CWE-版本2.6和2.7版之间的差异

家>CWE列表>报告>版本2.6和2.7版之间的差异

版本2.6和2.7版之间的差异

Summary

总计（版本2.7）	945
总计（版本2.6）	943
全新	2
总弃用	0
共享	943
到tal important changes	75
总重大变化	141
总小变化	3
总小变化(no major)	1
到tal unchanged	801

Summary of Entry Types

Type	版本2.6	版本2.7
Category	186	186
链	3	3
合成的	5	5
弃用	14	14
View	31	31
弱点	704	706

回到顶部

现场更改摘要

Any change with respect to whitespace is ignored. "Minor" changes are text changes that only affect capitalization and punctuation. Most other changes are marked as "Major." Simple schema changes are treated as Minor, such as the change from AffectedResource to Affected_Resource in Draft 8, or the relationship name change from "IsRequiredBy" to "RequiredBy" in Version 1.0. For each mutual relationship between nodes A and B (such as ParentOf and ChildOf), a relationship change is noted for both A and B.

场地	主要的	Minor
姓名	2	0
description	42	0
papperable_platforms	11	0
time_of_introduction	2	0
示范_examples	14	1
detection_Factors	1	0
likelihood_of_exploit	0	0
Common_Consequences	10	0
关系	35	0
references	7	0
Potential_Mitigations	20	0
obsoved_examples	12	2
Terminology_Notes	1	0
替代_terms	1	0
RELSSSION_ATTACK_PATTERNS	8	0
关系_notes	10	0
Taxonomy_Mappings	0	0
Maintenance_Notes	0	0
模式_OF_INTRODUCTION	11	0
affected_resources	0	0
Functional_Areas	0	0
Research_gaps	3	0
background_details	1	0
Theoretical_Notes	3	0
弱点	0	0
white_box_definitions	0	0
enabling_factors_for_exploitation	3	0
其他_notes	76	0
相关_Properties	0	0
view_type	0	0
View_tructure	0	0
View_filter	0	0
View_Audience	0	0
common_methods_of_exploitation	0	0
Type	0	0
CAUSAL_NATURA	0	0
source_taxonomy	0	0
context_notes	0	0
black_box_definitions	0	0

形式和抽象变化

From	到	到tal
不变		943

Status Changes

From	到	到tal
不变		943

关系变化

The "Version 2.7 Total" lists the total number of relationships in Version 2.7. The "Shared" value is the total number of relationships in entries that were in both Version 2.7 and Version 2.6. The "New" value is the total number of relationships involving entries that did not exist in Version 2.6. Thus, the total number of relationships in Version 2.7 would combine stats from Shared entries and New entries.

关系	2.7版总计	2.6版总计	2.7版共享	不变	Added to Version 2.7	removed from Version 2.6	2.7版新版本
全部	7573	7509	7545	7501	44	8	28
Childof	3215	3183	3201	3179	22	4	14
父母	3215	3183	3201	3179	22	4	14
MemberOf	344	344	344	344
hasmember	344	344	344	344
CanPrecede	121	121	121	121
可以按照	121	121	121	121
以。。开始	3	3	3	3
requires	17	17	17	17
requiredBy	17	17	17	17
也可以是	34	34	34	34
peerof	142	142	142	142

从版本2.6中删除的节点

CWE-ID	CWE名称
none.

节点添加到版本2.7

CWE-ID	CWE名称
942	过于允许的跨域白名单
943	数据查询逻辑中特殊元素的中和不当

版本2.7中的节点弃用

CWE-ID	CWE名称
none.

回到顶部

重要的变化

A node change is labeled "important" if it is a major field change and the field is critical to the meaning of the node. The critical fields are description, name, and relationships.

