CWE

普遍的弱点

社区开发的软件和硬件弱点类型清单
2021 CWE最重要的硬件弱点
CWE前25个最危险的弱点
>CWE列表>报告>版本2.3和2.4版之间的差异
ID

版本2.3和2.4版之间的差异

Summary
Summary
总计(版本2.4) 920
总计(版本2.3) 909
全新 11
总弃用 0
共享 909
完全重要的变化 49
总重大变化 96
总小变化 1
总小变化(no major)
到tal unchanged 813

Summary of Entry Types

Type 版本2.3 版本2.4
Category 177 176
3 3
合成的 6 6
弃用 12 12
看法 29 29
弱点 682 694

回到顶部
现场更改摘要
现场更改摘要

关于白道的任何变化都将被忽略。“次要”更改是文本变化,仅影响资本化和标点符号。大多数其他更改都标记为“主要”。简单的模式更改被视为次要的,例如从AffectedResource到Affected_resource的更改,或者之间的关系名称从“ Isrequiredby”更改为1.0版中的“必需”。对于节点A和B之间的每个相互关系(例如Parentof和Childof),A和B。

场地 主要的 Minor
姓名 11 0
description 15 1
papperable_platforms 19 0
time_of_introduction 2 0
示范_examples 13 0
detection_Factors 0 0
likelihood_of_exploit 0 0
Common_Consequences 5 0
关系 44 0
references 17 0
Potential_Mitigations 36 0
obsoved_examples 16 0
Terminology_Notes 0 0
替代_terms 11 0
RELSSSION_ATTACK_PATTERNS 0 0
关系_notes 3 0
Taxonomy_Mappings 1 0
Maintenance_Notes 5 0
模式_OF_INTRODUCTION 0 0
affected_resources 0 0
Functional_Areas 0 0
Research_gaps 0 0
background_details 2 0
Theoretical_Notes 2 0
弱点 1 0
white_box_definitions 0 0
enabling_factors_for_exploitation 0 0
其他_notes 5 0
相关_Properties 0 0
view_type 0 0
View_tructure 0 0
View_filter 0 0
View_Audience 0 0
common_methods_of_exploitation 0 0
Type 7 0
CAUSAL_NATURA 0 0
source_taxonomy 0 0
context_notes 0 0
black_box_definitions 0 0

形式和抽象变化

From 到tal
不变 902
Category 弱点/Base 1
弱点/Base 弱点/班级 1
弱点/Base 弱/变体 3
弱点/班级 弱点/Base 2

Status Changes

From 到tal
不变 909

关系变化

“总计2.4版”列出了版本2.4中的关系总数。“共享”值是版本2.4和2.3版的条目中的关系总数。“新”值是2.3版中不存在的条目的关系总数。因此,版本2.4中的关系总数将结合共享条目和新条目的统计数据。

关系 2.4版 2.3版总计 2.4版共享 不变 Added to Version 2.4 removed from Version 2.3 版本2.4new
全部 7419 7357 7341 7297 44 60 78
Childof 3141 3113 3106 3090 16 23 35
父母 3141 3113 3106 3090 16 23 35
MemberOf 334 334 334 334
hasmember 334 334 334 334
CanPrecede 120 113 117 113 4 3
可以按照 120 113 117 113 4 3
以。。开始 3 3 3 3
requires 19 19 19 19
requiredBy 19 19 19 19
也可以是 34 34 34 34
peerof 154 162 152 148 4 14 2

从版本2.3中删除的节点

CWE-ID CWE名称
none.

节点添加到版本2.4

CWE-ID CWE名称
908 使用非直接资源
909 缺少资源初始化
910 使用过期的文件描述符
911 参考数量不正确的更新
912 Hidden Functionality
913 不当控制动态管理的代码资源
914 不当控制动态识别变量
915 动态确定的对象属性的不当控制的修改不当
916 使用密码哈希的计算工作不足
917 表达语言语句中使用的特殊元素的中和不当(“表达语言注射”)
918 服务器端请求伪造(SSRF)

版本2.4中删除的节点

CWE-ID CWE名称
none.
回到顶部
重要的变化
重要的变化

A node change is labeled "important" if it is a major field change and the field is critical to the meaning of the node. The critical fields are description, name, and relationships.

