CWE

常见的弱点枚举

一个由社区开发的软件&硬件缺陷类型的列表
2021 CWE最重要的硬件的弱点
CWE最危险的弱点
>CWE列表>报告> 4.6版本和4.7版本之间的差异
ID

4.6版本和4.7版本之间的差异

总结
总结
总缺陷/链条/复合材料(版本4.7) 926年
总缺陷/链条/复合材料(版本4.6) 924年
新总 29日
总不赞成 1
总有重大变化 142年
只有一些小的变化 2
总保持不变 1212年

摘要条目类型

类型 版本4.6 版本4.7
弱点 924年 926年
类别 326年 351年
视图 46 47
弃用 61年 62年
1357年 1386年

回到顶部
字段更改摘要
字段更改摘要

任何变化对空格将被忽略。“小”更改文本的变化只影响大小写和标点符号。其他更改标记为“大”。Simple schema changes are treated as Minor, such as the change from AffectedResource to Affected_Resource in Draft 8, or the relationship name change from "IsRequiredBy" to "RequiredBy" in Version 1.0. For each mutual relationship between nodes A and B (such as ParentOf and ChildOf), a relationship change is noted for both A and B.

主要
的名字 2 0
描述 6 0
的关系 54 0
Applicable_Platforms 31日 0
Modes_of_Introduction 1 0
Detection_Factors 2 0
Potential_Mitigations 8 0
Demonstrative_Examples 9 0
Observed_Examples 8 0
Related_Attack_Patterns 37 0
Weakness_Ordinalities 1 0
Time_of_Introduction 3 0
Likelihood_of_Exploit 1 0
引用 8 1
Common_Consequences 5 0
Terminology_Notes 0 0
Alternate_Terms 1 0
Relationship_Notes 0 0
Taxonomy_Mappings 2 0
Maintenance_Notes 1 0
Research_Gaps 27 2
Background_Details 0 0
Theoretical_Notes 0 0
Other_Notes 0 0
View_Type 0 0
View_Structure 0 0
View_Filter 0 0
View_Audience 0 0
类型 1 0
Source_Taxonomy 0 0

形式和抽象的变化

CWE id
不变 1356年
缺点/基地 弃用 1 365年

状态更改

不变 1356年
草案 弃用 1

关系的变化

“4.7版总”名单的总数的关系在版本4.7。“共享”价值关系的条目的总数4.7版和4.6版。“新”值的关系涉及的条目总数4.6版本中不存在。因此,关系的总数在4.7版本将结合统计数据从共享条目和新条目。

的关系 4.7版本总 4.6版本总 4.7版本共享 不变 添加到版本4.7 从4.6版本 4.7版本新
所有 10232年 10110年 10092年 10080年 12 30. 140年
ChildOf 4250年 4191年 4185年 4179年 6 12 65年
ParentOf 4250年 4191年 4185年 4179年 6 12 65年
MemberOf 616年 611年 611年 611年 5
HasMember 616年 611年 611年 611年 5
CanPrecede 135年 135年 135年 135年
光束 135年 135年 135年 135年
StartsWith 3 3 3 3
需要 13 13 13 13
RequiredBy 13 13 13 13
CanAlsoBe 27 27 27 27
PeerOf 174年 180年 174年 174年 6

节点从4.6版本删除

CWE-ID CWE的名字
一个也没有。

节点添加到版本4.7

CWE-ID CWE的名字
1357年 依赖控制组件
1358年 弱点在ICS SEI ETF类别的安全漏洞
1359年 ICS通信
1360年 ICS依赖性(&架构)
1361年 ICS供应链
1362年 集成电路工程(建筑/部署)
1363年 ICS操作(&维护)
1364年 ICS通讯:区域边界的失败
1365年 ICS通讯:不可靠
1366年 ICS通讯:脆弱的安全协议
1367年 ICS依赖性(&架构):外部物理系统
1368年 ICS依赖性(&架构):外部数字系统
1369年 ICS供应链:/不收敛扩张
1370年 ICS供应链:普通模式的弱点
1371年 ICS供应链:记录不良的或非法的特性
1372年 ICS供应链:OT假冒和恶意的腐败
1373年 集成电路工程(建筑/部署):信任模型的问题
1374年 集成电路工程(建筑/部署):制造商断路器失明
1375年 集成电路工程(建筑/部署):缺口/数据的细节
1376年 集成电路工程(建筑/部署):在调试安全缺口
1377年 集成电路工程(建筑/部署):设计固有的可预测性
1378年 ICS操作(&维护):缺口义务和培训
1379年 ICS操作(&维护):ICS环境中的人为因素
1380年 ICS操作(&维护):后分析变化
1381年 ICS操作(&维护):可利用的标准操作程序
1382年 ICS操作(&维护):新兴能源技术
1383年 ICS操作(&维护):合规/符合监管要求
1384年 处理不当的极端物理环境条件
1385年 失踪的起源验证WebSockets

