CWE

常见的弱点枚举

一个由社区开发的软件&硬件缺陷类型的列表
2021 CWE最重要的硬件的弱点
CWE最危险的弱点
>CWE列表>报告> 4.2版本和4.3版本之间的差异
ID

4.2版本和4.3版本之间的差异

总结
总结
总缺陷/链条/复合材料(版本4.3) 916年
总缺陷/链条/复合材料(版本4.2) 891年
新总 26
总不赞成 0
总有重大变化 142年
只有一些小的变化
总保持不变 1167年

摘要条目类型

类型 版本4.2 版本4.3
弱点 891年 916年
类别 316年 316年
视图 41 42
弃用 61年 61年
1309年 1335年

回到顶部
字段更改摘要
字段更改摘要

任何变化对空格将被忽略。“小”更改文本的变化只影响大小写和标点符号。其他更改标记为“大”。Simple schema changes are treated as Minor, such as the change from AffectedResource to Affected_Resource in Draft 8, or the relationship name change from "IsRequiredBy" to "RequiredBy" in Version 1.0. For each mutual relationship between nodes A and B (such as ParentOf and ChildOf), a relationship change is noted for both A and B.

主要
的名字 2 0
描述 6 0
Applicable_Platforms 0 0
Time_of_Introduction 3 0
Demonstrative_Examples 7 0
Detection_Factors 0 0
Likelihood_of_Exploit 1 0
Common_Consequences 4 0
的关系 113年 0
引用 0 0
Potential_Mitigations 24 0
Observed_Examples 5 0
Terminology_Notes 0 0
Alternate_Terms 2 0
Related_Attack_Patterns 3 0
Relationship_Notes 0 0
Taxonomy_Mappings 0 0
Maintenance_Notes 1 0
Modes_of_Introduction 1 0
Research_Gaps 1 0
Background_Details 0 0
Theoretical_Notes 0 0
Weakness_Ordinalities 0 0
Other_Notes 0 0
View_Type 0 0
View_Structure 0 0
View_Filter 0 0
View_Audience 0 0
类型 0 0
Source_Taxonomy 0 0

形式和抽象的变化

CWE id
不变 1309年

状态更改

不变 1308年
不完整的 草案 1

关系的变化

“4.3版总”名单的总数的关系在版本4.3。“共享”价值关系的条目的总数4.3版和4.2版。“新”值的关系涉及的条目总数4.2版本中不存在。因此,关系的总数在4.3版本将结合统计数据从共享条目和新条目。

的关系 4.3版本总 4.2版本总 4.3版本共享 不变 添加到版本4.3 从4.2版本 4.3版本新
所有 9533年 9241年 9347年 9239年 108年 2 186年
ChildOf 3956年 3857年 3909年 3856年 53 1 47
ParentOf 3956年 3857年 3909年 3856年 53 1 47
MemberOf 564年 528年 528年 528年 36
HasMember 564年 528年 528年 528年 36
CanPrecede 132年 129年 129年 129年 3
光束 132年 129年 129年 129年 3
StartsWith 3 3 3 3
需要 13 13 13 13
RequiredBy 13 13 13 13
CanAlsoBe 28 28 28 28
PeerOf 172年 156年 158年 156年 2 14

节点从4.2版本删除

CWE-ID CWE的名字
一个也没有。

软件节点添加到版本4.3

CWE-ID CWE的名字
1321年 控制不当修改对象原型属性(原型污染)
1322年 在单线程中使用阻塞的代码,非阻塞上下文
1325年 顺序控制内存分配不当
1327年 绑定到一个无限制的IP地址
1329年 依赖组件,它不是可更新
1340年 方案及数据保护措施

硬件节点添加到版本4.3

CWE-ID CWE的名字
1310年 缺失的补丁ROM代码的能力
1311年 翻译不当的安全属性织物桥
1312年 失踪的芯片上的织物防火墙保护反映地区
1313年 硬件可以在运行时激活测试或调试逻辑
1314年 失踪的写保护参数数据值
1315年 在织物端点设置不当总线控制能力
1316年 Fabric-Address地图允许编程毫无根据的重叠的受保护的和不受保护的范围
1317年 缺少安全检查在织物桥
1318年 缺少支持安全特性在芯片上的面料或公共汽车
1319年 电磁防护不当故障注入(EM-FI)
1320年 保护不当的信号电平警报
1323年 不当的管理敏感的跟踪数据
1324年 被JTAG接口的物理探测敏感信息的访问
1326年 缺少信任在硬件不变的根
1328年 安全版本号可变的旧版本
1330年 剩余内存删除后数据可读
1331年 隔离网络共享资源的不当的筹码
1332年 通过故障注入不足保护指令跳过
1334年 未经授权的错误注入可以降低硬件冗余
1338年 不当对硬件过热保护