钥匙
d	description
n	姓名
r	关系

d			7	J2EE Misconfiguration: Missing Custom Error Page
d			9	J2EE错误配置：EJB方法的访问权限较弱
		r	74	下游组件使用的输出中特殊元素的中和不当（“注入”）
		r	77	命令中使用的特殊元素的中和不当（“命令注射”）
		r	78	OS命令中使用的特殊元素的中和不当（“ OS命令注入”）
		r	88	Argument Injection or Modification
		r	89	SQL命令中使用的特殊元素的中和不当（'SQL注入'）
		r	90	LDAP查询中使用的特殊元素的中和不当（“ LDAP注入”）
		r	91	XML注射（又称盲XPath注射）
d		r	99	不当控制资源标识符（“资源注入”）
d			105	支柱：没有验证器的形式字段
d			106	支撑杆：未使用插件框架
d			110	支柱：没有表单字段的验证器
d			157	未能消毒配对的定系数
		r	183	宽松的白名单
d			188	依赖数据/内存布局
d			195	签名到未签名的转换错误
d			196	未符合签名的转换错误
		r	209	通过错误消息的信息暴露
		r	215	通过调试信息的信息暴露
d			245	J2EE不良实践：连接的直接管理
d			246	J2EE不良实践：直接使用插座
d			253	错误检查功能返回值
d		r	256	密码的明文存储
d			257	Storing Passwords in a Recoverable Format
		r	284	不当访问控制
		r	287	身份验证不当
		r	311	Missing Encryption of Sensitive Data
		r	319	敏感信息的清晰文本传输
		r	320	密钥管理错误
		r	325	Missing Required Cryptographic Step
		r	327	使用破裂或危险的加密算法
		r	328	可逆的单向哈希
d	n		338	Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)
d			365	race Condition in Switch
d			374	将可变的物体传递给不受信任的方法
d			375	将可变的物体返回到不受信任的呼叫者
d			382	J2EE Bad Practices: Use of System.exit()
d			395	使用NullPoInterException Catch检测NULL指针删除
d			436	Interpretation Conflict
d			460	抛出异常的清理不当
d			467	在指针类型上使用sizeof（）
d			471	修改假定的可免疫数据（女仆）
d			474	使用不一致的实现功能
d			477	使用过时的功能
d			478	Missing Default Case in Switch Statement
d			480	使用不正确的操作员
d			487	依赖包装级范围
d			489	剩余的调试代码
d			492	使用包含敏感数据的内部类
d			501	Trust Boundary Violation
d			520	.NET Misconfiguration: Use of Impersonation
		r	522	不充分保护凭据
		r	523	凭证的未保护运输
		r	548	Information Exposure Through Directory Listing
d			562	堆栈变量地址的返回
d	n		563	不使用的变量分配（“未使用变量”）
d			579	J2EE不良实践：会话中存储的不可隔离的对象
d			594	J2EE框架：将无法删除的对象保存到磁盘
		r	613	Insufficient Session Expiration
d			617	可达到的断言
		r	620	未验证的密码更改
d			621	Variable Extraction Error
d			626	null Byte Interaction Error (Poison Null Byte)
		r	640	弱密码恢复机制被遗忘的密码
		r	643	Improper Neutralization of Data within XPath Expressions ('XPath Injection')
		r	652	Xquery表达式中数据中和不当（“ Xquery注入”）
		r	668	资源暴露于错误的领域
d			692	不完整的黑名单到交叉脚本
		r	929	OWASP 2013年前十大A1类 - 注射
		r	930	OWASP 2013年前十大A2类 - 破裂的身份验证和会话管理
		r	932	OWASP Top Ten 2013 Category A4 - Insecure Direct Object References
		r	933	OWASP Top Ten 2013 Category A5 - Security Misconfiguration
		r	934	OWASP 2013年前十大A6类 - 敏感数据曝光
		r	935	OWASP前十名2013类A7-缺少功能级别访问控制