在4.7版本节点弃用

CWE-ID CWE的名字
365年 弃用:竞争条件在开关
回到顶部
重要的变化
重要的变化

变化是一个节点标记为“重要”,如果它是一个主要字段变化和字段的意义是至关重要的节点。关键字段描述、名称和关系。

关键
D 描述
N 的名字
R 的关系

R 20. 不正确的输入验证
R 107年 Struts:未使用的验证形式
R 110年 Struts:没有表单字段验证器
R 269年 权限管理不当
R 276年 不正确的默认权限
R 285年 不适当的授权
R 295年 不适当的证书验证
R 296年 不当的证书链的信任
R 327年 使用损坏或危险的密码算法
R 329年 第四代可预测与CBC模式
R 346年 起源验证错误
R 349年 接受外来的不可信的数据和可信的数据
R 358年 不当实施安全检查标准
R 362年 使用共享资源与不当同步并发执行(“竞争条件”)
R 364年 信号处理器竞态条件
D N R 365年 弃用:竞争条件在开关
R 366年 在一个线程竞争条件
R 367年 Time-of-check分时(TOCTOU)竞态条件
R 406年 控制的网络消息量不足(网络放大)
R 451年 用户界面(UI)关键信息的误传
R 506年 嵌入恶意代码
R 557年 并发问题
R 601年 URL重定向不可信的网站(“开放重定向”)
R 610年 在另一个球体外部控制的参考资源
R 636年 不是不安全(不开放)
R 655年 足够的心理可接受性
R 668年 曝光资源错误的球体
R 669年 不正确的资源领域之间的转移
R 684年 不正确的提供指定的功能
R 703年 检查或不当处理异常情况
R 710年 不当坚持编码标准
R 754年 不适当的检查异常或异常情况
R 755年 异常情况的处理不当
D 788年 访问结束后的内存位置缓冲区
R 807年 依赖不可信的输入在一个安全的决定
R 912年 隐藏功能
R 986年 SFP二级集群:失踪的锁
D N R 1059年 足够的技术文档
R 1104年 没有维护的第三方组件的使用
R 1164年 不相关的代码
R 1195年 制造和生命周期管理问题
R 1198年 权限分离和访问控制问题
R 1208年 横切问题
D 1225年 文档的问题
R 1231年 预防不当锁一些修改
R 1233年 丢失的安全敏感的硬件控制锁保护
R 1242年 包含非法特性或鸡肉
R 1247年 不当保护电压和时钟故障
R 1261年 处理不当的单一事件
R 1277年 固件没有可更新
R 1278年 缺少保护硬件逆向工程使用集成电路(IC)成像技术
R 1310年 缺失的补丁ROM代码的能力
D R 1329年 依赖组件,它不是可更新
R 1332年 处理不当的错误导致指令跳过
R 1338年 不当对硬件过热保护
D 1341年 多个版本的相同的资源或处理
R 1351年 处理不当的硬件行为异常寒冷的环境
回到顶部
详细的差异报告
详细的差异报告
20. 不正确的输入验证
主要 的关系
没有一个
58 路径等效:Windows 8.3文件名
主要 没有一个
Research_Gaps
59 不当链接之前决议文件访问(“链接后”)
主要 Research_Gaps
没有一个
61年 UNIX符号链接(符号链接)
主要 Research_Gaps
没有一个
62年 UNIX硬链接
主要 Research_Gaps
没有一个
65年 Windows硬链接
主要 Research_Gaps
没有一个
74年 不当中和下游组件使用的特殊元素的输出(注射)
主要 Demonstrative_Examples, Related_Attack_Patterns
没有一个
78年 不当使用中和特殊元素在一个操作系统命令(OS命令注入)
主要 Demonstrative_Examples
没有一个
88年 不当中和一个命令的参数分隔符(“参数注入”)
主要 Applicable_Platforms、Demonstrative_Examples Observed_Examples,引用
没有一个
90年 不当使用中和特殊元素在LDAP查询(LDAP注入)
主要 Research_Gaps
没有一个
93年 中和不当CRLF序列(CRLF注入)
主要 Research_Gaps
没有一个
94年 不当控制生成的代码(代码注入)
主要 Research_Gaps
没有一个
95年 不当中和指令的动态评估代码(Eval注入)
主要 Research_Gaps
没有一个
98年 不当控制包括/需要声明在PHP程序的文件名(PHP远程文件包含)
主要 Research_Gaps
没有一个
107年 Struts:未使用的验证形式
主要 的关系
没有一个
110年 Struts:没有表单字段验证器
主要 的关系
没有一个
124年 缓冲区承销(缓冲区下溢)
主要 Research_Gaps
