }
508
+ ]
509
+ },
510
+ {
511
+ "id": "two_fa_bypass",
512
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
513
+ },
514
+ {
515
+ "id": "weak_login_function",
516
+ "children": [
517
+ {
518
+ "id": "not_operational",
519
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
520
+ },
521
+ {
522
+ "id": "other_plaintext_protocol_no_secure_alternative",
523
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
524
+ },
525
+ {
526
+ "id": "over_http",
527
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
528
+ }
529
+ ]
530
+ },
531
+ {
532
+ "id": "weak_registration_implementation",
533
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N",
534
+ "children": [
535
+ {
536
+ "id": "over_http",
537
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
538
+ }
539
+ ]
540
+ },
541
+ {
542
+ "id": "excessive_jwt_lifetime",
543
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
544
+ },
545
+ {
546
+ "id": "secret_questions_account_verification",
547
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
548
+ }
549
+ ]
550
+ },
551
+ {
552
+ "id": "client_side_injection",
553
+ "children": [
554
+ {
555
+ "id": "binary_planting",
556
+ "children": [
557
+ {
558
+ "id": "no_privilege_escalation",
559
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
560
+ },
561
+ {
562
+ "id": "non_default_folder_privilege_escalation",
563
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
564
+ },
565
+ {
566
+ "id": "privilege_escalation",
567
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
568
+ }
569
+ ]
570
+ }
571
+ ]
572
+ },
573
+ {
574
+ "id": "cloud_security",
575
+ "children": [
576
+ {
577
+ "id": "identity_and_access_management_iam_misconfigurations",
578
+ "children": [
579
+ {
580
+ "id": "overly_permissive_iam_roles",
581
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
582
+ },
583
+ {
584
+ "id": "publicly_accessible_iam_credentials",
585
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
586
+ }
587
+ ]
588
+ },
589
+ {
590
+ "id": "logging_and_monitoring_issues",
591
+ "children": [
592
+ {
593
+ "id": "disabled_or_insufficient_logging",
594
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
595
+ }
596
+ ]
597
+ },
598
+ {
599
+ "id": "misconfigured_services_and_apis",
600
+ "children": [
601
+ {
602
+ "id": "exposed_debug_or_admin_interfaces",
603
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
604
+ },
605
+ {
606
+ "id": "insecure_api_endpoints",
607
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
608
+ }
609
+ ]
610
+ },
611
+ {
612
+ "id": "network_configuration_issues",
613
+ "children": [
614
+ {
615
+ "id": "lack_of_network_segmentation",
616
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
617
+ },
618
+ {
619
+ "id": "open_management_ports_to_the_internet",
620
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
621
+ }
622
+ ]
623
+ },
624
+ {
625
+ "id": "storage_misconfigurations",
626
+ "children": [
627
+ {
628
+ "id": "publicly_accessible_cloud_storage",
629
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
630
+ },
631
+ {
632
+ "id": "unencrypted_sensitive_data_at_rest",
633
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
634
+ }
635
+ ]
636
+ }
637
+ ]
638
+ },
639
+ {
640
+ "id": "cross_site_request_forgery_csrf",
641
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
642
+ "children": [
643
+ {
644
+ "id": "action_specific",
645
+ "children": [
646
+ {
647
+ "id": "authenticated_action",
648
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
649
+ },
650
+ {
651
+ "id": "logout",
652
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
653
+ },
654
+ {
655
+ "id": "unauthenticated_action",
656
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
657
+ }
658
+ ]
659
+ },
660
+ {
661
+ "id": "application_wide",
662
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
663
+ },
664
+ {
665
+ "id": "csrf_token_not_unique_per_request",
666
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
667
+ },
668
+ {
669
+ "id": "flash_based",
670
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
671
+ }
672
+ ]
673
+ },
674
+ {
675
+ "id": "cross_site_scripting_xss",
676
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
677
+ "children": [
678
+ {
679
+ "id": "cookie_based",
680
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
681
+ },
682
+ {
683
+ "id": "flash_based",
684
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
685
+ },
686
+ {
687
+ "id": "ie_only",
688
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
689
+ },
690
+ {
691
+ "id": "off_domain",
692
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N",
693
+ "children": [
694
+ {
695
+ "id": "data_uri",
696
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
697
+ }
698
+ ]
699
+ },
700
+ {
701
+ "id": "referer",
702
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
703
+ },
704
+ {
705
+ "id": "reflected",
706
+ "children": [
707
+ {
708
+ "id": "non_self",
709
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
710
+ },
711
+ {
712
+ "id": "self",
713
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
714
+ }
715
+ ]
716
+ },
717
+ {
718
+ "id": "stored",
719
+ "children": [
720
+ {
721
+ "id": "non_admin_to_anyone",
722
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N"
723
+ },
724
+ {
725
+ "id": "privileged_user_to_no_privilege_elevation",
726
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
727
+ },
728
+ {
729
+ "id": "privileged_user_to_privilege_elevation",
730
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N"
731
+ },
732
+ {
733
+ "id": "self",
734
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
735
+ },
736
+ {
737
+ "id": "url_based",
738
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
739
+ }
740
+ ]
741
+ },
742
+ {
743
+ "id": "trace_method",
744
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
745
+ },
746
+ {
747
+ "id": "universal_uxss",
748
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
749
+ }
750
+ ]
751
+ },
752
+ {
753
+ "id": "cryptographic_weakness",
754
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
755
+ "children": [
756
+ {
757
+ "id": "broken_cryptography",
758
+ "children": [
759
+ {
760
+ "id": "use_of_broken_cryptographic_primitive",
761
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
762
+ },
763
+ {
764
+ "id": "use_of_vulnerable_cryptographic_library",
765
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
766
+ }
767
+ ]
768
+ },
769
+ {
770
+ "id": "incomplete_cleanup_of_keying_material",
771
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
772
+ },
773
+ {
774
+ "id": "insecure_implementation",
775
+ "children": [
776
+ {
777
+ "id": "improper_following_of_specification",
778
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
779