回到顶部

详细的差异报告

7	J2EE Misconfiguration: Missing Custom Error Page
	主要的	Common_Consequences, Description, Other_Notes, Potential_Mitigations
	Minor	none
9	J2EE错误配置：EJB方法的访问权限较弱
	主要的	描述，其他_notes
	Minor	none
22	路径名的不当限制到限制目录（“路径遍历”）
	主要的	其他_notes，research_gaps
	Minor	obsoved_examples
44	路径等价：'file.name'（内部点）
	主要的	其他_notes，关系_notes
	Minor	none
45	Path Equivalence: 'file...name' (Multiple Internal Dot)
	主要的	其他_notes，关系_notes
	Minor	none
48	路径等价：“文件名”（内部空间）
	主要的	papperable_platforms, Other_Notes, Relationship_Notes
	Minor	none
59	在文件访问之前，链接分辨率不正确（“链接后面”）
	主要的	common_cconsquences，other_notes
	Minor	none
61	UNIX符号链接（SYMLINK）以下
	主要的	模式_OF_INTRODUCTION, Other_Notes
	Minor	none
74	下游组件使用的输出中特殊元素的中和不当（“注入”）
	主要的	关系
	Minor	none
77	命令中使用的特殊元素的中和不当（“命令注射”）
	主要的	关系
	Minor	none
78	OS命令中使用的特殊元素的中和不当（“ OS命令注入”）
	主要的	关系
	Minor	none
88	Argument Injection or Modification
	主要的	关系
	Minor	none
89	SQL命令中使用的特殊元素的中和不当（'SQL注入'）
	主要的	关系
	Minor	none
90	LDAP查询中使用的特殊元素的中和不当（“ LDAP注入”）
	主要的	关系
	Minor	none
91	XML注射（又称盲XPath注射）
	主要的	关系
	Minor	none
96	静态保存的代码中指令的中和不当（“静态代码注入”）
	主要的	enabling_factors_for_exploitation，other_notes，关系_notes
	Minor	none
99	不当控制资源标识符（“资源注入”）
	主要的	备用_terms，描述，关系_notes，关系
	Minor	none
105	支柱：没有验证器的形式字段
	主要的	common_consexquences，Description，Modes_of_introduction，shots_notes
	Minor	none
106	支撑杆：未使用插件框架
	主要的	描述，其他_notes, Potential_Mitigations
	Minor	none
108	支柱：未验证的动作形式
	主要的	其他_notes，势_MINEIGATIONS
	Minor	none
110	支柱：没有表单字段的验证器
	主要的	描述，其他_notes
	Minor	none
112	缺少XML验证
	主要的	示范_examples, Other_Notes, Potential_Mitigations
	Minor	none
113	HTTP标头中CRLF序列的中和不当（“ HTTP响应拆分”）
	主要的	示范_examples
	Minor	none
116	输出的编码或逃脱不当
	主要的	references
	Minor	none
122	基于堆的缓冲区溢出
	主要的	obsoved_examples
	Minor	none
125	越野读
	主要的	RELSSSION_ATTACK_PATTERNS
	Minor	none
126	缓冲区超阅读
	主要的	obsoved_examples
	Minor	none
129	Improper Validation of Array Index
	主要的	none
	Minor	示范_examples
130	长度参数不一致的处理不当
	主要的	obsoved_examples
	Minor	none
135	多字节字符串长度的不正确计算
	主要的	enabling_factors_for_exploitation，other_notes
	Minor	none
157	未能消毒配对的定系数
	主要的	papperable_platforms，explyative_examples，说明
	Minor	none
159	未能消毒特殊元素
	主要的	其他_notes
	Minor	none
169	技术特定的特殊元素
	主要的	papperable_platforms，modes_of_introduction，other_notes，势_mitigations
	Minor	none
170	无效终止不当
	主要的	obsoved_examples
	Minor	none
183	宽松的白名单
	主要的	关系
	Minor	none
185	正则表达不正确
	主要的	papperable_platforms，common_consequences，other_notes，关系_notes
	Minor	none
188	依赖数据/内存布局
	主要的	描述，其他_notes
	Minor	none
193	逐个错误
	主要的	references
	Minor	none
195	签名到未签名的转换错误
	主要的	示范_examples，描述
	Minor	none
196	未符合签名的转换错误
	主要的	示范_examples，描述，其他_notes
	Minor	none
200	Information Exposure
	主要的	RELSSSION_ATTACK_PATTERNS
	Minor	none
208	Information Exposure Through Timing Discrepancy
	主要的	其他_notes，相关的_attack_patterns
	Minor	none
209	通过错误消息的信息暴露
	主要的	关系
	Minor	none
210	通过自我生成错误消息的信息暴露
	主要的	其他_notes
	Minor	none
213	故意信息暴露
	主要的	其他_notes，关系_notes，theoricenity_notes
	Minor	none
215	通过调试信息的信息暴露
	主要的	关系
	Minor	none
245	J2EE不良实践：连接的直接管理
	主要的	描述，其他_notes
	Minor	none
246	J2EE不良实践：直接使用插座
	主要的	描述，其他_notes
	Minor	none
252	Unchecked Return Value
	主要的	expective_examples，势_MINEIGATIONS
	Minor	none
253	错误检查功能返回值
	主要的	描述，其他_notes
	Minor	none
256	密码的明文存储
	主要的	描述，模式_OF_INTRODUCTION，其他_notes，势_METIGITATION，关系
