目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-1240 类漏洞列表 15

CWE-1240 类弱点 15 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-1240指使用存在风险实现的密码原语,属于实现缺陷类漏洞。攻击者常利用非标准、未经证实或违规的加密算法,通过侧信道分析、已知弱点或实现错误来破解数据或伪造签名,从而窃取敏感信息或绕过身份验证。开发者应避免自行实现加密逻辑,严格选用经过行业验证的标准库和算法,确保符合合规要求,并定期审查代码以消除不安全的加密实践。

MITRE CWE 官方描述
CWE:CWE-1240 使用具有风险实现的密码原语 英文:为了满足对密码原语(Cryptographic Primitive)的需求,产品使用非标准、未经证实或被禁止/不合规的密码实现来实施密码算法。 密码协议和系统依赖密码原语(以及相关的算法)作为其基本构建模块。一些常见的原语示例包括数字签名、单向哈希函数、密码和公钥密码学;然而,“原语”的概念可能因视角不同而有所变化。有关某些概念的进一步解释,请参阅“术语说明”。密码原语被定义为以精确定义且数学上可靠的方式完成一项非常具体的任务。例如,假设对于特定的密码原语(如加密例程),共识是只有在尝试了 N 个不同的输入后,该原语才能被破解(其中 N 的值越大,密码强度越高)。对于像 AES-256 这样的加密方案,人们会期望 N 的值大到在合理时间内执行是不可行的。如果发现任何漏洞表明可以在远少于预期尝试次数的情况下破解密码原语,则该原语被认为被削弱(有时在极端情况下,通俗地说就是“被破解”)。因此,任何使用此密码原语的东西现在都被认为是不安全或有风险的。因此,即使破解或削弱看似微小的密码原语,也可能因其对原语的依赖而使整个系统变得脆弱。TLS 中使用 DES 的历史示例可以找到这一点。人们通常将 DES 称为该版本 TLS 中传输加密的密码原语。过去,DES 被认为很强,因为没有发现其中的弱点;重要的是,DES 的密钥长度为 56 位。尝试 N=2^56 个密钥被认为对大多数行为者来说是不切实际的。不幸的是,通过暴力攻击具有 56 位密钥的系统现在变得可行,这使得击败 DES 加密变得可行。对手现在可以读取在此版本 TLS 下发送的任何信息,并利用这些信息攻击系统。因此,可以说这种 TLS 的使用是脆弱的,任何依赖带有 DES 的 TLS 的系统都可能使整个系统容易受到攻击。密码原语及其相关算法只有在经过学术界、工业界和政府机构的经验丰富的密码学家进行广泛研究和审查,以查找任何可能的缺陷后,才被认为是安全的。此外,当发现新的数学和攻击技术时,密码原语及其相关算法会经常重新评估其安全性。因此,随着时间的推移,即使众所周知的密码原语也可能因发现可能击败算法或降低其安全性的新颖攻击而失去其合规状态。
常见影响 (1)
ConfidentialityRead Application Data
Incorrect usage of crypto primitives could render the supposedly encrypted data as unencrypted plaintext in the worst case.
缓解措施 (5)
RequirementsRequire compliance with the strongest-available recommendations from trusted parties, and require that compliance must be kept up-to-date, since recommendations evolve over time. For example, US government systems require FIPS 140-3 certification, which supersedes FIPS 140-2 [REF-1192] [REF-267].
Effectiveness: High
Architecture and DesignEnsure that the architecture/design uses the strongest-available primitives and algorithms from trusted parties. For example, US government systems require FIPS 140-3 certification, which supersedes FIPS 140-2 [REF-1192] [REF-267].
Effectiveness: High
Architecture and DesignDo not develop custom or private cryptographic algorithms. They will likely be exposed to attacks that are well-understood by cryptographers. As with all cryptographic mechanisms, the source code should be available for analysis. If the algorithm may be compromised when attackers find out how it works, then it is especially weak.
Effectiveness: Discouraged Common Practice
Architecture and DesignTry not to use cryptographic algorithms in novel ways or with new modes of operation even when you "know" it is secure. For example, using SHA-2 chaining to create a 1-time pad for encryption might sound like a good idea, but one should not do this.
Effectiveness: Discouraged Common Practice
Architecture and DesignEnsure that the design can replace one cryptographic primitive or algorithm with another in the next generation ("cryptographic agility"). Where possible, use wrappers to make the interfaces uniform. This will make it easier to upgrade to stronger algorithms. This is especially important for hardware, which can be more difficult to upgrade quickly than software; design the hardware at a replaceabl…
Effectiveness: Defense in Depth
代码示例 (1)
Re-using random values may compromise security.
Suppose an Encryption algorithm needs a random value for a key. Instead of using a DRNG (Deterministic Random Number Generator), the designer uses a linear-feedback shift register (LFSR) to generate the value.
Bad · Other
If a cryptographic algorithm expects a random number as its input, provide one. Do not provide a pseudo-random value.
Good · Other
CVE ID标题CVSS风险等级Published
CVE-2025-64647 IBM Concert 安全漏洞 — Concert 5.9 Medium2026-03-25
CVE-2026-27017 uTLS 安全漏洞 — utls 9.1 -2026-02-20
CVE-2026-22705 RustCrypto: Signatures 安全漏洞 — signatures 6.4 Medium2026-01-10
CVE-2025-14505 Elliptic 安全漏洞 — Elliptic 5.6 Medium2026-01-08
CVE-2025-53960 Apache StreamPark 安全漏洞 — Apache StreamPark 7.5AIHighAI2025-12-12
CVE-2025-46424 Dell CloudLink 安全漏洞 — CloudLink 6.7 Medium2025-11-05
CVE-2025-58720 Microsoft Windows Cryptographic Services 安全漏洞 — Windows 10 Version 1809 7.8 High2025-10-14
CVE-2025-29808 Microsoft Windows Cryptographic Services 安全漏洞 — Windows Server 2022 5.5 Medium2025-04-08
CVE-2025-29779 Post-Quantum Secure Feldman Verifiable Secret Sharing 安全漏洞 — PostQuantum-Feldman-VSS 9.8 -2025-03-14
CVE-2025-22475 Dell PowerProtect Data Domain 安全漏洞 — PowerProtect DD 3.7 Low2025-02-04
CVE-2025-24802 Plonky2 安全漏洞 — plonky2 8.6 High2025-01-30
CVE-2024-37137 Dell Key Trust Platform 安全漏洞 — CloudLink 3.8 Low2024-06-28
CVE-2023-51392 Silicon Labs EmberZNet 安全漏洞 — Ember ZNet SDK 6.2 Medium2024-02-23
CVE-2024-0220 B&R Industrial Automation Studio 安全漏洞 — Automation Studio 8.3 High2024-02-22
CVE-2024-0323 B&R Industrial Automation GmbH Runtime 加密问题漏洞 — Automation Runtime 9.8 Critical2024-02-05

CWE-1240 是常见的弱点类别,本平台收录该类弱点关联的 15 条 CVE 漏洞。