+ },
780
+ {
781
+ "id": "missing_cryptographic_step",
782
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
783
+ }
784
+ ]
785
+ },
786
+ {
787
+ "id": "insecure_key_generation",
788
+ "children": [
789
+ {
790
+ "id": "improper_asymmetric_exponent_selection",
791
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
792
+ },
793
+ {
794
+ "id": "improper_asymmetric_prime_selection",
795
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
796
+ },
797
+ {
798
+ "id": "insufficient_key_space",
799
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
800
+ },
801
+ {
802
+ "id": "insufficient_key_stretching",
803
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
804
+ },
805
+ {
806
+ "id": "key_exchange_without_entity_authentication",
807
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
808
+ }
809
+ ]
810
+ },
811
+ {
812
+ "id": "insufficient_entropy",
813
+ "children": [
814
+ {
815
+ "id": "initialization_vector_reuse",
816
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
817
+ },
818
+ {
819
+ "id": "limited_rng_entropy_source",
820
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
821
+ },
822
+ {
823
+ "id": "predictable_initialization_vector",
824
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
825
+ },
826
+ {
827
+ "id": "predictable_prng_seed",
828
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
829
+ },
830
+ {
831
+ "id": "prng_seed_reuse",
832
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
833
+ },
834
+ {
835
+ "id": "small_seed_space_in_prng",
836
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
837
+ },
838
+ {
839
+ "id": "use_of_trng_for_nonsecurity_purpose",
840
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
841
+ }
842
+ ]
843
+ },
844
+ {
845
+ "id": "insufficient_verification_of_data_authenticity",
846
+ "children": [
847
+ {
848
+ "id": "cryptographic_signature",
849
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
850
+ },
851
+ {
852
+ "id": "identity_check_value",
853
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
854
+ }
855
+ ]
856
+ },
857
+ {
858
+ "id": "key_reuse",
859
+ "children": [
860
+ {
861
+ "id": "inter_environment",
862
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
863
+ },
864
+ {
865
+ "id": "intra_environment",
866
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
867
+ },
868
+ {
869
+ "id": "lack_of_perfect_forward_secrecy",
870
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
871
+ }
872
+ ]
873
+ },
874
+ {
875
+ "id": "side_channel_attack",
876
+ "children": [
877
+ {
878
+ "id": "differential_fault_analysis",
879
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
880
+ },
881
+ {
882
+ "id": "emanations_attack",
883
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
884
+ },
885
+ {
886
+ "id": "padding_oracle_attack",
887
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
888
+ },
889
+ {
890
+ "id": "power_analysis_attack",
891
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
892
+ },
893
+ {
894
+ "id": "timing_attack",
895
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
896
+ }
897
+ ]
898
+ },
899
+ {
900
+ "id": "use_of_expired_cryptographic_key_or_cert",
901
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
902
+ },
903
+ {
904
+ "id": "weak_hash",
905
+ "children": [
906
+ {
907
+ "id": "lack_of_salt",
908
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
909
+ },
910
+ {
911
+ "id": "predictable_hash_collision",
912
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
913
+ },
914
+ {
915
+ "id": "use_of_predictable_salt",
916
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
917
+ }
918
+ ]
919
+ }
920
+ ]
921
+ },
922
+ {
923
+ "id": "data_biases",
924
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
925
+ "children": [
926
+ {
927
+ "id": "pre_existing_bias",
928
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
929
+ },
930
+ {
931
+ "id": "representation_bias",
932
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
933
+ }
934
+ ]
935
+ },
936
+ {
937
+ "id": "decentralized_application_misconfiguration",
938
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
939
+ "children": [
940
+ {
941
+ "id": "defi_security",
942
+ "children": [
943
+ {
944
+ "id": "flash_loan_attack",
945
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
946
+ },
947
+ {
948
+ "id": "function_level_accounting_error",
949
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
950
+ },
951
+ {
952
+ "id": "improper_implementation_of_governance",
953
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
954
+ },
955
+ {
956
+ "id": "pricing_oracle_manipulation",
957
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
958
+ }
959
+ ]
960
+ },
961
+ {
962
+ "id": "improper_authorization",
963
+ "children": [
964
+ {
965
+ "id": "insufficient_signature_validation",
966
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
967
+ }
968
+ ]
969
+ },
970
+ {
971
+ "id": "insecure_data_storage",
972
+ "children": [
973
+ {
974
+ "id": "plaintext_private_key",
975
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
976
+ },
977
+ {
978
+ "id": "sensitive_information_exposure",
979
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
980
+ }
981
+ ]
982
+ },
983
+ {
984
+ "id": "marketplace_security",
985
+ "children": [
986
+ {
987
+ "id": "denial_of_service",
988
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
989
+ },
990
+ {
991
+ "id": "improper_validation_and_checks_for_deposits_and_withdrawals",
992
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
993
+ },
994
+ {
995
+ "id": "malicious_order_offer",
996
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N"
997
+ },
998
+ {
999
+ "id": "miscalculated_accounting_logic",
1000
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1001
+ },
1002
+ {
1003
+ "id": "ofac_bypass",
1004
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1005
+ },
1006
+ {
1007
+ "id": "orderbook_manipulation",
1008
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N"
1009
+ },
1010
+ {
1011
+ "id": "price_or_fee_manipulation",
1012
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N"
1013
+ },
1014
+ {
1015
+ "id": "signer_account_takeover",
1016
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
1017
+ },
1018
+ {
1019
+ "id": "unauthorized_asset_transfer",
1020
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
1021
+ }
1022
+ ]
1023
+ },
1024
+ {
1025
+ "id": "protocol_security_misconfiguration",
1026
+ "children": [
1027
+ {
1028
+ "id": "node_level_denial_of_service",
1029
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
1030
+ }
1031
+ ]
1032
+ }
1033
+ ]
1034
+ },
1035
+ {
1036
+ "id": "developer_biases",
1037
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1038
+ "children": [