在4.3版本节点弃用

CWE-ID CWE的名字
一个也没有。
回到顶部
重要的变化
重要的变化

变化是一个节点标记为“重要”,如果它是一个主要字段变化和字段的意义是至关重要的节点。关键字段描述、名称和关系。

关键
D 描述
N 的名字
R 的关系

R 22 不当限制限制目录的路径名(“路径遍历”)
R 23 相对路径遍历
R 36 绝对路径遍历
R 77年 不当中和一个命令中使用的特殊元素(“命令注入”)
R 78年 不当使用中和特殊元素在一个操作系统命令(OS命令注入)
R 79年 中和不当输入在Web页面生成(“跨站点脚本编制”)
R 88年 不当中和一个命令的参数分隔符(“参数注入”)
R 89年 不当使用中和特殊元素在一个SQL命令(SQL注入)
R 90年 不当使用中和特殊元素在LDAP查询(LDAP注入)
R 91年 XML注入(又名XPath盲注)
R 99年 不恰当的控制资源标识符(“资源注入”)
R 119年 不当的操作限制的范围内一个内存缓冲区
R 120年 缓冲区复制没有检查输入的大小(经典的缓冲区溢出)
R 123年 Write-what-where条件
R 125年 禁止入内的读
R 129年 不当的验证数组索引
R 130年 处理不当的长度参数不一致
R 131年 不正确的缓冲区大小的计算
R 134年 使用外部控制的格式字符串
R 170年 不当零终止
R 194年 意想不到的符号扩展
R 195年 签署无符号转换错误
R 196年 未签名的签名转换错误
R 197年 数字截断误差
D N 203年 可观察到的差异
R 213年 由于不兼容的政策暴露敏感信息
R 248年 未捕获异常
R 259年 使用硬编码的密码
R 284年 访问控制不当
R 285年 不适当的授权
R 287年 不适当的身份验证
R 288年 认证绕过使用另一种路径或通道
R 300年 通道由Non-Endpoint访问
R 311年 失踪的敏感数据的加密
R 321年 使用硬编码的加密密钥
R 359年 暴露私人个人信息未经授权的演员
R 366年 在一个线程竞争条件
R 369年 除以零
R 391年 未经检查的错误条件
R 392年 失踪的报告错误条件
R 404年 不当关机或释放资源
R 415年 双自由
R 416年 使用后免费
R 424年 保护不当备用路径
R 434年 无限制上传文件与危险的类型
R 456年 失踪的初始化一个变量
R 457年 使用未初始化的变量
R 471年 修改Assumed-Immutable数据(服务员)
R 476年 空指针废弃
R 502年 反序列化的数据不可信
R 543年 使用单例模式没有同步在多线程环境中
R 562年 返回堆栈变量的地址
R 567年 同步多线程访问共享数据上下文
R 606年 检查循环条件的输入
R 611年 XML外部实体引用的不当限制
R 624年 可执行正则表达式错误
R 639年 授权旁路通过用户控制的关键
R 643年 不当中和数据在XPath表达式(XPath注入)
D 649年 依赖混淆或加密的安全相关的输入没有完整性检查
R 652年 不当中和在XQuery表达式的数据(“XQuery注入”)
R 653年 划分不足
R 654年 依赖单一因素在一个安全的决定
R 662年 不同步
R 664年 资源的不当控制通过它的生命周期
R 665年 不适当的初始化
R 667年 不适当的锁定
R 672年 过期或释放后操作资源
D 674年 不受控制的递归
R 681年 不正确的数值类型之间的转换
R 682年 错误的计算
R 693年 保护机制失败
R 703年 检查或不当处理异常情况
R 704年 不正确类型转换或演员
R 732年 不正确的权限分配的关键资源
R 757年 谈判期间选择低收入低保险算法(算法降级)
R 761年 免费的指针不在缓冲区的开始
R 762年 不匹配的内存管理程序
R 763年 无效的指针或引用
R 764年 一个关键资源的多个锁
R 770年 资源配置没有限制或节流
R 772年 失踪后释放资源的有效寿命
R 775年 失踪的文件描述符或处理后有效
R 786年 之前访问的内存位置缓冲区的开始
R 787年 禁止入内的写
R 788年 访问结束后的内存位置缓冲区
D N R 789年 内存分配过多的大小值
R 798年 使用硬编码的凭证
R 805年 缓冲区长度值不正确的访问
R 820年 失踪的同步
R 821年 不正确的同步
R 822年 不可信的指针
R 823年 超出范围的使用指针偏移量
R 824年 访问未初始化的指针
