目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-1046 使用字符串连接创建不可变文本 类漏洞列表 1

CWE-1046 使用字符串连接创建不可变文本 类弱点 1 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-1046 属于性能漏洞,指在循环中使用字符串拼接操作符创建不可变文本。攻击者通常利用此缺陷通过构造大量迭代触发资源耗尽,导致服务拒绝或系统响应迟缓。开发者应避免在循环中使用拼接,转而采用 StringBuilder 或 StringBuffer 等可变文本缓冲区类,以复用内存对象,显著提升执行效率并防止资源浪费。

MITRE CWE 官方描述
CWE:CWE-1046 使用字符串拼接创建不可变文本 产品使用字符串拼接操作创建不可变文本字符串。 当通过循环特性(例如 FOR 或 WHILE 循环)构建字符串时,使用 += 追加到现有字符串会在每次迭代中创建一个新对象,与使用文本缓冲区数据元素相比,这种方法效率较低。
常见影响 (1)
OtherReduce Performance
This issue can make the product perform more slowly. If the relevant code is reachable by an attacker, then this could be influenced to create performance problem.
CVE ID标题CVSS风险等级Published
CVE-2026-23955 everest-core 安全漏洞 — everest-core 4.2 Medium2026-01-21

CWE-1046(使用字符串连接创建不可变文本) 是常见的弱点类别,本平台收录该类弱点关联的 1 条 CVE 漏洞。