1039
+ {
1040
+ "id": "implicit_bias",
1041
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1042
+ }
1043
+ ]
1044
+ },
1045
+ {
1046
+ "id": "external_behavior",
1047
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1048
+ "children": [
1049
+ {
1050
+ "id": "browser_feature",
1051
+ "children": [
1052
+ {
1053
+ "id": "aggressive_offline_caching",
1054
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1055
+ },
1056
+ {
1057
+ "id": "autocomplete_enabled",
1058
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1059
+ },
1060
+ {
1061
+ "id": "autocorrect_enabled",
1062
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1063
+ },
1064
+ {
1065
+ "id": "plaintext_password_field",
1066
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1067
+ },
1068
+ {
1069
+ "id": "save_password",
1070
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1071
+ }
1072
+ ]
1073
+ },
1074
+ {
1075
+ "id": "captcha_bypass",
1076
+ "children": [
1077
+ {
1078
+ "id": "crowdsourcing",
1079
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1080
+ }
1081
+ ]
1082
+ },
1083
+ {
1084
+ "id": "csv_injection",
1085
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1086
+ },
1087
+ {
1088
+ "id": "system_clipboard_leak",
1089
+ "children": [
1090
+ {
1091
+ "id": "shared_links",
1092
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1093
+ }
1094
+ ]
1095
+ },
1096
+ {
1097
+ "id": "user_password_persisted_in_memory",
1098
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1099
+ }
1100
+ ]
1101
+ },
1102
+ {
1103
+ "id": "indicators_of_compromise",
1104
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1105
+ },
1106
+ {
1107
+ "id": "insecure_data_storage",
1108
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1109
+ "children": [
1110
+ {
1111
+ "id": "non_sensitive_application_data_stored_unencrypted",
1112
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1113
+ },
1114
+ {
1115
+ "id": "screen_caching_enabled",
1116
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1117
+ },
1118
+ {
1119
+ "id": "sensitive_application_data_stored_unencrypted",
1120
+ "children": [
1121
+ {
1122
+ "id": "on_external_storage",
1123
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
1124
+ },
1125
+ {
1126
+ "id": "on_internal_storage",
1127
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1128
+ }
1129
+ ]
1130
+ },
1131
+ {
1132
+ "id": "server_side_credentials_storage",
1133
+ "children": [
1134
+ {
1135
+ "id": "plaintext",
1136
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N"
1137
+ }
1138
+ ]
1139
+ }
1140
+ ]
1141
+ },
1142
+ {
1143
+ "id": "insecure_data_transport",
1144
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1145
+ "children": [
1146
+ {
1147
+ "id": "cleartext_transmission_of_sensitive_data",
1148
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1149
+ },
1150
+ {
1151
+ "id": "executable_download",
1152
+ "children": [
1153
+ {
1154
+ "id": "no_secure_integrity_check",
1155
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1156
+ },
1157
+ {
1158
+ "id": "secure_integrity_check",
1159
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1160
+ }
1161
+ ]
1162
+ }
1163
+ ]
1164
+ },
1165
+ {
1166
+ "id": "insecure_os_firmware",
1167
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1168
+ "children": [
1169
+ {
1170
+ "id": "command_injection",
1171
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
1172
+ },
1173
+ {
1174
+ "id": "data_not_encrypted_at_rest",
1175
+ "children": [
1176
+ {
1177
+ "id": "non_sensitive",
1178
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1179
+ },
1180
+ {
1181
+ "id": "sensitive",
1182
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1183
+ }
1184
+ ]
1185
+ },
1186
+ {
1187
+ "id": "failure_to_remove_sensitive_artifacts_from_disk",
1188
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1189
+ },
1190
+ {
1191
+ "id": "hardcoded_password",
1192
+ "children": [
1193
+ {
1194
+ "id": "non_privileged_user",
1195
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1196
+ },
1197
+ {
1198
+ "id": "privileged_user",
1199
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
1200
+ }
1201
+ ]
1202
+ },
1203
+ {
1204
+ "id": "kiosk_escape_or_breakout",
1205
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1206
+ },
1207
+ {
1208
+ "id": "local_administrator_on_default_environment",
1209
+ "cvss_v4": "CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
1210
+ },
1211
+ {
1212
+ "id": "over_permissioned_credentials_on_storage",
1213
+ "cvss_v4": "CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
1214
+ },
1215
+ {
1216
+ "id": "poorly_configured_disk_encryption",
1217
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1218
+ },
1219
+ {
1220
+ "id": "poorly_configured_operating_system_security",
1221
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1222
+ },
1223
+ {
1224
+ "id": "recovery_of_disk_contains_sensitive_material",
1225
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1226
+ },
1227
+ {
1228
+ "id": "shared_credentials_on_storage",
1229
+ "cvss_v4": "CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N"
1230
+ },
1231
+ {
1232
+ "id": "weakness_in_firmware_updates",
1233
+ "children": [
1234
+ {
1235
+ "id": "firmware_cannot_be_updated",
1236
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1237
+ },
1238
+ {
1239
+ "id": "firmware_does_not_validate_update_integrity",
1240
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L"
1241
+ },
1242
+ {
1243
+ "id": "firmware_is_not_encrypted",
1244
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
1245
+ }
1246
+ ]
1247
+ }
1248
+ ]
1249
+ },
1250
+ {
1251
+ "id": "insufficient_security_configurability",
1252
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1253
+ "children": [
1254
+ {
1255
+ "id": "lack_of_notification_email",
1256
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1257
+ },
1258
+ {
1259
+ "id": "no_password_policy",
1260
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1261
+ },
1262
+ {
1263
+ "id": "password_policy_bypass",
1264
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1265
+ },
1266
+ {
1267
+ "id": "verification_of_contact_method_not_required",
1268
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1269
+ },
1270
+ {
1271
+ "id": "weak_password_policy",
1272
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1273
+ },
1274
+ {
1275
+ "id": "weak_password_reset_implementation",
1276
+ "children": [
1277
+ {
1278
+ "id": "token_has_long_timed_expiry",
1279
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1280
+ },
1281
+ {
1282
+ "id": "token_is_not_invalidated_after_email_change",
1283
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1284
+ },
1285
+ {
1286
