CWE-284 访问控制不恰当类漏洞列表 2062

CWE-284 访问控制不恰当类弱点 2062 条 CVE 漏洞汇总，含 AI 中文分析。

CWE-284 属于访问控制缺陷漏洞，指产品未正确限制或完全未限制非授权主体对资源的访问。攻击者通常通过绕过身份验证或权限检查，直接访问敏感数据或执行特权操作。开发者应避免此类问题，需严格实施身份认证与授权机制，确保仅合法用户能访问特定资源，并记录操作日志以增强可追溯性，从而有效防止未授权访问。

MITRE CWE 官方描述

CWE：CWE-284 访问控制不当英文：产品未对来自未授权实体的资源访问进行限制，或限制不正确。访问控制涉及使用多种保护机制，例如：Authentication（证明实体的身份）、Authorization（确保给定实体可以访问资源）以及 Accountability（跟踪已执行的活动）。当任何机制未应用或失效时，攻击者可以通过获取特权、读取敏感信息、执行命令、逃避检测等方式破坏产品的安全性。存在两种可能导致访问控制弱点的具体行为：Specification（规范）：为用户或资源明确指定了不正确的特权、权限、所有权等（例如，将密码文件设置为所有用户可写，或将管理员能力授予访客用户）。此操作可由程序或管理员执行。Enforcement（执行）：机制中存在错误，导致其无法正确执行指定的访问控制要求（例如，允许用户指定自己的特权，或允许语法不正确的 ACL 产生不安全的设置）。此问题发生在程序本身内部，即其并未实际执行管理员指定的预期安全策略。

常见影响 (1)

OtherVaries by Context

缓解措施 (2)

Architecture and Design, OperationVery carefully manage the setting, management, and handling of privileges. Explicitly manage trust zones in the software.

Architecture and DesignCompartmentalize the system to have "safe" areas where trust boundaries can be unambiguously drawn. Do not allow sensitive data to go outside of the trust boundary and always be careful when interfacing with a compartment outside of the safe area. Ensure that appropriate compartmentalization is built into the system design, and the compartmentalization allows for and reinforces privilege separatio…

代码示例 (2)

This code temporarily raises the program's privileges to allow creation of a new user folder.

def makeNewUserDir(username): if invalidUsername(username): #avoid CWE-22 and CWE-78 print('Usernames cannot contain invalid characters') return False try: raisePrivileges() os.mkdir('/home/' + username) lowerPrivileges() except OSError: print('Unable to create new user directory for user:' + username) return False return True

Bad · Python

This function runs an arbitrary SQL query on a given database, returning the result of the query.

function runEmployeeQuery($dbName, $name){ mysql_select_db($dbName,$globalDbHandle) or die("Could not open Database".$dbName); //Use a prepared statement to avoid CWE-89 $preparedStatement = $globalDbHandle->prepare('SELECT * FROM employees WHERE name = :name'); $preparedStatement->execute(array(':name' => $name)); return $preparedStatement->fetchAll(); } /.../ $employeeRecord = runEmployeeQuery('EmployeeDB',$_GET['EmployeeName']);

Bad · PHP

CVE ID	标题	CVSS	风险等级	Published
CVE-2023-32632	Yifan YF325 命令注入漏洞 — YF325	8.8	High	2023-10-11
CVE-2023-36790	Microsoft Windows RDP 安全漏洞 — Windows Server 2008 Service Pack 2	7.8	High	2023-10-10
CVE-2023-36561	Microsoft Azure DevOps Server 安全漏洞 — Azure DevOps Server 2022.0.1	7.3	High	2023-10-10
CVE-2023-36722	Microsoft Active Directory Domain Services 安全漏洞 — Windows 10 Version 1809	4.4	Medium	2023-10-10
CVE-2023-36725	Microsoft Windows Kernel 安全漏洞 — Windows 10 Version 1809	7.8	High	2023-10-10
CVE-2023-41772	Microsoft Win32K 安全漏洞 — Windows 10 Version 1809	7.8	High	2023-10-10
CVE-2023-41679	Fortinet FortiManager 安全漏洞 — FortiManager	7.7	High	2023-10-10
CVE-2023-33301	Fortinet FortiOS 安全漏洞 — FortiOS	6.5	Medium	2023-10-10
CVE-2023-37194	Siemens SIMATIC 多款产品访问控制错误漏洞 — SIMATIC CP 1604	6.7	Medium	2023-10-10
CVE-2023-36820	Micronaut Security 访问控制错误漏洞 — micronaut-security	4.8	Medium	2023-10-09
CVE-2023-43696	SICK APU 代码问题漏洞 — APU0200	8.2	High	2023-10-09
CVE-2023-36465	Decidim 访问控制错误漏洞 — decidim	9.1	Critical	2023-10-06
CVE-2023-43072	Dell SmartFabric Storage Software 访问控制错误漏洞 — Dell SmartFabric Storage Software	4.4	Medium	2023-10-05
CVE-2023-1832	Candlepin 安全漏洞 — candlepin-4.3.7	6.8	Medium	2023-10-04
CVE-2023-0506	Airspace CCTV Camera 安全漏洞 — Airspace CCTV Web Service	8.8	High	2023-10-03
CVE-2023-5353	SuiteCRM 安全漏洞 — salesagility/suitecrm	5.4	-	2023-10-03
CVE-2023-24844	Qualcomm 芯片安全漏洞 — Snapdragon	8.4	High	2023-10-03
CVE-2023-21673	Qualcomm 芯片安全漏洞 — Snapdragon	8.7	High	2023-10-03
CVE-2023-5288	SICK SIM1012 安全漏洞 — SIM1012	9.8	Critical	2023-09-29
CVE-2023-32477	Dell Common Event Enabler 访问控制错误漏洞 — Common Event Enabler	7.8	High	2023-09-29
CVE-2023-20223	Cisco DNA Center 安全漏洞 — Cisco Digital Network Architecture Center (DNA Center)	8.6	High	2023-09-27
CVE-2023-32458	Dell EMC AppSync 访问控制错误漏洞 — Dell EMC AppSync	7.3	High	2023-09-27
CVE-2023-41322	GLPI 安全漏洞 — glpi	4.9	Medium	2023-09-26
CVE-2023-39376	SiberianCMS 访问控制错误漏洞 — SiberianCMS	6.5	Medium	2023-09-26
CVE-2023-25525	NVIDIA Cumulus Linux 访问控制错误漏洞 — Cumulus Linux	7.5	High	2023-09-20
CVE-2022-47558	Ormazabal ekorCCP 和 ekorRCI 信任管理问题漏洞 — ekorCCP	9.4	Critical	2023-09-19
CVE-2023-38205	Adobe ColdFusion 其他漏洞 — ColdFusion	7.5	High	2023-09-14
CVE-2023-38206	Adobe ColdFusion 其他漏洞 — ColdFusion	5.3	Medium	2023-09-14
CVE-2023-20191	Cisco IOS XR 安全漏洞 — Cisco IOS XR Software	5.8	Medium	2023-09-13
CVE-2023-36638	Fortinet FortiManager 安全漏洞 — FortiManager	4.2	Medium	2023-09-13

CWE-284（访问控制不恰当）是常见的弱点类别，本平台收录该类弱点关联的 2062 条 CVE 漏洞。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CWE-284 访问控制不恰当 类漏洞列表 2062

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CWE-284 访问控制不恰当类漏洞列表 2062