目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-308 使用单一因素认证机制 类漏洞列表 8

CWE-308 使用单一因素认证机制 类弱点 8 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-308 指在需多因素验证的安全场景中仅使用单一凭据(如密码)进行身份验证的漏洞。攻击者常通过暴力破解、凭证填充或中间人攻击窃取单一因子,从而绕过认证机制获取未授权访问。开发者应实施多因素认证,结合密码、硬件令牌或生物特征等多重验证手段,确保即使单一凭据泄露,系统仍能维持安全边界,有效抵御凭证窃取风险。

MITRE CWE 官方描述
CWE:CWE-308 使用单因素认证 (Use of Single-factor Authentication) 英文:该产品使用了一种仅依赖单一因素(例如,密码)的认证算法,而其所处的安全上下文本应要求使用多因素认证。
常见影响 (1)
Access ControlBypass Protection Mechanism
If the secret in a single-factor authentication scheme gets compromised, full authentication is possible.
缓解措施 (1)
Architecture and DesignUse multiple independent authentication schemes, which ensures that -- if one of the methods is compromised -- the system itself is still likely safe from compromise. For this reason, if multiple schemes are possible, they should be implemented and required -- especially if they are easy to use.
代码示例 (1)
In both of these examples, a user is logged in if their given password matches a stored password:
unsigned char *check_passwd(char *plaintext) { ctext = simple_digest("sha1",plaintext,strlen(plaintext), ... ); //Login if hash matches stored hash if (equal(ctext, secret_password())) { login_user(); } }
Bad · C
String plainText = new String(plainTextIn); MessageDigest encer = MessageDigest.getInstance("SHA"); encer.update(plainTextIn); byte[] digest = password.digest(); //Login if hash matches stored hash if (equal(digest,secret_password())) { login_user(); }
Bad · Java
CVE ID标题CVSS风险等级Published
CVE-2026-33550 SOGo 安全漏洞 — SOGo 2.0 Low2026-03-22
CVE-2025-64103 ZITADEL 安全漏洞 — zitadel 9.1AICriticalAI2025-10-29
CVE-2025-42959 SAP NetWeaver ABAP Server和SAP ABAP Platform 安全漏洞 — SAP NetWeaver ABAP Server and ABAP Platform 8.1 High2025-07-08
CVE-2024-47652 Shilpi Client Dashboard 安全漏洞 — Client Dashboard 9.8 -2024-10-04
CVE-2023-25681 IBM Spectrum Virtualize 安全漏洞 — Spectrum Virtualize 5.3 Medium2024-03-05
CVE-2023-50934 IBM PowerSC 授权问题漏洞 — PowerSC 5.3 Medium2024-02-02
CVE-2023-49075 Pimcore Admin Classic Bundle 安全漏洞 — admin-ui-classic-bundle 8.5 High2023-11-28
CVE-2023-34228 JetBrains TeamCity 安全漏洞 — TeamCity 5.3 Medium2023-05-31

CWE-308(使用单一因素认证机制) 是常见的弱点类别,本平台收录该类弱点关联的 8 条 CVE 漏洞。