+ "id": "token_is_not_invalidated_after_login",
1287
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1288
+ },
1289
+ {
1290
+ "id": "token_is_not_invalidated_after_new_token_is_requested",
1291
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1292
+ },
1293
+ {
1294
+ "id": "token_is_not_invalidated_after_password_change",
1295
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1296
+ },
1297
+ {
1298
+ "id": "token_is_not_invalidated_after_use",
1299
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1300
+ }
1301
+ ]
1302
+ },
1303
+ {
1304
+ "id": "weak_registration_implementation",
1305
+ "children": [
1306
+ {
1307
+ "id": "allows_disposable_email_addresses",
1308
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1309
+ }
1310
+ ]
1311
+ },
1312
+ {
1313
+ "id": "weak_two_fa_implementation",
1314
+ "children": [
1315
+ {
1316
+ "id": "missing_failsafe",
1317
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1318
+ },
1319
+ {
1320
+ "id": "old_two_fa_code_is_not_invalidated_after_new_code_is_generated",
1321
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1322
+ },
1323
+ {
1324
+ "id": "two_fa_code_is_not_updated_after_new_code_is_requested",
1325
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1326
+ },
1327
+ {
1328
+ "id": "two_fa_secret_cannot_be_rotated",
1329
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1330
+ },
1331
+ {
1332
+ "id": "two_fa_secret_remains_obtainable_after_two_fa_is_enabled",
1333
+ "cvss_v4": "CVSS:4.0/AV:P/AC:H/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1334
+ }
1335
+ ]
1336
+ },
1337
+ {
1338
+ "id": "no_two_fa_implementation",
1339
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1340
+ },
1341
+ {
1342
+ "id": "no_account_lockout",
1343
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1344
+ },
1345
+ {
1346
+ "id": "weak_jwt_hashing_algorithm",
1347
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1348
+ }
1349
+ ]
1350
+ },
1351
+ {
1352
+ "id": "lack_of_binary_hardening",
1353
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1354
+ "children": [
1355
+ {
1356
+ "id": "lack_of_exploit_mitigations",
1357
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1358
+ },
1359
+ {
1360
+ "id": "lack_of_jailbreak_detection",
1361
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1362
+ },
1363
+ {
1364
+ "id": "lack_of_obfuscation",
1365
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1366
+ },
1367
+ {
1368
+ "id": "runtime_instrumentation_based",
1369
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1370
+ }
1371
+ ]
1372
+ },
1373
+ {
1374
+ "id": "misinterpretation_biases",
1375
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1376
+ "children": [
1377
+ {
1378
+ "id": "context_ignorance",
1379
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1380
+ }
1381
+ ]
1382
+ },
1383
+ {
1384
+ "id": "mobile_security_misconfiguration",
1385
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1386
+ "children": [
1387
+ {
1388
+ "id": "auto_backup_allowed_by_default",
1389
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
1390
+ },
1391
+ {
1392
+ "id": "clipboard_enabled",
1393
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1394
+ },
1395
+ {
1396
+ "id": "ssl_certificate_pinning",
1397
+ "children": [
1398
+ {
1399
+ "id": "absent",
1400
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1401
+ },
1402
+ {
1403
+ "id": "defeatable",
1404
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1405
+ }
1406
+ ]
1407
+ },
1408
+ {
1409
+ "id": "tapjacking",
1410
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1411
+ }
1412
+ ]
1413
+ },
1414
+ {
1415
+ "id": "network_security_misconfiguration",
1416
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1417
+ "children": [
1418
+ {
1419
+ "id": "telnet_enabled",
1420
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1421
+ }
1422
+ ]
1423
+ },
1424
+ {
1425
+ "id": "physical_security_issues",
1426
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1427
+ "children": [
1428
+ {
1429
+ "id": "bypass_of_physical_access_control",
1430
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1431
+ },
1432
+ {
1433
+ "id": "weakness_in_physical_access_control",
1434
+ "children": [
1435
+ {
1436
+ "id": "cloneable_key",
1437
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1438
+ },
1439
+ {
1440
+ "id": "commonly_keyed_system",
1441
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1442
+ },
1443
+ {
1444
+ "id": "master_key_identification",
1445
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1446
+ }
1447
+ ]
1448
+ }
1449
+ ]
1450
+ },
1451
+ {
1452
+ "id": "privacy_concerns",
1453
+ "children": [
1454
+ {
1455
+ "id": "unnecessary_data_collection",
1456
+ "children": [
1457
+ {
1458
+ "id": "wifi_ssid_password",
1459
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1460
+ }
1461
+ ]
1462
+ }
1463
+ ]
1464
+ },
1465
+ {
1466
+ "id": "protocol_specific_misconfiguration",
1467
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1468
+ "children": [
1469
+ {
1470
+ "id": "frontrunning_enabled_attack",
1471
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N"
1472
+ },
1473
+ {
1474
+ "id": "improper_validation_and_finalization_logic",
1475
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1476
+ },
1477
+ {
1478
+ "id": "misconfigured_staking_logic",
1479
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1480
+ },
1481
+ {
1482
+ "id": "sandwich_enabled_attack",
1483
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N"
1484
+ }
1485
+ ]
1486
+ },
1487
+ {
1488
+ "id": "sensitive_data_exposure",
1489
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1490
+ "children": [
1491
+ {
1492
+ "id": "disclosure_of_known_public_information",
1493
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1494
+ },
1495
+ {
1496
+ "id": "disclosure_of_secrets",
1497
+ "children": [
1498
+ {
1499
+ "id": "data_traffic_spam",
1500
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1501
+ },
1502
+ {
1503
+ "id": "for_internal_asset",
1504
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
1505
+ },
1506
+ {
1507
+ "id": "for_publicly_accessible_asset",
1508
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
1509
+ },
1510
+ {
1511
+ "id": "intentionally_public_sample_or_invalid",
1512
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1513
+ },
1514
+ {
1515
+ "id": "non_corporate_user",
1516
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1517
+ },
1518
+ {
1519
+ "id": "pay_per_use_abuse",
1520
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
1521
+ },
1522
+ {
1523
+ "id": "pii_leakage_exposure",
1524
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1525
+ },
1526
+ {
1527
+ "id": "sensitive_information_disclosed_jwt",
