- 综合排序
- 最热优先
- 最新优先
- 来自专栏IT杂症
CWE是什么
什么是CWE:Common Weakness Enumeration 中文翻译就是通用缺陷枚举 http://cwe.mitre.org/ 另外一个是CVE:Common Vulnerabilities
1.1K10发布于 2021-11-08 - 来自专栏网络安全技术点滴分享
Weblate 输入验证漏洞分析:CVE-2025-67492与CWE-1286详解
CVE-2025-67492: CWE-1286:WeblateOrg weblate 中对输入语法正确性验证不当严重性:中等类型:漏洞漏洞概述CVE-2025-67492是Weblate 5.15之前版本中存在的一个中等严重性漏洞 问题源于对webhook负载语法正确性(CWE-1286)的验证不当,这允许攻击者制作恶意webhook请求,触发Weblate管理的多个仓库的更新。此行为出现在5.15之前的版本中。
17710编辑于 2025-12-20 - 来自专栏FreeBuf
MITRE组织公布了2022年CWE最危险的25个软件弱点
首先榜单上最大的变动是: CWE-362(使用共享资源的并发执行与不当的同步(“竞争条件”))从第33位上升到第22位; CWE-94(“代码注入”)从第28位上升到第25位; CWE-400(不受控制的资源消耗 )从第27位上升到第23位; CWE-77 (“命令注入”)从第25位上升到第17位; CWE-476(空指针间接引用)则从第15位上升到第11位。 而下降幅度最大的是: CWE-306(关键功能认证缺失)从第11位降低到第18位; CWE-200 (将敏感信息暴露给未经授权的行为者)从第20位降低到第33位; CWE-522(凭证保护不足)从第21 有三条新进入到前25名的条目,它们是: CWE-362 (使用共享资源的并发执行与不当的同步(“竞争条件”))从第33位升至第22位: CWE-94 (“代码注入”)从第28名上升至第25名 CWE-400 (不受控制的资源消耗)则是从第27名上升到第23名 相对的也有三条条目跌出前25名,它们是: CWE-200(将敏感信息暴露给未经授权的行为者)从第20位降至第33位; CWE-522 (凭证保护不足
53030编辑于 2023-03-30 - 来自专栏FreeBuf
2021年CWE Top 25列表已更新,来看看得分最高的漏洞有哪些
近日,MITRE发布了2021年最常见且最危险的25个软件漏洞(CWE Top 25)。 2021年CWE Top 25 MITRE使用从国家漏洞数据库 (NVD) 获得的 2019 年和 2020 年常见漏洞和暴露 (CVE) 数据(大约27,000个CVE)制定出了2021年CWE Top 此外,评分公式还会计算将CWE映射到NVD中的CVE的次数从而确定出CWE的频率。” MITRE发布的2021年CWE Top 25无疑是十分危险的,因为它们通常影响范围极广,且普遍存在于过去两年发布的软件之中。 下表为2021年CWE Top 25中的漏洞,包括每个漏洞的总体得分,为整个安全社区提供了有关软件漏洞最关键的洞察力: 2021年CWE Top 25(漏洞总体得分) Top 10最常被利用的利用 去年
1.4K20发布于 2021-08-24 - 来自专栏tea9的博客
Codeql在windows上配置及使用
/CWE-022/ZipSlip.ql 2、命令注入 https://github.com/github/codeql/blob/main/java/ql/src/Security/CWE/CWE- https://github.com/github/codeql/blob/main/java/ql/src/Security/CWE/CWE-614/InsecureCookie.ql 4、XSS https://github.com/github/codeql/blob/main/java/ql/src/Security/CWE/CWE-079/XSS.ql 5、依赖漏洞 https:/ https://github.com/github/codeql/blob/main/java/ql/src/Security/CWE/CWE-113/ResponseSplitting.ql 8 、url跳转 https://github.com/github/codeql/blob/main/java/ql/src/Security/CWE/CWE-601/UrlRedirect.ql 9
2.2K30编辑于 2023-02-28 - 来自专栏FreeBuf
BinAbsInspector:一款针对二进制代码的漏洞扫描和逆向分析工具
