目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-278 不安全的预留继承权限 类漏洞列表 4

CWE-278 不安全的预留继承权限 类弱点 4 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-278 属于权限配置不当漏洞,指程序在复制文件或从归档解压时,未重置而直接继承了源对象的不安全权限,且未告知用户。攻击者可利用此缺陷,通过上传包含恶意权限的归档文件,使目标系统自动赋予其高权限,从而绕过访问控制并获取敏感数据或执行未授权操作。开发者应在处理外部输入的文件时,显式重置权限为最小必要原则,并记录权限变更日志,确保用户知情。

MITRE CWE 官方描述
CWE:CWE-278 不安全的继承权限保留 英文:产品在不具备用户意识或参与的情况下,为某个对象继承了一组不安全的权限(例如,从归档文件中复制时)。
常见影响 (1)
Confidentiality, IntegrityRead Application Data, Modify Application Data
缓解措施 (2)
Architecture and Design, OperationVery carefully manage the setting, management, and handling of privileges. Explicitly manage trust zones in the software.
Architecture and DesignCompartmentalize the system to have "safe" areas where trust boundaries can be unambiguously drawn. Do not allow sensitive data to go outside of the trust boundary and always be careful when interfacing with a compartment outside of the safe area. Ensure that appropriate compartmentalization is built into the system design, and the compartmentalization allows for and reinforces privilege separatio…
CVE ID标题CVSS风险等级Published
CVE-2026-6265 Cerberus FTP Server 安全漏洞 — Cerberus FTP Server 7.8AIHighAI2026-04-27
CVE-2025-2947 IBM i 安全漏洞 — i 7.2 High2025-04-17
CVE-2024-38531 Nix 安全漏洞 — nix 3.6 Low2024-06-28
CVE-2023-38497 Cargo 安全漏洞 — cargo 7.8 High2023-08-04

CWE-278(不安全的预留继承权限) 是常见的弱点类别,本平台收录该类弱点关联的 4 条 CVE 漏洞。