	Minor	none
257	Storing Passwords in a Recoverable Format
	主要的	描述，其他_notes
	Minor	none
262	不使用密码老化
	主要的	其他_notes，势_MINEIGATIONS
	Minor	none
273	Improper Check for Dropped Privileges
	主要的	background_details，其他_notes，电位
	Minor	none
284	不当访问控制
	主要的	关系
	Minor	none
287	身份验证不当
	主要的	关系
	Minor	none
295	证书验证不当
	主要的	obsoved_examples
	Minor	none
300	通过非端点访问的频道（“中间人”）
	主要的	obsoved_examples
	Minor	none
311	Missing Encryption of Sensitive Data
	主要的	关系
	Minor	none
319	敏感信息的清晰文本传输
	主要的	关系
	Minor	none
320	密钥管理错误
	主要的	关系
	Minor	none
325	Missing Required Cryptographic Step
	主要的	关系
	Minor	none
327	使用破裂或危险的加密算法
	主要的	关系
	Minor	none
328	可逆的单向哈希
	主要的	关系
	Minor	none
330	使用不足的随机值
	主要的	RELSSSION_ATTACK_PATTERNS
	Minor	none
338	Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)
	主要的	papperable_platforms，描述，名称，其他_notes
	Minor	none
344	在动态变化的上下文中使用不变值
	主要的	其他_notes
	Minor	none
346	Origin Validation Error
	主要的	RELSSSION_ATTACK_PATTERNS
	Minor	none
364	Signal Handler Race Condition
	主要的	示范_examples，参考
	Minor	none
365	race Condition in Switch
	主要的	Common_Consequences, Description, Other_Notes, Potential_Mitigations
	Minor	none
374	将可变的物体传递给不受信任的方法
	主要的	示范_examples，描述，其他_notes，势_mitigations，参考
	Minor	none
375	将可变的物体返回到不受信任的呼叫者
	主要的	描述，其他_notes, Potential_Mitigations
	Minor	none
378	创建具有不安全权限的临时文件
	主要的	Potential_Mitigations
	Minor	none
382	J2EE Bad Practices: Use of System.exit()
	主要的	描述，模式_OF_INTRODUCTION，其他_notes，eneligth_mitigations
	Minor	none
391	Unchecked Error Condition
	主要的	其他_notes
	Minor	none
393	错误状态代码的返回
	主要的	obsoved_examples
	Minor	none
395	使用NullPoInterException Catch检测NULL指针删除
	主要的	描述，其他_notes
	Minor	none
399	资源管理错误
	主要的	其他_notes
	Minor	none
404	资源关闭或发布不当
	主要的	RELSSSION_ATTACK_PATTERNS
	Minor	none
410	资源池不足
	主要的	其他_notes，势_MINEIGATIONS
	Minor	none
421	进入替代渠道期间的比赛状况
	主要的	其他_notes
	Minor	none
436	Interpretation Conflict
	主要的	papperable_platforms，描述，observed_examples，其他_notes，引用
	Minor	none
444	对HTTP请求的解释不一致（“ HTTP请求走私”）
	主要的	其他_notes，势_METIGATION，theoricentic_notes
	Minor	none
452	初始化和清理错误
	主要的	其他_notes，research_gaps
	Minor	none
457	使用非初始化变量
	主要的	模式_OF_INTRODUCTION, Other_Notes
	Minor	none
459	清理不完整
	主要的	common_ccessquences，ethot_notes，relatese_notes
	Minor	none
460	抛出异常的清理不当
	主要的	描述，其他_notes
	Minor	none
467	在指针类型上使用sizeof（）
	主要的	描述，其他_notes
	Minor	none
468	指针缩放不正确
	主要的	模式_OF_INTRODUCTION, Other_Notes
	Minor	none
469	使用指针减法确定尺寸
	主要的	其他_notes
	Minor	none
471	修改假定的可免疫数据（女仆）
	主要的	papperable_platforms，common_constequences，Description，other_notes，势_METIGIGATIONS，关系_notes，theoricentic_notes，time_of_introduction
	Minor	none
474	使用不一致的实现功能
	主要的	papperable_platforms, Description, Other_Notes
	Minor	none
477	使用过时的功能
	主要的	描述，其他_notes, Potential_Mitigations
	Minor	none
478	Missing Default Case in Switch Statement
	主要的	描述，其他_notes, Potential_Mitigations
	Minor	none
480	使用不正确的操作员
	主要的	papperable_platforms, Description, Detection_Factors, Other_Notes
	Minor	none
483	错误的块划界
	主要的	obsoved_examples
	Minor	none
487	依赖包装级范围
	主要的	描述，其他_notes, Potential_Mitigations
	Minor	none
489	剩余的调试代码
	主要的	描述，模式_OF_INTRODUCTION，其他_notes，time_of_introduction
	Minor	none
492	使用包含敏感数据的内部类
	主要的	描述，其他_notes
	Minor	none
501	Trust Boundary Violation