已实现的检测器 当前版本的BinAbsInspector已经实现了下列检测器: CWE78(操作系统命令注入) CWE119(缓冲区溢出(常见案例)) CWE125(缓冲区溢出(带外数据读取)) CWE134 (使用外部控制的格式字符串) CWE190(整型溢出) CWE367(TOCTOU) CWE415(双重释放) CWE416(释放后重用) CWE426(不受信任的搜索路径) CWE467(对指针类型使用 sizeof()) CWE476(空指针解引用) CWE676(使用潜在的危险函数) CWE787(缓冲区溢出(带外数据写入)) 项目架构 该项目的文件及目录架构如下所示: ,并找到“BinAbsInspector.java”; 4、双击“BinAbsInspector.java”,在配置窗口中设置参数,并点击“OK”; 5、分析完成后,我们将能够在终端窗口中查看到导出的CWE
3.5K10编辑于 2023-04-26 - 来自专栏网络安全技术点滴分享
Bandit Python代码审计漏洞检测工具实战
KT' Severity: Low Confidence: Medium CWE: CWE-259 (https://cwe.mitre.org/data/definitions/259 Severity: Medium Confidence: Low CWE: CWE-89 (https://cwe.mitre.org/data/definitions/89.html) Severity: Low Confidence: High CWE: CWE-330 (https://cwe.mitre.org/data/definitions/330.html) Severity: Low Confidence: High CWE: CWE-330 (https://cwe.mitre.org/data/definitions/330.html) Severity: Medium Confidence: High CWE: CWE-20 (https://cwe.mitre.org/data/definitions/20.html)
84310编辑于 2025-06-16 - 来自专栏FreeBuf
通过数据分析看Rust能否在安全上完虐C、C++
and Exposures)库中获取,可以大致看出每一类CWE在软件开发中出现的比例。 言归正传,我们先来先看CWE的数据,截止到目前CWE List V4.4中共收录了941个缺陷,特定语言相关占比如下: ? C/C++相关CWE关联的漏洞数量分布(取前十): ? 上图中对应的CWE ID的内容和在全154102个漏洞集中的占比,如下表: 排序 CWE ID CWE概述 CWE解释 全漏洞集占比 C/C++特有漏洞集占比 1 119 Improper Restriction 可以看到除了CWE-908和CWE-763由于与语言无关而未统计到数据外,在内存相关缺陷中Rust项目中发现的缺陷数量的排序与C/C++统计得到的缺陷排序完全一致。
1.6K30发布于 2021-07-02 - 来自专栏FreeBuf
Bearer:一款功能强大的代码安全扫描工具(SAST)
[CWE-312] https://docs.bearer.com/reference/rules/javascript_lang_session To skip this rule, use the ==================================== WARNING: 0 59 checks, 40 findings CRITICAL: 0 HIGH: 16 (CWE -22, CWE-312, CWE-798, CWE-89) MEDIUM: 24 (CWE-327, CWE-548, CWE-79) LOW: 0 (向右滑动,查看更多) 工具使用样例
1.4K20编辑于 2023-08-08 - 来自专栏玩转全栈
GitHub Copilot 生成代码有安全漏洞
这些安全漏洞多样,涵盖42种不同的弱点枚举(CWE),其中OS命令注入、随机值不足和异常条件不当处理最为频繁。此外,其中11个CWE属于2022年CWE前25位。 识别出的安全漏洞涉及42种CWE(Common Weakness Enumeration)类型,表明Copilot生成的代码可能引入各种各样的安全风险。 最常见的安全漏洞类型是CWE-78命令注入、CWE-330随机数不足、CWE-703异常条件处理不当等。图片3. 识别出的42种CWE中,有11种属于MITRE公布的2022年CWE Top 25最危险漏洞类型,包括命令注入、反序列化、资源耗尽等,说明Copilot生成的代码中也存在这些公认的高危漏洞类型。
1.2K40编辑于 2023-10-05 - 来自专栏DevOps持续集成
SonarQube实践-规则自动翻译
/data/definitions/571">MITRE, CWE-571 - Expression is Always True
- MITRE, CWE-570 - Expression is Always False
- MITRE, CWE-571 - Expression is Always True
