CWE-294 使用捕获-重放进行的认证绕过类漏洞列表 86

CWE-294 使用捕获-重放进行的认证绕过类弱点 86 条 CVE 漏洞汇总，含 AI 中文分析。

CWE-294 属于认证绕过漏洞，指攻击者通过嗅探网络流量，捕获认证数据包并重新发送给服务器，从而伪装成合法用户。此类攻击常见且难以防御，通常利用未加密或完整性校验不足的通信协议。开发者应通过实施强加密机制（如 TLS）、引入时间戳或随机数（Nonce）以及使用一次性令牌，确保每次请求的唯一性，从而有效防止重放攻击。

MITRE CWE 官方描述

CWE：CWE-294 通过捕获重放（Capture-replay）绕过身份验证当产品的设计使得恶意用户能够嗅探网络流量，并通过将其重放（Replay）到目标服务器，从而产生与原始消息相同（或经过微小修改）的效果，以此绕过身份验证时，就存在捕获重放（Capture-replay）缺陷。捕获重放（Capture-replay）攻击很常见，若没有密码学（Cryptography）的支持，往往难以抵御。它们是网络注入（Network Injection）攻击的一个子集，依赖于观察先前发送的有效命令，然后在必要时对其进行轻微修改，并重新向服务器发送这些命令。

常见影响 (1)

Access ControlGain Privileges or Assume Identity

Messages sent with a capture-relay attack allow access to resources which are not otherwise accessible without proper authentication.

缓解措施 (2)

Architecture and DesignUtilize some sequence or time stamping functionality along with a checksum which takes this into account in order to ensure that messages can be parsed only once.

Architecture and DesignSince any attacker who can listen to traffic can see sequence numbers, it is necessary to sign messages with some kind of cryptography to ensure that sequence numbers are not simply doctored along with content.

CVE ID	标题	CVSS	风险等级	Published
CVE-2026-41351	OpenClaw 安全漏洞 — OpenClaw	5.3	Medium	2026-04-23
CVE-2026-35618	OpenClaw 安全漏洞 — OpenClaw	6.5	Medium	2026-04-09
CVE-2026-34209	mppx 安全漏洞 — mppx	7.5	High	2026-03-31
CVE-2026-32987	OpenClaw 安全漏洞 — OpenClaw	9.8	Critical	2026-03-29
CVE-2026-27855	Open-Xchange OX Dovecot Pro 安全漏洞 — OX Dovecot Pro	6.8	Medium	2026-03-27
CVE-2026-4583	HCCTG MPOS M6 PLUS 安全漏洞 — MPOS M6 PLUS	5.0	Medium	2026-03-23
CVE-2026-32053	OpenClaw 安全漏洞 — OpenClaw	6.5	Medium	2026-03-21
CVE-2026-28449	OpenClaw 安全漏洞 — OpenClaw	6.5	Medium	2026-03-19
CVE-2025-13777	ABB AWIN GW100和ABB AWIN GW120 安全漏洞 — AWIN GW100 rev.2	8.3	High	2026-03-13
CVE-2026-30789	RustDesk 安全漏洞 — RustDesk Client	8.4	-	2026-03-05
CVE-2026-1743	DJI多款产品安全漏洞 — Mavic Mini	3.1	Low	2026-02-02
CVE-2025-68671	lakeFS 安全漏洞 — lakeFS	6.5	Medium	2026-01-15
CVE-2025-40807	Siemens Gridscale X Prepay 安全漏洞 — Gridscale X Prepay	6.3	Medium	2025-12-09
CVE-2025-49752	Microsoft Azure Bastion 安全漏洞 — Azure Bastion Developer	10.0	Critical	2025-11-20
CVE-2011-20002	Siemens SIMATIC S7-1200 CPU V1 family和Siemens SIMATIC S7-1200 CPU V2 family 安全漏洞 — SIMATIC S7-1200 CPU V1 family (incl. SIPLUS variants)	7.4	High	2025-10-14
CVE-2025-35061	Newforma Project Center Server 安全漏洞 — Project Center	5.9	Medium	2025-10-09
CVE-2025-35058	Newforma Project Center Server 安全漏洞 — Project Center	5.9	Medium	2025-10-09
CVE-2025-35057	Newforma Project Center Server 安全漏洞 — Project Center	5.3	Medium	2025-10-09
CVE-2025-54810	Cognex多款产品安全漏洞 — In-Sight 2000 series	8.0	High	2025-09-18
CVE-2025-9100	My-Blog 安全漏洞 — My-Blog	5.3	Medium	2025-08-18
CVE-2025-8616	OpenText Advanced Authentication 安全漏洞 — Advanced Authentication	9.8^AI	Critical^AI	2025-08-06
CVE-2023-50786	Dradis 安全漏洞 — Dradis	4.1	Medium	2025-07-05
CVE-2025-36593	Dell OpenManage Network Integration 安全漏洞 — OpenManage Network Integration	8.8	High	2025-06-30
CVE-2025-6533	novel-plus 安全漏洞 — novel-plus	5.6	Medium	2025-06-24
CVE-2025-48012	Drupal One Time Password 安全漏洞 — One Time Password	9.1^AI	Critical^AI	2025-05-21
CVE-2025-47706	Drupal Enterprise MFA - TFA for Drupal 安全漏洞 — Enterprise MFA - TFA for Drupal	9.8^AI	Critical^AI	2025-05-14
CVE-2024-12137	Elfatek Elektronics ANKA JPD00028 安全漏洞 — ANKA JPD-00028	7.6	High	2025-03-19
CVE-2025-1887	Sage 200 Spain 安全漏洞 — Sage 200 Spain	4.9	-	2025-03-07
CVE-2024-12839	CHANGING CGFIDO 安全漏洞 — CGFIDO	8.8	High	2024-12-31
CVE-2024-52534	Dell ECS 安全漏洞 — ECS	5.4	Medium	2024-12-25

CWE-294（使用捕获-重放进行的认证绕过）是常见的弱点类别，本平台收录该类弱点关联的 86 条 CVE 漏洞。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CWE-294 使用捕获-重放进行的认证绕过 类漏洞列表 86

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CWE-294 使用捕获-重放进行的认证绕过类漏洞列表 86