	主要的	描述，其他_notes
	Minor	none
514	秘密频道
	主要的	RELSSSION_ATTACK_PATTERNS
	Minor	none
520	.NET Misconfiguration: Use of Impersonation
	主要的	描述，其他_notes
	Minor	none
522	不充分保护凭据
	主要的	其他_notes，关系
	Minor	none
523	凭证的未保护运输
	主要的	其他_notes，关系
	Minor	none
548	Information Exposure Through Directory Listing
	主要的	关系
	Minor	none
549	Missing Password Field Masking
	主要的	其他_notes
	Minor	none
561	死亡代码
	主要的	obsoved_examples
	Minor	none
562	堆栈变量地址的返回
	主要的	描述，其他_notes
	Minor	none
563	不使用的变量分配（“未使用变量”）
	主要的	common_cconsquences，Description，Name，其他_notes
	Minor	none
579	J2EE不良实践：会话中存储的不可隔离的对象
	主要的	描述，其他_notes
	Minor	none
594	J2EE框架：将无法删除的对象保存到磁盘
	主要的	描述，其他_notes
	Minor	none
595	比较对象引用而不是对象内容
	主要的	papperable_platforms，common_consequences
	Minor	none
605	多个绑定到同一端口
	主要的	enabling_factors_for_exploitation，other_notes
	Minor	none
613	Insufficient Session Expiration
	主要的	关系
	Minor	none
617	可达到的断言
	主要的	Common_Consequences, Description, Other_Notes
	Minor	none
620	未验证的密码更改
	主要的	关系
	Minor	none
621	Variable Extraction Error
	主要的	描述，其他_notes
	Minor	none
624	Executable Regular Expression Error
	主要的	obsoved_examples
	Minor	none
625	允许的正则表达
	主要的	模式_OF_INTRODUCTION, Other_Notes
	Minor	none
626	null Byte Interaction Error (Poison Null Byte)
	主要的	描述，其他_notes，research_gaps，terminology_notes
	Minor	none
640	弱密码恢复机制被遗忘的密码
	主要的	关系
	Minor	none
643	Improper Neutralization of Data within XPath Expressions ('XPath Injection')
	主要的	关系
	Minor	none
652	Xquery表达式中数据中和不当（“ Xquery注入”）
	主要的	关系
	Minor	none
655	心理可接受不足
	主要的	示范_examples
	Minor	none
656	通过默默无闻依靠安全性
	主要的	其他_notes，关系_notes
	Minor	none
668	资源暴露于错误的领域
	主要的	关系
	Minor	none
689	资源副本期间的许可竞赛条件
	主要的	模式_OF_INTRODUCTION, Other_Notes
	Minor	obsoved_examples
690	Unchecked Return Value to NULL Pointer Dereference
	主要的	模式_OF_INTRODUCTION, Other_Notes
	Minor	none
692	不完整的黑名单到交叉脚本
	主要的	papperable_platforms, Description, Other_Notes
	Minor	none
705	不正确的控制流程范围
	主要的	obsoved_examples
	Minor	none
770	资源分配而无需限制或限制
	主要的	RELSSSION_ATTACK_PATTERNS
	Minor	none
787	外面写作
	主要的	示范_examples
	Minor	none
788	缓冲区结束后的内存位置访问
	主要的	示范_examples
	Minor	none
805	Buffer Access with Incorrect Length Value
	主要的	示范_examples
	Minor	none
828	信号处理程序的功能不是异步安全的功能
	主要的	示范_examples，参考
	Minor	none
831	与多个信号关联的信号处理程序功能
	主要的	示范_examples，参考
	Minor	none
929	OWASP 2013年前十大A1类 - 注射
	主要的	关系
	Minor	none
930	OWASP 2013年前十大A2类 - 破裂的身份验证和会话管理
	主要的	关系
	Minor	none
932	OWASP Top Ten 2013 Category A4 - Insecure Direct Object References
	主要的	关系
	Minor	none
933	OWASP Top Ten 2013 Category A5 - Security Misconfiguration
	主要的	关系
	Minor	none
934	OWASP 2013年前十大A6类 - 敏感数据曝光
	主要的	关系
	Minor	none
935	OWASP前十名2013类A7-缺少功能级别访问控制
	主要的	关系
	Minor	none

回到顶部

提供更多信息 - 请选择其他过滤器。

页面最后更新：2017年1月5日


	站点地图\|使用条款\|隐私政策\|联系我们\| Use of the Common Weakness Enumeration (CWE) and the associated references from this website are subject to the使用条款. CWE is sponsored by theU.S. Department of Homeland Security(DHS)网络安全和基础设施安全局（CISA），由国土安全系统工程和开发研究所（HSSEDI）由manbetx客户端首页(MITRE). Copyright © 2006–2022, The MITRE Corporation. CWE, CWSS, CWRAF, and the CWE logo are trademarks of The MITRE Corporation.

普遍的弱点

版本2.6和2.7版之间的差异

Summary of Entry Types

形式和抽象变化

Status Changes

关系变化

从版本2.6中删除的节点

节点添加到版本2.7

版本2.7中的节点弃用