R 825年 过期的指针
R 834年 过多的迭代
R 835年 循环和遥不可及的退出条件(无限循环)
R 862年 失踪的授权
R 863年 错误的授权
R 908年 使用未初始化资源
R 915年 控制不当修改动态确定对象的属性
R 917年 不当中和一个表达式语言语句中使用的特殊元素(表达式语言注入)
R 1051年 用硬编码的网络资源配置数据初始化
R 1058年 调用控制元件在多线程环境中使用最后静态存储或成员元素
R 1096年 单例类的实例创建没有适当的锁定或同步
R 1189年 不当隔离系统级芯片(SoC)的共享资源
R 1196年 安全流动问题
R 1198年 权限分离和访问控制问题
R 1203年 外围设备、芯片上的织物和接口/ IO的问题
R 1206年 权力、时钟和复位问题
R 1207年 调试和测试问题
R 1247年 缺失或不当实施保护电压和时钟故障
R 1251年 反映地区不同的值
D R 1277年 固件没有可更新
D R 1293年 缺少相关的多个独立的数据来源
R 1299年 失踪的备用硬件接口的保护机制
R 1301年 硬件组件内不足或不完整的数据删除
回到顶部
详细的差异报告
详细的差异报告
15 外部控制系统或配置设置
主要 Potential_Mitigations
没有一个
22 不当限制限制目录的路径名(“路径遍历”)
主要 Potential_Mitigations、人际关系
没有一个
23 相对路径遍历
主要 的关系
没有一个
36 绝对路径遍历
主要 的关系
没有一个
77年 不当中和一个命令中使用的特殊元素(“命令注入”)
主要 的关系
没有一个
78年 不当使用中和特殊元素在一个操作系统命令(OS命令注入)
主要 Potential_Mitigations、人际关系
没有一个
79年 中和不当输入在Web页面生成(“跨站点脚本编制”)
主要 的关系
没有一个
88年 不当中和一个命令的参数分隔符(“参数注入”)
主要 的关系
没有一个
89年 不当使用中和特殊元素在一个SQL命令(SQL注入)
主要 Potential_Mitigations、人际关系
没有一个
90年 不当使用中和特殊元素在LDAP查询(LDAP注入)
主要 的关系
没有一个
91年 XML注入(又名XPath盲注)
主要 的关系
没有一个
99年 不恰当的控制资源标识符(“资源注入”)
主要 的关系
没有一个
119年 不当的操作限制的范围内一个内存缓冲区
主要 Alternate_Terms Observed_Examples,关系
没有一个
120年 缓冲区复制没有检查输入的大小(经典的缓冲区溢出)
主要 Demonstrative_Examples、人际关系
没有一个
123年 Write-what-where条件
主要 的关系
没有一个
125年 禁止入内的读
主要 Related_Attack_Patterns、人际关系
没有一个
129年 不当的验证数组索引
主要 的关系
没有一个
130年 处理不当的长度参数不一致
主要 的关系
没有一个
131年 不正确的缓冲区大小的计算
主要 的关系
没有一个
134年 使用外部控制的格式字符串
主要 Common_Consequences、人际关系
没有一个
170年 不当零终止
主要 的关系
没有一个
190年 整数溢出或概括的
主要 Observed_Examples
没有一个
194年 意想不到的符号扩展
主要 的关系
没有一个
195年 签署无符号转换错误
主要 的关系
没有一个
196年 未签名的签名转换错误
主要 的关系
没有一个
197年 数字截断误差
主要 的关系
没有一个
200年 暴露敏感信息的未经授权的演员
主要 Potential_Mitigations
没有一个
201年 敏感信息插入发送数据
主要 Potential_Mitigations
没有一个
203年 可观察到的差异
主要 Common_Consequences, Demonstrative_Examples、描述、名称、Potential_Mitigations Research_Gaps
没有一个
204年 可观察到的响应差异
主要 Potential_Mitigations
没有一个
209年 代的包含敏感信息的错误消息
主要 Potential_Mitigations, Related_Attack_Patterns
没有一个
212年 不当删除敏感信息在存储或传输
主要 Potential_Mitigations
没有一个
213年 由于不兼容的政策暴露敏感信息
主要 的关系
没有一个
