目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-284 访问控制不恰当 类漏洞列表 2060

CWE-284 访问控制不恰当 类弱点 2060 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-284 属于访问控制缺陷漏洞,指产品未正确限制或完全未限制非授权主体对资源的访问。攻击者通常通过绕过身份验证或权限检查,直接访问敏感数据或执行特权操作。开发者应避免此类问题,需严格实施身份认证与授权机制,确保仅合法用户能访问特定资源,并记录操作日志以增强可追溯性,从而有效防止未授权访问。

MITRE CWE 官方描述
CWE:CWE-284 访问控制不当 英文:产品未对来自未授权实体的资源访问进行限制,或限制不正确。 访问控制涉及使用多种保护机制,例如:Authentication(证明实体的身份)、Authorization(确保给定实体可以访问资源)以及 Accountability(跟踪已执行的活动)。当任何机制未应用或失效时,攻击者可以通过获取特权、读取敏感信息、执行命令、逃避检测等方式破坏产品的安全性。存在两种可能导致访问控制弱点的具体行为:Specification(规范):为用户或资源明确指定了不正确的特权、权限、所有权等(例如,将密码文件设置为所有用户可写,或将管理员能力授予访客用户)。此操作可由程序或管理员执行。Enforcement(执行):机制中存在错误,导致其无法正确执行指定的访问控制要求(例如,允许用户指定自己的特权,或允许语法不正确的 ACL 产生不安全的设置)。此问题发生在程序本身内部,即其并未实际执行管理员指定的预期安全策略。
常见影响 (1)
OtherVaries by Context
缓解措施 (2)
Architecture and Design, OperationVery carefully manage the setting, management, and handling of privileges. Explicitly manage trust zones in the software.
Architecture and DesignCompartmentalize the system to have "safe" areas where trust boundaries can be unambiguously drawn. Do not allow sensitive data to go outside of the trust boundary and always be careful when interfacing with a compartment outside of the safe area. Ensure that appropriate compartmentalization is built into the system design, and the compartmentalization allows for and reinforces privilege separatio…
代码示例 (2)
This code temporarily raises the program's privileges to allow creation of a new user folder.
def makeNewUserDir(username): if invalidUsername(username): #avoid CWE-22 and CWE-78 print('Usernames cannot contain invalid characters') return False try: raisePrivileges() os.mkdir('/home/' + username) lowerPrivileges() except OSError: print('Unable to create new user directory for user:' + username) return False return True
Bad · Python
This function runs an arbitrary SQL query on a given database, returning the result of the query.
function runEmployeeQuery($dbName, $name){ mysql_select_db($dbName,$globalDbHandle) or die("Could not open Database".$dbName); //Use a prepared statement to avoid CWE-89 $preparedStatement = $globalDbHandle->prepare('SELECT * FROM employees WHERE name = :name'); $preparedStatement->execute(array(':name' => $name)); return $preparedStatement->fetchAll(); } /.../ $employeeRecord = runEmployeeQuery('EmployeeDB',$_GET['EmployeeName']);
Bad · PHP
CVE ID标题CVSS风险等级Published
CVE-2026-42205 Avo 越权执行任意操作类漏洞 — avo 8.8 High2026-05-08
CVE-2026-41487 Langfuse 成员角色越权获取 LLM 提供商 API 密钥 — langfuse--2026-05-08
CVE-2026-42278 UltraDAG 智能账户绕过支出政策漏洞 — core--2026-05-08
CVE-2026-41646 Nuclei 本地文件读取漏洞 — nuclei 5.5 Medium2026-05-08
CVE-2026-8127 eladmin Users API 权限绕过漏洞 — eladmin 6.3 Medium2026-05-08
CVE-2026-35435 Azure AI Foundry 权限提升漏洞 — Azure AI Foundry 8.6 High2026-05-07
CVE-2026-33109 Azure Cassandra远程代码执行漏洞 — Azure Managed Instance for Apache Cassandra 9.9 Critical2026-05-07
CVE-2026-5788 Ivanti EPMM多版本越权访问漏洞 — Endpoint Manager Mobile 7.0 High2026-05-07
CVE-2026-5786 Ivanti EPMM不当权限控制漏洞 — Endpoint Manager Mobile 8.8 High2026-05-07
CVE-2026-20167 Cisco IoT Field Network Director 远程拒绝服务漏洞 — Cisco IoT Field Network Director (IoT-FND) 7.7 High2026-05-06
CVE-2026-7686 Eyeo Adblock Plus Premium postMessage 访问控制漏洞 — Adblock Plus 5.3 Medium2026-05-03
CVE-2026-2311 IBM i Web Administration GUI 提权漏洞 — i 6.4 Medium2026-04-30
CVE-2026-40603 Chartbrew /api/project/dashboard/:brewName 越权漏洞 — chartbrew 6.5 Medium2026-04-30
CVE-2026-40595 Chartbrew 公开图表导出缺少访问控制漏洞 — chartbrew 7.5 High2026-04-30
CVE-2026-40904 Chartbrew 数据集及数据请求路由访问控制缺陷漏洞 — chartbrew 8.1 High2026-04-30
CVE-2026-7468 smart-admin 1024-lab 演示站点索引页访问控制漏洞 — smart-admin 7.3 High2026-04-30
CVE-2026-5780 MphRx Minerva 访问控制错误漏洞 — Minerva 4.3AIMediumAI2026-04-28
CVE-2026-5779 MphRx Minerva 访问控制错误漏洞 — Minerva 8.1AIHighAI2026-04-28
CVE-2026-40966 VMware Spring AI 访问控制错误漏洞 — Spring AI 5.9 Medium2026-04-28
CVE-2026-33318 actual 访问控制错误漏洞 — actual 8.8 High2026-04-24
CVE-2026-29197 Rocket.Chat 访问控制错误漏洞 — Rocket.Chat 4.3AIMediumAI2026-04-23
CVE-2026-24303 Microsoft Partner Center 访问控制错误漏洞 — Microsoft Partner Center 9.6 Critical2026-04-23
CVE-2026-41277 Flowise 访问控制错误漏洞 — Flowise 8.8AIHighAI2026-04-23
CVE-2026-41270 Flowise 访问控制错误漏洞 — Flowise 7.1 High2026-04-23
CVE-2026-41243 Openlearn 访问控制错误漏洞 — OpenLearn 4.3AIMediumAI2026-04-23
CVE-2026-41166 OpenRemote 访问控制错误漏洞 — openremote 7.0 High2026-04-22
CVE-2026-40889 Frappe HR 访问控制错误漏洞 — hrms 6.5 Medium2026-04-21
CVE-2026-40888 Frappe HR 访问控制错误漏洞 — hrms 6.5AIMediumAI2026-04-21
CVE-2026-40874 mailcow: dockerized 访问控制错误漏洞 — mailcow-dockerized 5.4AIMediumAI2026-04-21
CVE-2026-40867 Horilla 安全漏洞 — horilla 6.5AIMediumAI2026-04-21

CWE-284(访问控制不恰当) 是常见的弱点类别,本平台收录该类弱点关联的 2060 条 CVE 漏洞。