1528
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1529
+ },
1530
+ {
1531
+ "id": "publicly_accessible_robots",
1532
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1533
+ }
1534
+ ]
1535
+ },
1536
+ {
1537
+ "id": "exif_geolocation_data_not_stripped_from_uploaded_images",
1538
+ "children": [
1539
+ {
1540
+ "id": "automatic_user_enumeration",
1541
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1542
+ },
1543
+ {
1544
+ "id": "manual_user_enumeration",
1545
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1546
+ }
1547
+ ]
1548
+ },
1549
+ {
1550
+ "id": "graphql_introspection_enabled",
1551
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1552
+ },
1553
+ {
1554
+ "id": "internal_ip_disclosure",
1555
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1556
+ },
1557
+ {
1558
+ "id": "json_hijacking",
1559
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1560
+ },
1561
+ {
1562
+ "id": "mixed_content",
1563
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1564
+ },
1565
+ {
1566
+ "id": "non_sensitive_token_in_url",
1567
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1568
+ },
1569
+ {
1570
+ "id": "sensitive_data_hardcoded",
1571
+ "children": [
1572
+ {
1573
+ "id": "file_paths",
1574
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1575
+ },
1576
+ {
1577
+ "id": "oauth_secret",
1578
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1579
+ }
1580
+ ]
1581
+ },
1582
+ {
1583
+ "id": "sensitive_token_in_url",
1584
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N",
1585
+ "children": [
1586
+ {
1587
+ "id": "in_the_background",
1588
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1589
+ },
1590
+ {
1591
+ "id": "on_password_reset",
1592
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1593
+ },
1594
+ {
1595
+ "id": "user_facing",
1596
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1597
+ }
1598
+ ]
1599
+ },
1600
+ {
1601
+ "id": "token_leakage_via_referer",
1602
+ "children": [
1603
+ {
1604
+ "id": "over_http",
1605
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
1606
+ },
1607
+ {
1608
+ "id": "password_reset_token",
1609
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1610
+ },
1611
+ {
1612
+ "id": "trusted_third_party",
1613
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1614
+ },
1615
+ {
1616
+ "id": "untrusted_third_party",
1617
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N"
1618
+ }
1619
+ ]
1620
+ },
1621
+ {
1622
+ "id": "via_localstorage_sessionstorage",
1623
+ "children": [
1624
+ {
1625
+ "id": "non_sensitive_token",
1626
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1627
+ },
1628
+ {
1629
+ "id": "sensitive_token",
1630
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1631
+ }
1632
+ ]
1633
+ },
1634
+ {
1635
+ "id": "visible_detailed_error_page",
1636
+ "children": [
1637
+ {
1638
+ "id": "descriptive_stack_trace",
1639
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1640
+ },
1641
+ {
1642
+ "id": "detailed_server_configuration",
1643
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1644
+ },
1645
+ {
1646
+ "id": "full_path_disclosure",
1647
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1648
+ }
1649
+ ]
1650
+ },
1651
+ {
1652
+ "id": "weak_password_reset_implementation",
1653
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N",
1654
+ "children": [
1655
+ {
1656
+ "id": "password_reset_token_sent_over_http",
1657
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
1658
+ },
1659
+ {
1660
+ "id": "token_leakage_via_host_header_poisoning",
1661
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
1662
+ }
1663
+ ]
1664
+ },
1665
+ {
1666
+ "id": "xssi",
1667
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1668
+ }
1669
+ ]
1670
+ },
1671
+ {
1672
+ "id": "server_security_misconfiguration",
1673
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1674
+ "children": [
1675
+ {
1676
+ "id": "bitsquatting",
1677
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1678
+ },
1679
+ {
1680
+ "id": "cache_deception",
1681
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1682
+ },
1683
+ {
1684
+ "id": "cache_poisoning",
1685
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1686
+ },
1687
+ {
1688
+ "id": "captcha",
1689
+ "children": [
1690
+ {
1691
+ "id": "brute_force",
1692
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1693
+ },
1694
+ {
1695
+ "id": "implementation_vulnerability",
1696
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
1697
+ },
1698
+ {
1699
+ "id": "missing",
1700
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1701
+ }
1702
+ ]
1703
+ },
1704
+ {
1705
+ "id": "clickjacking",
1706
+ "children": [
1707
+ {
1708
+ "id": "form_input",
1709
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1710
+ },
1711
+ {
1712
+ "id": "non_sensitive_action",
1713
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1714
+ },
1715
+ {
1716
+ "id": "sensitive_action",
1717
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1718
+ }
1719
+ ]
1720
+ },
1721
+ {
1722
+ "id": "cookie_scoped_to_parent_domain",
1723
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1724
+ },
1725
+ {
1726
+ "id": "dbms_misconfiguration",
1727
+ "children": [
1728
+ {
1729
+ "id": "excessively_privileged_user_dba",
1730
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1731
+ }
1732
+ ]
1733
+ },
1734
+ {
1735
+ "id": "directory_listing_enabled",
1736
+ "children": [
1737
+ {
1738
+ "id": "non_sensitive_data_exposure",
1739
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1740
+ },
1741
+ {
1742
+ "id": "sensitive_data_exposure",
1743
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1744
+ }
1745
+ ]
1746
+ },
1747
+ {
1748
+ "id": "email_verification_bypass",
1749
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1750
+ },
1751
+ {
1752
+ "id": "exposed_portal",
1753
+ "children": [
1754
+ {
1755
+ "id": "admin_portal",
1756
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
1757
+ },
1758
+ {
1759
+ "id": "non_admin_portal",
1760
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1761
+ },
1762
+ {
1763
+ "id": "protected",
1764
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1765
+ }
1766
+ ]
1767
+ },
1768
+ {
1769
+ "id": "fingerprinting_banner_disclosure",
1770
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1771
+ "children": [
1772
+ {
1773
+ "id": "software_version_in_response_headers",
1774
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1775
+ }
1776
+ ]
1777
+ },
1778
+ {
1779
+ "id": "insecure_ssl",
1780
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1781
+ "children": [
1782
+ {
1783
+ "id": "certificate_error",
1784
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1785
+ },
1786
+ {
1787