没有一个
125年 禁止入内的读
主要 Research_Gaps
没有一个
138年 不当中和特殊元素
主要 Related_Attack_Patterns
没有一个
191年 整数下溢(包装或概括)
主要 Research_Gaps
没有一个
193年 错误
主要 Research_Gaps
没有一个
250年 执行与不必要的特权
主要 Observed_Examples
没有一个
268年 特权链接
主要 Research_Gaps
没有一个
269年 权限管理不当
主要 的关系
没有一个
270年 特权上下文切换错误
主要 Related_Attack_Patterns
没有一个
276年 不正确的默认权限
主要 的关系
没有一个
285年 不适当的授权
主要 的关系
没有一个
295年 不适当的证书验证
主要 的关系
没有一个
296年 不当的证书链的信任
主要 的关系
没有一个
327年 使用损坏或危险的密码算法
主要 的关系
没有一个
329年 第四代可预测与CBC模式
主要 的关系
没有一个
346年 起源验证错误
主要 的关系
没有一个
349年 接受外来的不可信的数据和可信的数据
主要 的关系
没有一个
358年 不当实施安全检查标准
主要 的关系
没有一个
362年 使用共享资源与不当同步并发执行(“竞争条件”)
主要 Observed_Examples、人际关系
没有一个
364年 信号处理器竞态条件
主要 关系,Research_Gaps
没有一个
365年 弃用:竞争条件在开关
主要 Applicable_Platforms、Common_Consequences Demonstrative_Examples、描述Likelihood_of_Exploit,名字,Potential_Mitigations,引用关系,Taxonomy_Mappings Time_of_Introduction、类型
没有一个
366年 在一个线程竞争条件
主要 的关系
没有一个
367年 Time-of-check分时(TOCTOU)竞态条件
主要 Demonstrative_Examples、引用关系,Taxonomy_Mappings
没有一个
400年 不受控制的资源消耗
主要 Related_Attack_Patterns
没有一个
406年 控制的网络消息量不足(网络放大)
主要 的关系
没有一个
415年 双自由
主要 Demonstrative_Examples, Observed_Examples
没有一个
426年 不可信的搜索路径
主要 Research_Gaps
没有一个
427年 不受控制的搜索路径元素
主要 Demonstrative_Examples
没有一个
428年 非上市搜索路径或元素
主要 Research_Gaps
没有一个
429年 处理程序错误
主要 Research_Gaps
没有一个
434年 无限制上传文件与危险的类型
主要 Research_Gaps
没有一个
436年 解释的冲突
主要 Related_Attack_Patterns
没有一个
444年 不一致的解释HTTP请求(HTTP请求走私的)
主要 Related_Attack_Patterns
没有一个
451年 用户界面(UI)关键信息的误传
主要 的关系
没有一个
476年 空指针废弃
主要 Alternate_Terms
没有一个
506年 嵌入恶意代码
主要 的关系
没有一个
557年 并发问题
主要 的关系
没有一个
601年 URL重定向不可信的网站(“开放重定向”)
主要 的关系
没有一个
602年 客户端执行服务器端安全
主要 Research_Gaps
没有一个
610年 在另一个球体外部控制的参考资源
主要 的关系
没有一个
612年 索引包含敏感信息的不适当的授权
主要 没有一个
Research_Gaps
621年 变量提取错误
主要 Research_Gaps
没有一个
623年 不安全的ActiveX控件标记为安全的脚本
主要 Research_Gaps
没有一个
636年 不是不安全(不开放)
主要 的关系
没有一个
655年 足够的心理可接受性
主要 的关系
没有一个
668年 曝光资源错误的球体
主要 的关系
没有一个
669年 不正确的资源领域之间的转移
主要 的关系
没有一个
684年 不正确的提供指定的功能
主要 的关系
没有一个
697年 不正确的比较
主要 Related_Attack_Patterns
没有一个
703年 检查或不当处理异常情况
主要 的关系
没有一个
707年 不适当的中和
主要 Related_Attack_Patterns
没有一个
710年 不当坚持编码标准
主要 的关系
没有一个
754年 不适当的检查异常或异常情况
主要 的关系
没有一个
755年 异常情况的处理不当
主要 的关系
没有一个
776年 不当限制递归实体引用dtd (XML实体扩张)