钥匙
d description
n 姓名
r 关系

r 20 输入验证不当
r 77 命令中使用的特殊元素的中和不当(“命令注射”)
r 94 不当控制代码(“代码注入”)
n 98 在PHP程序中对文件名的不当控制(“ PHP远程文件包含”)
r 99 不当控制资源标识符(“资源注入”)
d n r 295 证书验证不当
d n r 296 不当跟随证书的信任链
d n r 297 与主机不匹配的证书验证不当
r 298 证书到期的验证不当
d r 299 Improper Check for Certificate Revocation
r 322 没有实体身份验证的密钥交换
d 324 使用钥匙过期的日期
r 327 使用破裂或危险的加密算法
r 352 跨站点伪造(CSRF)
d n 403 Exposure of File Descriptor to Unintended Control Sphere ('File Descriptor Leak')
r 418 通道错误
d n r 441 意外代理或中介(“困惑的副手”)
r 442 网络问题
r 452 初始化和清理错误
n r 456 缺少变量的初始化
d r 457 使用非初始化变量
r 470 Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection')
r 471 修改假定的可免疫数据(女仆)
r 485 封装不足
r 502 不受信任数据的次要化
r 505 故意引入弱点
r 506 Embedded Malicious Code
d r 514 秘密频道
r 538 文件和目录信息曝光
d n r 599 缺少openSSL证书的验证
d n r 611 不当限制XML外部实体参考('xxe')
r 621 Variable Extraction Error
r 627 dynamic Variable Evaluation
r 664 Improper Control of a Resource Through its Lifetime
r 665 初始化不当
r 668 资源暴露于错误的领域
r 672 到期或发布后在资源上操作
r 673 球体定义的外部影响
r 674 Uncontrolled Recursion
r 693 保护机制故障
n 698 重定向后执行(EAR)
r 710 Coding Standards Violation
r 754 不适当检查异常或特殊情况
d r 759 使用无盐的单向哈希
d r 760 使用带有可预测盐的单向哈希
r 772 Missing Release of Resource after Effective Lifetime
d n r 776 Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion')
r 813 OWASP 2010年前十大类别A4-不安全的直接对象参考
d 863 Incorrect Authorization
回到顶部
详细的差异报告
详细的差异报告
11 ASP.NET Misconfiguration: Creating Debug Binary
主要的 Potential_Mitigations
Minor none
12 ASP.NET错误配置:缺少自定义错误页面
主要的 Potential_Mitigations
Minor none
13 ASP.NET错误配置:配置文件中的密码
主要的 Potential_Mitigations
Minor none
15 External Control of System or Configuration Setting
主要的 Potential_Mitigations
Minor none
20 输入验证不当
主要的 关系
Minor none
21 路径名遍历和等效性错误
主要的 Potential_Mitigations
Minor none
22 路径名的不当限制到限制目录(“路径遍历”)
主要的 obsoved_examples
Minor none
37 路径遍历:'/absolute/pathname/there'
主要的 Potential_Mitigations
Minor none
77 命令中使用的特殊元素的中和不当(“命令注射”)
主要的 关系
Minor none
81 错误消息网页中的脚本中和不正确
主要的 Potential_Mitigations
Minor none
84 网页中编码的URI方案的中和不当
主要的 Potential_Mitigations
Minor none
94 不当控制代码(“代码注入”)
主要的 关系
Minor none
95 动态评估的代码中指令的中和不当(“评估注射”)
主要的 obsoved_examples
Minor none
96 静态保存的代码中指令的中和不当(“静态代码注入”)
主要的 obsoved_examples
Minor none
98 在PHP程序中对文件名的不当控制(“ PHP远程文件包含”)
主要的 备用_terms,name,obsoved_examples
Minor none
99 不当控制资源标识符(“资源注入”)
主要的 备用_terms,维护_notes,其他_notes,关系
Minor none
106 支撑杆:未使用插件框架
主要的 Potential_Mitigations
Minor none
110 支柱:没有表单字段的验证器
主要的 Potential_Mitigations
Minor none
111 直接使用不安全的JNI
主要的 Potential_Mitigations
Minor none
112 缺少XML验证
主要的 Potential_Mitigations
Minor none
114 Process Control
主要的 Potential_Mitigations
Minor none
119 内存缓冲区范围内操作的不当限制
主要的 示范_examples