+ "id": "insecure_cipher_suite",
1788
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1789
+ },
1790
+ {
1791
+ "id": "lack_of_forward_secrecy",
1792
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1793
+ }
1794
+ ]
1795
+ },
1796
+ {
1797
+ "id": "lack_of_password_confirmation",
1798
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N",
1799
+ "children": [
1800
+ {
1801
+ "id": "change_email_address",
1802
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
1803
+ },
1804
+ {
1805
+ "id": "change_password",
1806
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
1807
+ },
1808
+ {
1809
+ "id": "delete_account",
1810
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
1811
+ },
1812
+ {
1813
+ "id": "manage_two_fa",
1814
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
1815
+ }
1816
+ ]
1817
+ },
1818
+ {
1819
+ "id": "lack_of_security_headers",
1820
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
1821
+ "children": [
1822
+ {
1823
+ "id": "cache_control_for_a_non_sensitive_page",
1824
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1825
+ },
1826
+ {
1827
+ "id": "cache_control_for_a_sensitive_page",
1828
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1829
+ },
1830
+ {
1831
+ "id": "content_security_policy",
1832
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1833
+ },
1834
+ {
1835
+ "id": "content_security_policy_report_only",
1836
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1837
+ },
1838
+ {
1839
+ "id": "public_key_pins",
1840
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1841
+ },
1842
+ {
1843
+ "id": "strict_transport_security",
1844
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1845
+ },
1846
+ {
1847
+ "id": "x_content_security_policy",
1848
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1849
+ },
1850
+ {
1851
+ "id": "x_content_type_options",
1852
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1853
+ },
1854
+ {
1855
+ "id": "x_frame_options",
1856
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1857
+ },
1858
+ {
1859
+ "id": "x_webkit_csp",
1860
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1861
+ },
1862
+ {
1863
+ "id": "x_xss_protection",
1864
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1865
+ }
1866
+ ]
1867
+ },
1868
+ {
1869
+ "id": "mail_server_misconfiguration",
1870
+ "children": [
1871
+ {
1872
+ "id": "email_spoofing_on_non_email_domain",
1873
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1874
+ },
1875
+ {
1876
+ "id": "email_spoofing_to_inbox_due_to_missing_or_misconfigured_dmarc_on_email_domain",
1877
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1878
+ },
1879
+ {
1880
+ "id": "email_spoofing_to_spam_folder",
1881
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1882
+ },
1883
+ {
1884
+ "id": "missing_or_misconfigured_spf_and_or_dkim",
1885
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1886
+ },
1887
+ {
1888
+ "id": "no_spoofing_protection_on_email_domain",
1889
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1890
+ }
1891
+ ]
1892
+ },
1893
+ {
1894
+ "id": "misconfigured_dns",
1895
+ "children": [
1896
+ {
1897
+ "id": "missing_caa_record",
1898
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1899
+ },
1900
+ {
1901
+ "id": "subdomain_takeover",
1902
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1903
+ },
1904
+ {
1905
+ "id": "zone_transfer",
1906
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1907
+ }
1908
+ ]
1909
+ },
1910
+ {
1911
+ "id": "missing_dnssec",
1912
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1913
+ },
1914
+ {
1915
+ "id": "missing_secure_or_httponly_cookie_flag",
1916
+ "children": [
1917
+ {
1918
+ "id": "non_session_cookie",
1919
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1920
+ },
1921
+ {
1922
+ "id": "session_token",
1923
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1924
+ }
1925
+ ]
1926
+ },
1927
+ {
1928
+ "id": "missing_subresource_integrity",
1929
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1930
+ },
1931
+ {
1932
+ "id": "no_rate_limiting_on_form",
1933
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N",
1934
+ "children": [
1935
+ {
1936
+ "id": "change_password",
1937
+ "cvss_v4": "CVSS:4.0/AV:P/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
1938
+ },
1939
+ {
1940
+ "id": "email_triggering",
1941
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1942
+ },
1943
+ {
1944
+ "id": "login",
1945
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
1946
+ },
1947
+ {
1948
+ "id": "registration",
1949
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1950
+ },
1951
+ {
1952
+ "id": "sms_triggering",
1953
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
1954
+ }
1955
+ ]
1956
+ },
1957
+ {
1958
+ "id": "oauth_misconfiguration",
1959
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N",
1960
+ "children": [
1961
+ {
1962
+ "id": "account_squatting",
1963
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
1964
+ },
1965
+ {
1966
+ "id": "account_takeover",
1967
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
1968
+ },
1969
+ {
1970
+ "id": "insecure_redirect_uri",
1971
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1972
+ },
1973
+ {
1974
+ "id": "missing_state_parameter",
1975
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1976
+ }
1977
+ ]
1978
+ },
1979
+ {
1980
+ "id": "path_traversal",
1981
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1982
+ },
1983
+ {
1984
+ "id": "potentially_unsafe_http_method_enabled",
1985
+ "children": [
1986
+ {
1987
+ "id": "options",
1988
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1989
+ },
1990
+ {
1991
+ "id": "trace",
1992
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1993
+ }
1994
+ ]
1995
+ },
1996
+ {
1997
+ "id": "race_condition",
1998
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
1999
+ },
2000
+ {
2001
+ "id": "request_smuggling",
2002
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2003
+ },
2004
+ {
2005
+ "id": "rfd",
2006
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2007
+ },
2008
+ {
2009
+ "id": "same_site_scripting",
2010
+ "cvss_v4": "CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
2011
+ },
2012
+ {
2013
+ "id": "server_side_request_forgery_ssrf",
2014
+ "children": [
2015
+ {
2016
+ "id": "external_dns_query_only",
2017
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
2018
+ },
2019
+ {
2020
+ "id": "external_low_impact",
2021
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
2022
+ },
2023
+ {
2024
+ "id": "internal_secrets_exposure",
2025
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:L/SA:N"
2026
+ },
2027
+ {
2028
+ "id": "internal_data_exposure",
2029
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N"
2030