- MITRE, CWE-570 - Expression is Always False
- MITRE, CWE-571 - Expression is Always True
- <a href="http://<em>cwe</em>.mitre.org
3.5K40发布于 2019-10-18 - 来自专栏网络安全技术点滴分享
Intel Wi-Fi驱动曝权限提升漏洞,源于边界检查缺失
链接资源https://corp.mediatek.com/product-security-bulletin/February-2026联发科产品安全公告(2026年2月)常见弱点枚举 (CWE)CVE 识别特定的漏洞实例,而 CWE 则对可能导致漏洞的常见缺陷或弱点进行分类。 CVE-2026-20407 与以下 CWE 相关联:CWE-787: 越界写入常见攻击模式枚举与分类 (CAPEC)CAPEC 存储了攻击模式,这些模式描述了攻击者利用 CVE-2026-20407 2026年2月2日新增CWE:CWE-7872026年2月2日新增参考链接:https://corp.mediatek.com/product-security-bulletin/February-2026FINISHEDLQuBhaqoQIY4rPtQA72Cjg7QBqM4uFgolxdjEx1zlRj9C0xsiluBOUwsf
13710编辑于 2026-02-26 - 来自专栏FreeBuf
如何使用CVE-Collector快速收集最新的CVE漏洞信息
-2023-44832 / CVSS: 7.5 (HIGH) - Published: 2023-10-05 16:15:12 - Updated: 2023-10-07 03:15:47 - CWE -2023-44831 / CVSS: 7.5 (HIGH) - Published: 2023-10-05 16:15:12 - Updated: 2023-10-07 03:16:56 - CWE 24:21.496744|0d239fa87be656389c035db1c3f5ec6ca3ec7448|CVE-2023-45613|2023-10-09 11:15:11|6.8|MEDIUM|CWE 09:24:27.073851|30ebff007cca946a16e5140adef5a9d5db11eee8|CVE-2023-45612|2023-10-09 11:15:11|8.6|HIGH|CWE 24:38.369632|39f98184087b8998547bba41c0ccf2f3ad61f527|CVE-2023-45248|2023-10-09 12:15:10|6.6|MEDIUM|CWE
1.6K11编辑于 2024-01-04 - 来自专栏网络安全技术点滴分享
Aruba无线网络堆缓冲区溢出漏洞(CVE-2026-20408)权限提升分析
应用供应商提供的相关补丁更新无线驱动程序修复越界写入问题参考资源URL资源描述https://corp.mediatek.com/product-security-bulletin/February-2026联发科产品安全公告CWE 关联该漏洞与以下通用弱点枚举(CWE)相关联:CWE-122: 基于堆的缓冲区溢出CAPEC关联常见攻击模式枚举与分类(CAPEC)中相关攻击模式:CAPEC-92: 强制整数溢出漏洞时间线日期事件操作类型旧值新值 2026年2月2日收到新的CVE报告添加描述-在wlan中,存在由于堆缓冲区溢出导致的越界写入可能性...2026年2月2日CWE关联添加CWE-CWE-1222026年2月2日参考链接添加参考-https
38710编辑于 2026-02-03 WordPress用户注册与会员插件跨站脚本漏洞深度解析
CVE-2025-13367:CWE-79 网页生成期间输入中和不当(跨站脚本)漏洞 - 涉及wpeverest用户注册与会员插件严重性: 中等类型: 漏洞CVE编号: CVE-2025-13367WordPress -89 SQL命令中使用的特殊元素中和不当(SQL注入)漏洞 - 涉及wpdevelop Booking Calendar - 高危 - 2025年12月15日 星期一CVE-2025-14156: CWE -20 输入验证不当漏洞 - 涉及ays-pro Fox LMS – WordPress LMS插件 - 严重 - 2025年12月15日 星期一CVE-2025-14003: CWE-862 授权缺失漏洞 - 涉及wpchill图片画廊 – 照片网格和视频画廊 - 中等 - 2025年12月15日 星期一CVE-2025-13950: CWE-862 授权缺失漏洞 - 涉及onesignal OneSignal – 网页推送通知 - 中等 - 2025年12月15日 星期一CVE-2025-13728: CWE-79 网页生成期间输入中和不当(跨站脚本)漏洞 - 涉及techjewel FluentAuth