主要 Related_Attack_Patterns
没有一个
788年 访问结束后的内存位置缓冲区
主要 描述
没有一个
807年 依赖不可信的输入在一个安全的决定
主要 的关系
没有一个
822年 不可信的指针
主要 Research_Gaps
没有一个
823年 超出范围的使用指针偏移量
主要 Research_Gaps
没有一个
824年 访问未初始化的指针
主要 Research_Gaps
没有一个
825年 过期的指针
主要 Research_Gaps
没有一个
828年 这不是Asynchronous-Safe信号处理器与功能
主要 Observed_Examples
没有一个
841年 不当行为的执行工作流
主要 Demonstrative_Examples
没有一个
843年 访问资源的使用不兼容的类型(类型混淆)
主要 Research_Gaps
没有一个
912年 隐藏功能
主要 的关系
没有一个
943年 不当中和特殊元素的数据查询逻辑
主要 Related_Attack_Patterns
没有一个
986年 SFP二级集群:失踪的锁
主要 的关系
没有一个
1059年 足够的技术文档
主要 Applicable_Platforms, Common_Consequences、描述、名称、Potential_Mitigations引用关系,Time_of_Introduction
没有一个
1104年 没有维护的第三方组件的使用
主要 引用关系
没有一个
1164年 不相关的代码
主要 的关系
没有一个
1191年 片上调试和测试接口与访问控制不当
主要 Related_Attack_Patterns
没有一个
1195年 制造和生命周期管理问题
主要 的关系
没有一个
1198年 权限分离和访问控制问题
主要 的关系
没有一个
1208年 横切问题
主要 的关系
没有一个
1222年 粒度不足解决地区注册保护锁
主要 Related_Attack_Patterns
没有一个
1224年 不当限制薄膜的一些字段
主要 Related_Attack_Patterns
没有一个
1225年 文档的问题
主要 描述
没有一个
1231年 预防不当锁一些修改
主要 Related_Attack_Patterns、人际关系
没有一个
1233年 丢失的安全敏感的硬件控制锁保护
主要 Related_Attack_Patterns、人际关系
没有一个
1234年 硬件锁的内部或调试模式允许覆盖
主要 Related_Attack_Patterns
没有一个
1242年 包含非法特性或鸡肉
主要 的关系
没有一个
1244年 内部资产暴露于不安全的访问级别调试或状态
主要 Related_Attack_Patterns
没有一个
1246年 写处理不当Limited-write非易失性记忆
主要 Applicable_Platforms
没有一个
1247年 不当保护电压和时钟故障
主要 Applicable_Platforms、人际关系
没有一个
1250年 保存不当的独立表示共享状态之间的一致性
主要 Applicable_Platforms
没有一个
1252年 CPU的硬件配置不支持写和执行操作的排他性
主要 Applicable_Platforms, Related_Attack_Patterns
没有一个
1256年 不当限制软件接口硬件的功能
主要 Applicable_Platforms
没有一个
1257年 不适当的访问控制应用到镜像或别名内存区域
主要 Applicable_Platforms, Related_Attack_Patterns
没有一个
1259年 不当限制安全令牌任务
主要 Applicable_Platforms, Related_Attack_Patterns
没有一个
1260年 处理不当的重叠范围受保护的内存
主要 Applicable_Platforms, Related_Attack_Patterns
没有一个
1261年 处理不当的单一事件
主要 的关系
没有一个
1262年 不当注册接口的访问控制
主要 Related_Attack_Patterns
没有一个
1267年 政策使用过时的编码
主要 Related_Attack_Patterns
没有一个
1268年 政策权限控制和数据代理之间的分配并不一致
主要 Related_Attack_Patterns
没有一个
1270年 一代的不正确的安全令牌
主要 Related_Attack_Patterns
没有一个
1274年 不当易失存储器包含引导代码的访问控制
主要 Related_Attack_Patterns
没有一个
1277年 固件没有可更新
主要 Detection_Factors、Observed_Examples Potential_Mitigations、人际关系
没有一个
