目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-1254 类漏洞列表 2

CWE-1254 类弱点 2 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-1254 属于比较逻辑粒度不当漏洞,指产品在多步骤中逐步执行比较而非一次性完成。攻击者常利用此缺陷通过时序分析推测敏感数据,如密码或消息摘要,从而实施时序攻击并窃取信息。开发者应避免分步比较,改用恒定时间比较算法处理字符串或对象,确保无论输入如何,比较耗时保持一致,从而消除时序侧信道泄露风险。

MITRE CWE 官方描述
CWE:CWE-1254 比较逻辑粒度不正确 英文:产品的比较逻辑是分步骤执行的,而不是一次性对整个字符串进行比较。如果在这些步骤中的某一步发生比较逻辑失败,该操作可能容易受到时序攻击(timing attack),从而导致该过程被恶意拦截。 比较逻辑(comparison logic)用于比较各种对象,包括密码(passwords)、消息认证码(Message Authentication Codes, MACs)以及验证挑战(verification challenges)的响应。当比较逻辑以较细的粒度实现(例如逐字节比较)并在比较失败时中断时,攻击者可以利用此实现来精确识别失败发生的时间点。通过多次尝试,攻击者可能能够猜测出正确的密码/挑战响应,从而提升其权限。
常见影响 (1)
Confidentiality, AuthorizationBypass Protection Mechanism
缓解措施 (1)
ImplementationThe hardware designer should ensure that comparison logic is implemented so as to compare in one operation instead in smaller chunks.
CVE ID标题CVSS风险等级Published
CVE-2026-27007 OpenClaw 安全漏洞 — openclaw 7.1 -2026-02-19
CVE-2013-10031 Plack::Middleware::Session 安全漏洞 — Plack::Middleware::Session 7.5AIHighAI2025-12-09

CWE-1254 是常见的弱点类别,本平台收录该类弱点关联的 2 条 CVE 漏洞。