20510编辑于 2025-12-18- 来自专栏FreeBuf
如何使用route-detect在Web应用程序路由中扫描身份认证和授权漏洞
API Top 10 #1 - 对象级别授权中断 2023 OWASP API Top 10 #2 - 身份验证失效 2023 OWASP API Top 10 #5 - 功能级别授权中断 2023 CWE Top 25 #11 - CWE-862: 缺少授权 2023 CWE Top 25 #13 - CWE-287: 不正确的身份验证 2023 CWE Top 25 #20 - CWE-306: 关键功能缺少身份验证 2023 CWE Top 25 #24 - CWE-863: 不正确的授权 支持的Web框架 当前版本的route-detect支持下列Web框架: Python: Django (django, django-rest-framework
95810编辑于 2024-04-01 - 来自专栏潇湘信安
2023年CVE数据回顾
CWE CWE 是社区开发的软件和硬件弱点类型列表。它是一种通用语言,是安全工具的衡量标准,也是弱点识别、缓解和预防工作的基线。 https://cwe.mitre.org/ 今年共有 1,332 个 CWE,其中 237 个被分配到 CVE。 CWE-79 是分配次数最多的 CWE,被分配了 4,474 次,占所有 CVE 的 15.48% 。NVD 未分配 CWE 的次数为 4,113 次,占所有 CVE 的 14.23% 。 https://cwe.mitre.org/data/index.html https://cwe.mitre.org/data/definitions/79.html Notes 2,112 个
79910编辑于 2024-01-11 D-Link DAP-1325 关键功能身份验证缺失漏洞 (CVE-2023-53896) 技术分析
相关威胁CVE-2023-5997: Google Chrome 中的释放后使用漏洞CVE-2023-4804: Johnson Controls Quantum HD Unity 压缩机中存在调试代码 (CWE -489)CVE-2023-4699: 三菱电机 MELSEC-F 系列 FX3U-16MT/ES 关键功能身份验证缺失 (CWE-306)CVE-2023-4474: Zyxel NAS326 固件中 OS 命令注入漏洞 (CWE-78)CVE-2023-4473: Zyxel NAS326 固件中 OS 命令注入漏洞 (CWE-78)操作与资源AI 分析: 请登录控制台以使用 AI 分析功能。
22310编辑于 2025-12-17- 来自专栏新智元
40%高风险漏洞,开源代码成了garbage in!GitHub Copilot生成的代码不可靠
了解如何使用Copilot后,需要定义问题:如果一段代码包含了CWE中展示的特点,那么这段代码就是有漏洞的(vulnerable)。 的术语中是CWE-89(SQL注入)。 随后研究人员通过引导Copilot生成2021 CWE Top 25 相关的漏洞进行实验。 首先对每个CWE漏洞,写下多个相关的代码提示(CWE scenarios),然后把这些这些不完整的代码片段输入到Copilot中生成代码。 在这一步中,CodeQL被配置为只检查特定CWE,并且不评估正确性,只评估漏洞。 第6步中输出评估结果。 论文中对25个CWE漏洞都有详细的实验描述,感兴趣的小伙伴可以戳原文。
94830发布于 2021-09-17 - 来自专栏404 Not F0und
CVE-Flow:1999-2020年CVE数据分析
其中CWE可以理解为漏洞类型,也是由MITRE提出的标准,CPE是标记漏洞影响产品的类型,是系统还是应用或是硬件,impact包括CVSS V2和CVSS V3两个版本通用漏洞评分系统。 从漏洞类型的视角,计算出1999-2020年CVE的有效CWE id Top10,分别代表:XSS、缓冲区溢出、不正确的输入验证、敏感信息泄露、SQL注入、权限和访问控制、目录遍历、资源管理错误、CSRF 考虑到CWE是在2006年被提出的,所以我们选取2006年以来的数据,取每年top3漏洞类型的并集,分别为:CWE-200、CWE-79、CWE-20、CWE-119、CWE-264、CWE-89、CWE 除CWE94即代码注入外,其余均在1999-2020年总数据的top10内。 可以看到,漏洞类型随时间的变化,有升有降。这里直接给出几点分析结论。 权限和访问控制漏洞越来越少,我验证了好几遍数据,2020年至今未出现一例包含CWE-264的CVE。
1.1K40编辑于 2022-10-31
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号