215年 敏感信息插入调试代码
主要 Potential_Mitigations
没有一个
242年 固有的危险函数的使用
主要 Demonstrative_Examples
没有一个
248年 未捕获异常
主要 的关系
没有一个
259年 使用硬编码的密码
主要 的关系
没有一个
271年 特权/降低错误
主要 Potential_Mitigations
没有一个
272年 最小特权违反
主要 Potential_Mitigations
没有一个
273年 检查了不当的特权
主要 Potential_Mitigations
没有一个
276年 不正确的默认权限
主要 Potential_Mitigations
没有一个
277年 不安全的继承权限
主要 Potential_Mitigations
没有一个
278年 不安全的保存继承权限
主要 Potential_Mitigations
没有一个
279年 不正确的Execution-Assigned权限
主要 Potential_Mitigations
没有一个
280年 处理不当的权限或权限不足
主要 Potential_Mitigations
没有一个
284年 访问控制不当
主要 Potential_Mitigations、人际关系
没有一个
285年 不适当的授权
主要 的关系
没有一个
287年 不适当的身份验证
主要 的关系
没有一个
288年 认证绕过使用另一种路径或通道
主要 的关系
没有一个
300年 通道由Non-Endpoint访问
主要 的关系
没有一个
311年 失踪的敏感数据的加密
主要 Potential_Mitigations、人际关系
没有一个
321年 使用硬编码的加密密钥
主要 的关系
没有一个
359年 暴露私人个人信息未经授权的演员
主要 的关系
没有一个
366年 在一个线程竞争条件
主要 的关系
没有一个
369年 除以零
主要 的关系
没有一个
391年 未经检查的错误条件
主要 的关系
没有一个
392年 失踪的报告错误条件
主要 的关系
没有一个
404年 不当关机或释放资源
主要 的关系
没有一个
415年 双自由
主要 的关系
没有一个
416年 使用后免费
主要 的关系
没有一个
424年 保护不当备用路径
主要 的关系
没有一个
434年 无限制上传文件与危险的类型
主要 的关系
没有一个
456年 失踪的初始化一个变量
主要 的关系
没有一个
457年 使用未初始化的变量
主要 的关系
没有一个
471年 修改Assumed-Immutable数据(服务员)
主要 的关系
没有一个
476年 空指针废弃
主要 的关系
没有一个
479年 信号处理器使用不可重入函数
主要 Common_Consequences
没有一个
494年 下载的代码没有完整性检查
主要 Demonstrative_Examples
没有一个
502年 反序列化的数据不可信
主要 的关系
没有一个
506年 嵌入恶意代码
主要 Time_of_Introduction
没有一个
543年 使用单例模式没有同步在多线程环境中
主要 的关系
没有一个
562年 返回堆栈变量的地址
主要 的关系
没有一个
567年 同步多线程访问共享数据上下文
主要 的关系
没有一个
606年 检查循环条件的输入
主要 的关系
没有一个
611年 XML外部实体引用的不当限制
主要 的关系
没有一个
624年 可执行正则表达式错误
主要 的关系
没有一个
639年 授权旁路通过用户控制的关键
主要 的关系
没有一个
643年 不当中和数据在XPath表达式(XPath注入)
主要 的关系
没有一个
649年 依赖混淆或加密的安全相关的输入没有完整性检查
主要 描述
没有一个
652年 不当中和在XQuery表达式的数据(“XQuery注入”)
主要 的关系
没有一个
653年 划分不足
主要 的关系
没有一个
654年 依赖单一因素在一个安全的决定
主要 的关系
没有一个
662年 不同步
主要 的关系
没有一个
663年 在并发环境中使用不可重入函数
主要 Common_Consequences
没有一个
664年 资源的不当控制通过它的生命周期
主要 的关系
没有一个
665年 不适当的初始化
主要 的关系
没有一个
667年 不适当的锁定
主要 的关系
没有一个
672年 过期或释放后操作资源
主要 的关系
没有一个
674年 不受控制的递归
主要 Demonstrative_Examples、描述Modes_of_Introduction、Observed_Examples Potential_Mitigations Time_of_Introduction
