目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-242 使用内在危险函数 类漏洞列表 9

CWE-242 使用内在危险函数 类弱点 9 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-242指使用本质上危险函数的漏洞,此类函数因设计缺陷无法保证安全,如缺乏边界检查的gets()。攻击者通过发送超长输入触发缓冲区溢出,从而执行恶意代码或导致系统崩溃。开发者应避免使用此类函数,改用具备边界检查的安全替代方案,如fgets(),并严格验证输入长度,以消除潜在的安全风险。

MITRE CWE 官方描述
CWE:CWE-242 使用本质上危险的功能 (Use of Inherently Dangerous Function) 英文:该产品调用的函数无法保证安全运行。 某些函数无论以何种方式使用,其行为都具有危险性。此类函数在实现时往往未考虑安全性问题。gets() 函数是不安全的,因为它不对输入的大小执行边界检查 (bounds checking)。攻击者可以轻松地向 gets() 发送任意大小的输入,从而导致目标缓冲区溢出 (buffer overflow)。类似地,当读取到静态分配的字符数组时,>> 运算符的使用是不安全的,因为它不对输入的大小执行边界检查。攻击者可以轻松地向 >> 运算符发送任意大小的输入,从而导致目标缓冲区溢出。
常见影响 (1)
OtherVaries by Context
缓解措施 (2)
Build and Compilation, ImplementationIdentify a list of prohibited API functions and prohibit developers from using these functions, providing safer alternatives. In some cases, automatic code analysis tools or the compiler can be instructed to spot use of prohibited functions, such as the "banned.h" include file from Microsoft's SDL. [REF-554] [REF-1009] [REF-7]
TestingUse grep or static analysis tools to spot usage of dangerous functions.
代码示例 (2)
The code below calls gets() to read information into a buffer.
char buf[BUFSIZE]; gets(buf);
Bad · C
The code below calls the gets() function to read in data from the command line.
char buf[24]; printf("Please enter your name and press <Enter>\n"); gets(buf); ... }
Bad · C
CVE ID标题CVSS风险等级Published
CVE-2025-1994 IBM Cognos Command Center 安全漏洞 — Cognos Command Center 7.8 High2025-08-26
CVE-2025-49215 Trend Micro Endpoint Encryption PolicyServer 安全漏洞 — Trend Micro Endpoint Encryption Policy Server 8.8 High2025-06-17
CVE-2025-1331 IBM CICS TX Standard 安全漏洞 — CICS TX Standard 7.8 High2025-05-08
CVE-2024-52324 Ruijie Networks ReyeeOS 安全漏洞 — Reyee OS 9.8 Critical2024-12-06
CVE-2021-40698 Adobe ColdFusion 访问控制错误漏洞 — ColdFusion 7.4 High2023-09-07
CVE-2022-36310 Airspan AirVelocity 1500 安全漏洞 — AirVelocity 8.8 -2022-08-16
CVE-2021-42543 AzeoTech DAQFactory 输入验证错误漏洞 — DAQFactory 7.8 High2021-11-05
CVE-2017-1002157 modulemd 输入验证错误漏洞 — modulemd 9.8 -2019-01-10
CVE-2017-0904 private_address_check ruby gem 安全漏洞 — private_address_check ruby gem 8.1 -2017-11-13

CWE-242(使用内在危险函数) 是常见的弱点类别,本平台收录该类弱点关联的 9 条 CVE 漏洞。