目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-1241 类漏洞列表 6

CWE-1241 类弱点 6 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-1241 指在随机数生成器中使用可预测算法的漏洞。由于伪随机数生成器的状态有限,易产生重复模式,导致随机性受损。攻击者可利用此缺陷推测内部状态或预测输出,从而绕过身份验证或加密机制。开发者应避免使用此类算法,转而采用密码学安全的随机数生成器(CSPRNG),并确保种子源具备足够的熵,以保障系统安全性。

MITRE CWE 官方描述
CWE:CWE-1241 在随机数生成器中使用可预测的算法 英文:该设备使用了一种可预测的算法来生成伪随机数(Pseudo-random number)。 伪随机数生成器(Pseudo-random number generator, PRNG)算法之所以可预测,是因为其寄存器具有有限数量的可能状态,这些状态最终会导致重复模式的产生。因此,伪随机数生成器(PRNGs)可能会损害其随机性,或使其内部状态暴露于各种攻击之下,例如逆向工程(reverse engineering)或篡改(tampering)。
常见影响 (1)
ConfidentialityRead Application Data
缓解措施 (2)
Architecture and DesignIt is highly recommended to use a true random number generator (TRNG) to ensure the security of encryption schemes. Hardware-based TRNGs generate unpredictable, unbiased, and independent random numbers because they employ physical phenomena, e.g., electrical noise, as sources to generate random numbers.
ImplementationIt is highly recommended to use a true random number generator (TRNG) to ensure the security of encryption schemes. Hardware-based TRNGs generate unpredictable, unbiased, and independent random numbers because they employ physical phenomena, e.g., electrical noise, as sources to generate random numbers.
代码示例 (2)
Suppose a cryptographic function expects random value to be supplied for the crypto algorithm.
The example code is taken from the PRNG inside the buggy OpenPiton SoC of HACK@DAC'21 [REF-1370]. The SoC implements a pseudo-random number generator using a Linear Feedback Shift Register (LFSR).
reg in_sr, entropy16_valid; reg [15:0] entropy16; assign entropy16_o = entropy16; assign entropy16_valid_o = entropy16_valid; always @ (*) begin in_sr = ^ (poly_i [15:0] & entropy16 [15:0]); end
Bad · Verilog
CVE ID标题CVSS风险等级Published
CVE-2026-6420 Keylime TPM Quote非随机数硬编码绕过安全漏洞 — Red Hat Enterprise Linux 10 6.3 Medium2026-05-06
CVE-2025-13079 WordPress plugin Popup Builder – Create highly converting, mobile friendly marketing popups 安全漏洞 — Popup Builder – Create highly converting, mobile friendly marketing popups. 5.3 Medium2026-02-19
CVE-2025-32056 Bosch Infotainment ECU 安全漏洞 — Infotainment system ECU 4.0 Medium2026-01-22
CVE-2023-4695 PKP Web Application Library 安全漏洞 — pkp/pkp-lib 7.5 -2023-09-01
CVE-2021-3692 yii2 安全特征问题漏洞 — yiisoft/yii2--2021-08-10
CVE-2021-3689 yii2 安全特征问题漏洞 — yiisoft/yii2--2021-08-10

CWE-1241 是常见的弱点类别,本平台收录该类弱点关联的 6 条 CVE 漏洞。