Minor none
122 基于堆的缓冲区溢出
主要的 expective_examples,势_MINEIGATIONS
Minor none
123 写入某种条件
主要的 Potential_Mitigations
Minor none
131 缓冲尺寸的计算不正确
主要的 示范_examples
Minor none
140 定界符中和不当
主要的 Potential_Mitigations
Minor none
171 Cleansing, Canonicalization, and Comparison Errors
主要的 Potential_Mitigations
Minor none
172 编码错误
主要的 Potential_Mitigations
Minor none
183 宽松的白名单
主要的 Potential_Mitigations
Minor none
184 Incomplete Blacklist
主要的 Potential_Mitigations
Minor none
200 Information Exposure
主要的 备用_terms,papperable_platforms,参考
Minor none
201 Information Exposure Through Sent Data
主要的 Potential_Mitigations
Minor none
202 通过数据查询暴露敏感数据
主要的 Potential_Mitigations
Minor none
258 配置文件中的空密码
主要的 Potential_Mitigations
Minor none
269 特权管理不当
主要的 Potential_Mitigations
Minor none
295 证书验证不当
主要的 papperable_platforms,common_constequences,描述,名称,观察_ examples,entigers_mitigations,参考,关系,time_of_introduction,type
Minor none
296 不当跟随证书的信任链
主要的 papperable_platforms,explyative_examples,说明,名称,obsoved_examples,其他_notes,参考,关系
Minor none
297 与主机不匹配的证书验证不当
主要的 papperable_platforms,explyative_examples,说明,名称,观察_examples,参考,关系,类型
Minor none
298 证书到期的验证不当
主要的 papperable_platforms,explyative_examples,关系,类型
Minor description
299 Improper Check for Certificate Revocation
主要的 papperable_platforms,explyative_examples,说明,观察_examples,其他_notes,关系,类型
Minor none
312 敏感信息的清晰文本存储
主要的 papperable_platforms,参考
Minor none
319 敏感信息的清晰文本传输
主要的 papperable_platforms,参考
Minor none
322 没有实体身份验证的密钥交换
主要的 关系
Minor none
324 使用钥匙过期的日期
主要的 papperable_platforms,explyative_examples,Description,其他_notes
Minor none
327 使用破裂或危险的加密算法
主要的 关系
Minor none
352 跨站点伪造(CSRF)
主要的 关系
Minor none
359 Privacy Violation
主要的 papperable_platforms,参考
Minor none
360 系统事件数据的信任
主要的 Potential_Mitigations
Minor none
370 初次检查后缺少检查证书吊销
主要的 papperable_platforms,expeptive_examples
Minor none
401 在删除最后一个参考之前(“内存泄漏”)之前,内存的释放不正确
主要的 obsoved_examples
Minor none
403 Exposure of File Descriptor to Unintended Control Sphere ('File Descriptor Leak')
主要的 备用_terms,描述,名称,obsoved_examples,参考
Minor none
418 通道错误
主要的 关系
Minor none
431 缺少处理程序
主要的 Potential_Mitigations
Minor none
441 意外代理或中介(“困惑的副手”)
主要的 备用_terms,plaperable_platforms,描述,维护_notes,name,observed_examples,参考,关系_notes,关系,theoricentic_notes,类型
Minor none
442 网络问题
主要的 关系
Minor none
452 初始化和清理错误
主要的 关系
Minor none
456 缺少变量的初始化
主要的 姓名, Relationships
Minor none
457 使用非初始化变量
主要的 papperable_platforms,描述,其他_notes,势_MITIGITIONS,关系
Minor none
470 Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection')
主要的 关系
Minor none
471 修改假定的可免疫数据(女仆)
主要的 关系
Minor none
485 封装不足
主要的 关系
Minor none
502 不受信任数据的次要化