没有一个
676年 潜在的危险函数的使用
主要 Demonstrative_Examples
没有一个
681年 不正确的数值类型之间的转换
主要 的关系
没有一个
682年 错误的计算
主要 的关系
没有一个
693年 保护机制失败
主要 的关系
没有一个
703年 检查或不当处理异常情况
主要 的关系
没有一个
704年 不正确类型转换或演员
主要 的关系
没有一个
732年 不正确的权限分配的关键资源
主要 的关系
没有一个
754年 不适当的检查异常或异常情况
主要 Potential_Mitigations
没有一个
757年 谈判期间选择低收入低保险算法(算法降级)
主要 的关系
没有一个
761年 免费的指针不在缓冲区的开始
主要 的关系
没有一个
762年 不匹配的内存管理程序
主要 的关系
没有一个
763年 无效的指针或引用
主要 的关系
没有一个
764年 一个关键资源的多个锁
主要 的关系
没有一个
770年 资源配置没有限制或节流
主要 的关系
没有一个
772年 失踪后释放资源的有效寿命
主要 的关系
没有一个
775年 失踪的文件描述符或处理后有效
主要 的关系
没有一个
786年 之前访问的内存位置缓冲区的开始
主要 的关系
没有一个
787年 禁止入内的写
主要 的关系
没有一个
788年 访问结束后的内存位置缓冲区
主要 的关系
没有一个
789年 内存分配过多的大小值
主要 Alternate_Terms Demonstrative_Examples,描述、Likelihood_of_Exploit名字,Observed_Examples,关系,Time_of_Introduction
没有一个
798年 使用硬编码的凭证
主要 的关系
没有一个
805年 缓冲区长度值不正确的访问
主要 的关系
没有一个
820年 失踪的同步
主要 的关系
没有一个
821年 不正确的同步
主要 的关系
没有一个
822年 不可信的指针
主要 的关系
没有一个
823年 超出范围的使用指针偏移量
主要 的关系
没有一个
824年 访问未初始化的指针
主要 的关系
没有一个
825年 过期的指针
主要 的关系
没有一个
834年 过多的迭代
主要 的关系
没有一个
835年 循环和遥不可及的退出条件(无限循环)
主要 Observed_Examples、人际关系
没有一个
862年 失踪的授权
主要 的关系
没有一个
863年 错误的授权
主要 的关系
没有一个
908年 使用未初始化资源
主要 的关系
没有一个
915年 控制不当修改动态确定对象的属性
主要 的关系
没有一个
917年 不当中和一个表达式语言语句中使用的特殊元素(表达式语言注入)
主要 的关系
没有一个
1051年 用硬编码的网络资源配置数据初始化
主要 的关系
没有一个
1058年 调用控制元件在多线程环境中使用最后静态存储或成员元素
主要 的关系
没有一个
1096年 单例类的实例创建没有适当的锁定或同步
主要 的关系
没有一个
1189年 不当隔离系统级芯片(SoC)的共享资源
主要 的关系
没有一个
1192年 芯片系统(SoC)使用组件没有独特的,不可变的标识符
主要 Related_Attack_Patterns
没有一个
1196年 安全流动问题
主要 的关系
没有一个
1198年 权限分离和访问控制问题
主要 的关系
没有一个
1203年 外围设备、芯片上的织物和接口/ IO的问题
主要 的关系
没有一个
1206年 权力、时钟和复位问题
主要 的关系
没有一个
1207年 调试和测试问题
主要 的关系
没有一个
1247年 缺失或不当实施保护电压和时钟故障
主要 的关系
没有一个
1251年 反映地区不同的值
主要 的关系
没有一个
1260年 处理不当的重叠范围受保护的内存
主要 Maintenance_Notes
没有一个
1263年 物理访问控制不当
主要 Potential_Mitigations
没有一个
1277年 固件没有可更新
主要 描述,关系
没有一个
1293年 缺少相关的多个独立的数据来源
主要 描述,关系
没有一个
1299年 失踪的备用硬件接口的保护机制
主要 的关系
没有一个
1301年 硬件组件内不足或不完整的数据删除
主要 的关系
没有一个
回到顶部
更多的信息是可用的,请选择一个不同的过滤器。
页面最后更新:2020年12月10日,

使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页