+ },
2031
+ {
2032
+ "id": "internal_port_service_scan",
2033
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N"
2034
+ },
2035
+ {
2036
+ "id": "internal_exposure_presence_data_secrets",
2037
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:N"
2038
+ },
2039
+ {
2040
+ "id": "internal_port_scan_only",
2041
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:N"
2042
+ }
2043
+ ]
2044
+ },
2045
+ {
2046
+ "id": "software_package_takeover",
2047
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2048
+ },
2049
+ {
2050
+ "id": "ssl_attack_breach_poodle_etc",
2051
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2052
+ },
2053
+ {
2054
+ "id": "unsafe_cross_origin_resource_sharing",
2055
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2056
+ },
2057
+ {
2058
+ "id": "unsafe_file_upload",
2059
+ "children": [
2060
+ {
2061
+ "id": "file_extension_filter_bypass",
2062
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2063
+ },
2064
+ {
2065
+ "id": "no_antivirus",
2066
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2067
+ },
2068
+ {
2069
+ "id": "no_size_limit",
2070
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
2071
+ }
2072
+ ]
2073
+ },
2074
+ {
2075
+ "id": "username_enumeration",
2076
+ "children": [
2077
+ {
2078
+ "id": "brute_force",
2079
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2080
+ }
2081
+ ]
2082
+ },
2083
+ {
2084
+ "id": "using_default_credentials",
2085
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N"
2086
+ },
2087
+ {
2088
+ "id": "waf_bypass",
2089
+ "children": [
2090
+ {
2091
+ "id": "direct_server_access",
2092
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N"
2093
+ }
2094
+ ]
2095
+ },
2096
+ {
2097
+ "id": "misconfigured_file_share",
2098
+ "children": [
2099
+ {
2100
+ "id": "anonymous_ftp_enabled",
2101
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
2102
+ },
2103
+ {
2104
+ "id": "anonymous_smb_enabled",
2105
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
2106
+ },
2107
+ {
2108
+ "id": "non_sensitive_data_exposure_ftp_smb",
2109
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2110
+ }
2111
+ ]
2112
+ },
2113
+ {
2114
+ "id": "misconfigured_security_headers",
2115
+ "children": [
2116
+ {
2117
+ "id": "insecure_csp",
2118
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2119
+ }
2120
+ ]
2121
+ }
2122
+ ]
2123
+ },
2124
+ {
2125
+ "id": "server_side_injection",
2126
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2127
+ "children": [
2128
+ {
2129
+ "id": "content_spoofing",
2130
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2131
+ "children": [
2132
+ {
2133
+ "id": "email_html_injection",
2134
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2135
+ },
2136
+ {
2137
+ "id": "email_hyperlink_injection_based_on_email_provider",
2138
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2139
+ },
2140
+ {
2141
+ "id": "external_authentication_injection",
2142
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2143
+ },
2144
+ {
2145
+ "id": "flash_based_external_authentication_injection",
2146
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2147
+ },
2148
+ {
2149
+ "id": "homograph_idn_based",
2150
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2151
+ },
2152
+ {
2153
+ "id": "html_content_injection",
2154
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2155
+ },
2156
+ {
2157
+ "id": "iframe_injection",
2158
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
2159
+ },
2160
+ {
2161
+ "id": "impersonation_via_broken_link_hijacking",
2162
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2163
+ },
2164
+ {
2165
+ "id": "rtlo",
2166
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2167
+ },
2168
+ {
2169
+ "id": "text_injection",
2170
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2171
+ },
2172
+ {
2173
+ "id": "self_email_html_injection",
2174
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2175
+ }
2176
+ ]
2177
+ },
2178
+ {
2179
+ "id": "exposed_data",
2180
+ "children": [
2181
+ {
2182
+ "id": "non_sensitive_data",
2183
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2184
+ },
2185
+ {
2186
+ "id": "sensitive_data",
2187
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2188
+ }
2189
+ ]
2190
+ },
2191
+ {
2192
+ "id": "file_inclusion",
2193
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N",
2194
+ "children": [
2195
+ {
2196
+ "id": "local",
2197
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N"
2198
+ }
2199
+ ]
2200
+ },
2201
+ {
2202
+ "id": "http_response_manipulation",
2203
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N",
2204
+ "children": [
2205
+ {
2206
+ "id": "response_splitting_crlf",
2207
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N"
2208
+ }
2209
+ ]
2210
+ },
2211
+ {
2212
+ "id": "ldap_injection",
2213
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2214
+ },
2215
+ {
2216
+ "id": "parameter_pollution",
2217
+ "children": [
2218
+ {
2219
+ "id": "social_media_sharing_buttons",
2220
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2221
+ }
2222
+ ]
2223
+ },
2224
+ {
2225
+ "id": "remote_code_execution_rce",
2226
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
2227
+ },
2228
+ {
2229
+ "id": "sql_injection",
2230
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N"
2231
+ },
2232
+ {
2233
+ "id": "ssti",
2234
+ "children": [
2235
+ {
2236
+ "id": "basic",
2237
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N"
2238
+ },
2239
+ {
2240
+ "id": "custom",
2241
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2242
+ }
2243
+ ]
2244
+ },
2245
+ {
2246
+ "id": "xml_external_entity_injection_xxe",
2247
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N"
2248
+ }
2249
+ ]
2250
+ },
2251
+ {
2252
+ "id": "smart_contract_misconfiguration",
2253
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2254
+ "children": [
2255
+ {
2256
+ "id": "bypass_of_function_modifiers_and_checks",
2257
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2258
+ },
2259
+ {
2260
+ "id": "function_level_denial_of_service",
2261
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N"
2262
+ },
2263
+ {
2264
+ "id": "improper_decimals_implementation",
2265
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2266
+ },
2267
+ {
2268
+ "id": "improper_fee_implementation",
2269
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
2270
+ },
2271
+ {
2272
+ "id": "improper_use_of_modifier",
2273
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2274
+ },
2275
+ {
2276
+ "id": "inaccurate_rounding_calculation",
2277
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2278
+ },
2279
+ {
2280
+ "id": "integer_overflow_underflow",
2281
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N"
2282