主要的 备用_terms,plupperable_platforms,background_details,common_cessequences,contrenandadencended_notes,obseved_examples,势_MITIGIGATIONS,参考,关系,关系
Minor none
505 故意引入弱点
主要的 关系
Minor none
506 Embedded Malicious Code
主要的 关系
Minor none
511 逻辑/计时炸弹
主要的 papperable_platforms,势_METIGITATION,参考,time_of_introduction
Minor none
514 秘密频道
主要的 描述,关系,theoricentic_notes
Minor none
538 文件和目录信息曝光
主要的 关系
Minor none
599 缺少openSSL证书的验证
主要的 示范_ examples,描述,名称,关系_notes,关系
Minor none
610 Externally Controlled Reference to a Resource in Another Sphere
主要的 Maintenance_Notes
Minor none
611 不当限制XML外部实体参考('xxe')
主要的 nterthate_terms,placeable_platforms,background_details,common_cessequences,description,name,obseved_examples,nigital_mitigations,参考,关系_notes,关系,关系,分类_mappings
Minor none
621 Variable Extraction Error
主要的 示范_examples,关系
Minor none
627 dynamic Variable Evaluation
主要的 common_ccessquences,obsoved_examples,entigers_mitigations,关系,弱点_ordinalities
Minor none
639 Authorization Bypass Through User-Controlled Key
主要的 备用_terms,common_ccessquences
Minor none
651 通过WSDL文件的信息暴露
主要的 Potential_Mitigations
Minor none
654 依靠安全决定中的一个因素
主要的 Potential_Mitigations
Minor none
664 Improper Control of a Resource Through its Lifetime
主要的 关系
Minor none
665 初始化不当
主要的 示范_examples,关系
Minor none
668 资源暴露于错误的领域
主要的 关系
Minor none
672 到期或发布后在资源上操作
主要的 关系
Minor none
673 球体定义的外部影响
主要的 关系
Minor none
674 Uncontrolled Recursion
主要的 关系
Minor none
693 保护机制故障
主要的 关系
Minor none
698 重定向后执行(EAR)
主要的 备用_terms,name,obsoved_examples,参考
Minor none
710 Coding Standards Violation
主要的 关系
Minor none
754 不适当检查异常或特殊情况
主要的 关系
Minor none
759 使用无盐的单向哈希
主要的 描述,势_限制,参考,关系,类型
Minor none
760 使用带有可预测盐的单向哈希
主要的 描述,势_限制,参考,关系,类型
Minor none
769 文件描述符耗尽
主要的 Maintenance_Notes
Minor none
772 Missing Release of Resource after Effective Lifetime
主要的 关系
Minor none
776 Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion')
主要的 备用_terms,plaperable_platforms,描述,名称,观察_examples,参考,关系
Minor none
788 缓冲区结束后的内存位置访问
主要的 示范_examples
Minor none
798 使用硬编码凭证
主要的 papperable_platforms,参考
Minor none
813 OWASP 2010年前十大类别A4-不安全的直接对象参考
主要的 关系
Minor none
825 过期的指针退出
主要的 替代_terms
Minor none
827 对文档类型定义的控制不当
主要的 papperable_platforms
Minor none
863 Incorrect Authorization
主要的 description
Minor none
回到顶部
提供更多信息 - 请选择其他过滤器。
页面最后更新:2017年1月5日

Use of the Common Weakness Enumeration (CWE) and the associated references from this website are subject to the使用条款. CWE is sponsored by theU.S. Department of Homeland Security(DHS)网络安全和基础设施安全局(CISA),由国土安全系统工程和开发研究所(HSSEDI)由manbetx客户端首页(MITRE). Copyright © 2006–2023, The MITRE Corporation. CWE, CWSS, CWRAF, and the CWE logo are trademarks of The MITRE Corporation.