普遍的弱点

描述信息：软件“容易受到XML外部实体处理（XXE）攻击的影响”。

替代条款：XXE是用于“ XML外部实体”一词的首字母缩写词

推理：描述说：“容易受到XML外部实体处理（XXE）攻击的影响。”还有其他信息侧重于技术影响，例如“攻击者可以做[X]”，这对于弱点很少有用，因此可以忽略。当您在CWE上对“ XML外部实体处理（XXE）攻击”和“ XXE”执行文本搜索时，它将返回CWE-611。单击条目时，您会看到该条目将XXE列为“替代条款”。因此，CWE-611是该CVE的正确映射。

CWE映射： CWE-611

描述信息：不当访问控制允许 - （应注意的是，“不当”意味着“丢失或不正确”）

替代条款：授权

推理：描述说“不当访问控制”。当您搜索CWE时，您会发现CWE-284是一场比赛，但这是一种非常高级的抽象类型的支柱。为了找到较窄的映射，您可以查看参考文献。在这种情况下，Excormium参考文献说“不执行授权检查”和“缺乏授权”。这突显了CVE描述是一般的，但是提供的参考文献包括更多详细信息。现在您知道该问题涉及“授权”，您可以查看CWE-285及其孩子。CWE -285是不当的授权，从CWE词汇表中表示“不正确”或“失踪” - 该CVE是关于“缺乏授权”的，即缺少授权。因此，如果您单击CWE-285，并在研究视图下查看其孩子-CWE-862：找到缺失的授权。现在，我们在CWE-862处，其低级儿童都没有更与Excormuim参考中所述的问题更紧密地保持一致，因此我们可以在这里停留。

从咨询中看，它还说：“缺乏[授权]很容易被利用，因为增量数字标识符……很容易列举所有潜在的现有标识符。”因此，这听起来类似于不安全的直接对象参考（idor）。关键字搜索产生CWE -639-授权绕过通过用户控制的密钥“在CVE中，该密钥用于识别文件。但是，为什么易于“枚举”这些键？因为“增量数字标识符” -是，我们可以预测标识符。对“可预测”的关键字搜索使我们进入CWE-340。

结果 - 我们结合了缺少授权和可预测标识符的使用，因此可以将CVE映射到CWE-340和CWE-862。

请注意，我们潜在的CWE映射如何改变了每个步骤，因为我们从其他参考文献中引入了更多细节，并且我们已经不得不知道什么是“ fidor” - 并推断出“增量ID”暗示的可预测性。

CWE映射：（链）CWE-862→CWE-340

描述信息：基于堆栈的缓冲区超阅读

替代条款：缓冲区超阅读

推理：描述说“基于堆栈的缓冲区过读”。这意味着：您可以在CWE站点上搜索整个字符串，并查看返回的内容，或将重点注意到“基于stack”和“基于堆栈”和“ Buffer OverRead”，并分析结果。请注意，“超级阅读”是这里的关键部分。搜索“基于堆栈的”，返回CWE-121，称为“基于堆栈的缓冲区溢出”。溢出意味着写作，这是不合适的。搜索“缓冲区读取”返回，CWE-126：Buffer Over-Read，这非常适合我们的情况。但是，该CVE被映射到CWE-125，这并不精确，但是它足够近，因为它是CWE-126的父母。这意味着，如果您使用的是View-1003，则会选择CWE-125，因为CWE-126不存在。请记住，该View-1003旨在随着需求的变化而演变，同时仍然对用户友好且易于消化。因此，它不能包含所有CWE。

CWE映射： CWE-126