CWE-1329 类漏洞列表 3

CWE：CWE-1329 依赖不可更新的组件 (Reliance on Component That is Not Updateable) 英文：该产品包含一个无法通过更新或修补来移除漏洞或重大缺陷的组件。 如果该组件被发现存在漏洞或关键缺陷，但无法通过更新或修补来修复该问题，那么产品所有者将无法针对该问题进行防护。唯一的选项可能是更换产品，但这对于产品所有者来说可能在财务或运营上过于昂贵。因此，无法修补或更新可能导致产品易受攻击者利用或出现关键性操作故障。在使用 ROM、固件或类似传统上具有有限或无更新能力的组件时，这种弱点尤其难以管理。在医疗保健等行业中，“遗留”设备可以运行数十年。正如美国一个特别工作组报告 [REF-1197] 所指出的，“无法更新或替换设备使得大型和小型医疗保健交付组织都难以应对大量无法轻易替换（硬件、软件和操作系统）且存在大量漏洞且缺乏现代对策的遗留系统。”虽然硬件容易出现这种弱点，但软件系统也会受到影响，例如当第三方驱动程序或库不再积极维护或支持，但对于所需功能仍然至关重要时。