1278年 缺少保护硬件逆向工程使用集成电路(IC)成像技术
主要 的关系
没有一个
1279年 密码操作之前运行支持单位是准备好了
主要 Applicable_Platforms
没有一个
1282年 Assumed-Immutable数据存储在可写内存
主要 Related_Attack_Patterns
没有一个
1283年 可变的认证或测量报告数据
主要 Related_Attack_Patterns
没有一个
1286年 不当语法正确性的验证输入
主要 Related_Attack_Patterns
没有一个
1290年 不正确的解码的安全标识符
主要 Applicable_Platforms
没有一个
1292年 不正确的安全标识符的转换
主要 Applicable_Platforms
没有一个
1294年 不安全的安全标识符机制
主要 Applicable_Platforms, Related_Attack_Patterns
没有一个
1296年 不正确的链接或者调试组件的粒度
主要 Applicable_Platforms, Related_Attack_Patterns
没有一个
1297年 保护机密信息被OSAT供应商设备访问
主要 Applicable_Platforms
没有一个
1299年 失踪的备用硬件接口的保护机制
主要 Applicable_Platforms、Common_Consequences Related_Attack_Patterns
没有一个
1302年 缺少安全标识符
主要 Related_Attack_Patterns
没有一个
1310年 缺失的补丁ROM代码的能力
主要 Applicable_Platforms、Common_Consequences Potential_Mitigations、人际关系
没有一个
1312年 失踪的芯片上的织物防火墙保护反映地区
主要 Related_Attack_Patterns
没有一个
1313年 硬件可以在运行时激活测试或调试逻辑
主要 Related_Attack_Patterns
没有一个
1314年 失踪的写保护参数数据值
主要 Applicable_Platforms
没有一个
1316年 Fabric-Address地图允许编程毫无根据的重叠的受保护的和不受保护的范围
主要 Applicable_Platforms, Related_Attack_Patterns
没有一个
1317年 缺少安全检查在织物桥
主要 Applicable_Platforms
没有一个
1318年 缺少支持安全特性在芯片上的面料或公共汽车
主要 Applicable_Platforms
没有一个
1319年 电磁防护不当故障注入(EM-FI)
主要 Applicable_Platforms
没有一个
1320年 保护不当的信号电平警报
主要 Applicable_Platforms
没有一个
1324年 被JTAG接口的物理探测敏感信息的访问
主要 Applicable_Platforms
没有一个
1326年 缺少信任在硬件不变的根
主要 Applicable_Platforms, Related_Attack_Patterns
没有一个
1328年 安全版本号可变的旧版本
主要 Applicable_Platforms
没有一个
1329年 依赖组件,它不是可更新
主要 Common_Consequences,描述、Detection_Factors Maintenance_Notes、Modes_of_Introduction Observed_Examples, Potential_Mitigations,引用关系,Time_of_Introduction Weakness_Ordinalities
没有一个
1330年 剩余内存删除后数据可读
主要 Applicable_Platforms
没有一个
1331年 隔离不当共享资源在网络芯片(NoC)
主要 Applicable_Platforms、引用
没有一个
1332年 处理不当的错误导致指令跳过
主要 Potential_Mitigations、引用关系
没有一个
1333年 低效的正则表达式的复杂性
主要 Observed_Examples, Potential_Mitigations
没有一个
1338年 不当对硬件过热保护
主要 Applicable_Platforms、人际关系
没有一个
1341年 多个版本的相同的资源或处理
主要 Demonstrative_Examples、描述Potential_Mitigations
没有一个
1351年 处理不当的硬件行为异常寒冷的环境
主要 的关系
引用
回到顶部
更多的信息是可用的,请选择一个不同的过滤器。
页面最后更新:2022年4月28日

使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页