+ },
2283
+ {
2284
+ "id": "irreversible_function_call",
2285
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N"
2286
+ },
2287
+ {
2288
+ "id": "malicious_superuser_risk",
2289
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
2290
+ },
2291
+ {
2292
+ "id": "reentrancy_attack",
2293
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
2294
+ },
2295
+ {
2296
+ "id": "smart_contract_owner_takeover",
2297
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N"
2298
+ },
2299
+ {
2300
+ "id": "unauthorized_smart_contract_approval",
2301
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N"
2302
+ },
2303
+ {
2304
+ "id": "unauthorized_transfer_of_funds",
2305
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
2306
+ },
2307
+ {
2308
+ "id": "uninitialized_variables",
2309
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N"
2310
+ }
2311
+ ]
2312
+ },
2313
+ {
2314
+ "id": "societal_biases",
2315
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2316
+ "children": [
2317
+ {
2318
+ "id": "confirmation_bias",
2319
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2320
+ },
2321
+ {
2322
+ "id": "systemic_bias",
2323
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2324
+ }
2325
+ ]
2326
+ },
2327
+ {
2328
+ "id": "unvalidated_redirects_and_forwards",
2329
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2330
+ "children": [
2331
+ {
2332
+ "id": "lack_of_security_speed_bump_page",
2333
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2334
+ },
2335
+ {
2336
+ "id": "open_redirect",
2337
+ "children": [
2338
+ {
2339
+ "id": "flash_based",
2340
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2341
+ },
2342
+ {
2343
+ "id": "get_based",
2344
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N"
2345
+ },
2346
+ {
2347
+ "id": "header_based",
2348
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2349
+ },
2350
+ {
2351
+ "id": "post_based",
2352
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2353
+ }
2354
+ ]
2355
+ },
2356
+ {
2357
+ "id": "tabnabbing",
2358
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2359
+ }
2360
+ ]
2361
+ },
2362
+ {
2363
+ "id": "using_components_with_known_vulnerabilities",
2364
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2365
+ "children": [
2366
+ {
2367
+ "id": "captcha_bypass",
2368
+ "children": [
2369
+ {
2370
+ "id": "ocr_optical_character_recognition",
2371
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2372
+ }
2373
+ ]
2374
+ },
2375
+ {
2376
+ "id": "outdated_software_version",
2377
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2378
+ },
2379
+ {
2380
+ "id": "rosetta_flash",
2381
+ "cvss_v4": "CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2382
+ },
2383
+ {
2384
+ "id": "unpatched_javascript_libraries",
2385
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2386
+ }
2387
+ ]
2388
+ },
2389
+ {
2390
+ "id": "zero_knowledge_security_misconfiguration",
2391
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N",
2392
+ "children": [
2393
+ {
2394
+ "id": "deanonymization_of_data",
2395
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N"
2396
+ },
2397
+ {
2398
+ "id": "improper_proof_validation_and_finalization_logic",
2399
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N"
2400
+ },
2401
+ {
2402
+ "id": "misconfigured_trusted_setup",
2403
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2404
+ },
2405
+ {
2406
+ "id": "mismatching_bit_lengths",
2407
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2408
+ },
2409
+ {
2410
+ "id": "missing_constraint",
2411
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2412
+ },
2413
+ {
2414
+ "id": "missing_range_check",
2415
+ "cvss_v4": "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N"
2416
+ }
2417
+ ]
2418
+ },
2419
+ {
2420
+ "id": "active_directory",
2421
+ "children": [
2422
+ {
2423
+ "id": "sscm_abuse",
2424
+ "children": [
2425
+ {
2426
+ "id": "pxe_boot_media_theft",
2427
+ "cvss_v4": "CVSS:4.0/AV:A/AC:H/AT:P/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N"
2428
+ },
2429
+ {
2430
+ "id": "distribution_point_anonymous_access",
2431
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N"
2432
+ },
2433
+ {
2434
+ "id": "automatic_device_approval",
2435
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:H/SA:N"
2436
+ },
2437
+ {
2438
+ "id": "ntlm_management_point_site_database",
2439
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N"
2440
+ },
2441
+ {
2442
+ "id": "ntlm_site_server_site_systems",
2443
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N"
2444
+ },
2445
+ {
2446
+ "id": "ntlm_automatic_push_installation",
2447
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H"
2448
+ },
2449
+ {
2450
+ "id": "privileged_credentials_exposed",
2451
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N"
2452
+ }
2453
+ ]
2454
+ },
2455
+ {
2456
+ "id": "kerberos_abuse",
2457
+ "children": [
2458
+ {
2459
+ "id": "domain_compromise_unconstrained_delegated",
2460
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H"
2461
+ },
2462
+ {
2463
+ "id": "insecure_service_account_management",
2464
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N"
2465
+ },
2466
+ {
2467
+ "id": "no_pre_authentication",
2468
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N"
2469
+ }
2470
+ ]
2471
+ },
2472
+ {
2473
+ "id": "misconfigured_active_directory_certificate_services",
2474
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N"
2475
+ },
2476
+ {
2477
+ "id": "configuration_weaknesses",
2478
+ "children": [
2479
+ {
2480
+ "id": "passwords_found_domain_description",
2481
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N"
2482
+ },
2483
+ {
2484
+ "id": "weak_domain_password_policy",
2485
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N"
2486
+ },
2487
+ {
2488
+ "id": "shared_administrator_passwords",
2489
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:H"
2490
+ },
2491
+ {
2492
+ "id": "excessive_domain_admin_membership",
2493
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N"
2494
+ },
2495
+ {
2496
+ "id": "dormant_enabled_user_accounts",
2497
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:P/PR:L/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N"
2498
+ }
2499
+ ]
2500
+ },
2501
+ {
2502
+ "id": "sensitive_data_exposure",
2503
+ "children": [
2504
+ {
2505
+ "id": "ldap_anonymous_bind_enabled",
2506
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N"
2507
+ },
2508
+ {
2509
+ "id": "sensitive_data_in_open_file_shares",
2510
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N"
2511
+ }
2512
+ ]
2513
+ },
2514
+ {
2515
+ "id": "dacl_abuse",
2516
+ "cvss_v4": "CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N"
2517
+ }
2518
+ ]
2519
+ }
2520
+ ]
2521
+ }