目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1325

100%
请我们喝杯咖啡

CWE-180 不正确的行为次序:规范化之前验证 类漏洞列表 12

CWE-180 不正确的行为次序:规范化之前验证 类弱点 12 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-180属于输入验证顺序错误漏洞。攻击者通过构造特殊输入,利用系统在规范化前进行验证的缺陷,使数据在规范化后变为非法从而绕过检查,进而实施注入等攻击。开发者应遵循“先规范化,后验证”的原则,确保在统一数据格式后再执行合法性校验,以消除此类绕过风险,保障系统安全。

MITRE CWE 官方描述
CWE:CWE-180 错误的行为顺序:在规范化(Canonicalize)之前进行验证(Validate) 产品在输入被规范化(Canonicalize)之前对其进行验证(Validate),这导致产品无法检测到在规范化(Canonicalize)步骤之后变为无效的数据。 攻击者可以利用此问题绕过验证(Validate),并发起攻击以暴露原本会被防止的弱点,例如注入(Injection)。
常见影响 (1)
Access ControlBypass Protection Mechanism
缓解措施 (1)
ImplementationInputs should be decoded and canonicalized to the application's current internal representation before being validated (CWE-180). Make sure that the application does not decode the same input twice (CWE-174). Such errors could be used to bypass allowlist validation schemes by introducing dangerous inputs after they have been checked.
代码示例 (1)
The following code attempts to validate a given input path by checking it against an allowlist and then return the canonical path. In this specific case, the path is considered valid if it starts with the string "/safe_dir/".
String path = getInputPath(); if (path.startsWith("/safe_dir/")) { File f = new File(path); return f.getCanonicalPath(); }
Bad · Java
String path = getInputPath(); File f = new File(path); if (f.getCanonicalPath().startsWith("/safe_dir/")) { return f.getCanonicalPath(); }
Good · Java
CVE ID标题CVSS风险等级Published
CVE-2026-42462 Fedify 安全漏洞 — fedify 7.0 High2026-06-10
CVE-2026-45022 go-git 数据伪造问题漏洞 — go-git--2026-05-27
CVE-2026-39409 Hono 安全漏洞 — hono 9.1AICriticalAI2026-04-08
CVE-2026-39364 Vite 访问控制错误漏洞 — vite 7.5 -2026-04-07
CVE-2026-34786 Rack 安全漏洞 — rack 5.3 Medium2026-04-02
CVE-2026-34475 Varnish Cache 安全漏洞 — Varnish Cache 5.4 Medium2026-03-27
CVE-2026-24895 FrankenPHP 安全漏洞 — frankenphp 8.2AIHighAI2026-02-12
CVE-2025-33194 NVIDIA DGX Spark 安全漏洞 — DGX Spark 5.7 Medium2025-11-25
CVE-2025-43716 Ivanti LANDesk Management Gateway 安全漏洞 — LANDesk Management Suite 5.8 Medium2025-04-23
CVE-2024-28607 IP Util Functions Library 安全漏洞 — IP-Utils 2.9 Low2025-03-11
CVE-2022-26137 Atlassian Crowd和Atlassian Jira 访问控制错误漏洞 — Bamboo Server 8.8 -2022-07-20
CVE-2022-26136 Atlassian Crowd和Atlassian Jira 授权问题漏洞 — Bamboo Server 8.8 -2022-07-20

CWE-180(不正确的行为次序:规范化之前验证) 是常见的弱点类别,本平台收录该类弱点关联的 12 条 CVE 漏洞。