目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-322 未进行实体认证的密钥交换 类漏洞列表 20

CWE-322 未进行实体认证的密钥交换 类弱点 20 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-322 属于密钥交换缺乏实体认证的漏洞。攻击者常利用中间人攻击,拦截并篡改通信流量,伪装成合法实体以窃取敏感数据或注入恶意指令。由于仅交换密钥而未验证身份,通信虽加密但不可信。开发者应避免此缺陷,在密钥协商过程中集成双向身份验证机制,如使用数字证书或预共享密钥,确保通信双方身份真实可靠,从而保障通信的完整性与机密性。

MITRE CWE 官方描述
CWE:CWE-322 无实体认证密钥交换(Key Exchange without Entity Authentication) 英文:产品在未验证对方实体身份的情况下,与该实体执行密钥交换。 执行密钥交换可以确保两个实体之间传输信息的完整性,但这并不能保证这些实体就是其所声称的身份。这可能导致攻击者通过修改两个实体之间的流量来伪装成某个实体。通常,这涉及一个受害客户端联系一个伪装成可信服务器的恶意服务器。如果客户端跳过认证或忽略认证失败,恶意服务器可能会向用户请求认证信息。随后,恶意服务器可以使用这些认证信息,以受害者的凭据登录可信服务器、嗅探受害者与可信服务器之间的流量等。
常见影响 (2)
Access ControlBypass Protection Mechanism
No authentication takes place in this process, bypassing an assumed protection of encryption.
ConfidentialityRead Application Data
The encrypted communication between a user and a trusted host may be subject to sniffing by any actor in the communication path.
缓解措施 (2)
Architecture and DesignEnsure that proper authentication is included in the system design.
ImplementationUnderstand and properly implement all checks necessary to ensure the identity of entities involved in encrypted communications.
代码示例 (1)
Many systems have used Diffie-Hellman key exchange without authenticating the entities exchanging keys, allowing attackers to influence communications by redirecting or interfering with the communication path. Many people using SSL/TLS skip the authentication (often unknowingly).
CVE ID标题CVSS风险等级Published
CVE-2026-1354 Zero Motorcycles firmware 安全漏洞 — Zero Motorcycles firmware 6.4 Medium2026-04-21
CVE-2025-13914 Juniper Networks Apstra 安全漏洞 — Apstra 8.7 High2026-04-09
CVE-2026-33697 Cocos AI 访问控制错误漏洞 — cocos 7.5 High2026-03-26
CVE-2026-1709 Keylime 安全漏洞 — Red Hat Enterprise Linux 10 9.4 Critical2026-02-06
CVE-2025-62501 TP-Link Archer AX53 安全漏洞 — Archer AX53 v1.0 8.1AIHighAI2026-02-03
CVE-2025-20163 Cisco Nexus Dashboard Fabric Controller 安全漏洞 — Cisco Data Center Network Manager 8.7 High2025-06-04
CVE-2024-47519 Arista NG Firewall 安全漏洞 — Arista Edge Threat Management 8.3 High2025-01-10
CVE-2024-7516 Brocade Fabric OS 安全漏洞 — Fabric OS 7.5AIHighAI2024-11-12
CVE-2024-6572 Checkmk 安全漏洞 — Checkmk 5.9AIMediumAI2024-09-09
CVE-2024-4871 Red Hat Satellite 安全漏洞 6.8 Medium2024-05-14
CVE-2022-39254 Matrix 安全漏洞 — matrix-nio 8.6 High2022-09-29
CVE-2022-39252 Matrix 安全漏洞 — matrix-rust-sdk 8.6 High2022-09-29
CVE-2022-39250 Matrix 授权问题漏洞 — matrix-js-sdk 8.6 High2022-09-29
CVE-2022-39257 Matrix 授权问题漏洞 — matrix-ios-sdk 7.5 High2022-09-28
CVE-2022-39255 Matrix 授权问题漏洞 — matrix-ios-sdk 8.6 High2022-09-28
CVE-2022-39248 Matrix 安全漏洞 — matrix-android-sdk2 8.6 High2022-09-28
CVE-2022-39246 Matrix 安全漏洞 — matrix-android-sdk2 7.5 High2022-09-28
CVE-2022-39251 Matrix 授权问题漏洞 — matrix-js-sdk 8.6 High2022-09-28
CVE-2022-39249 Matrix 授权问题漏洞 — matrix-js-sdk 7.5 High2022-09-28
CVE-2021-34433 Eclipse Californium 数据伪造问题漏洞 — Eclipse Californium 7.5 -2021-08-20

CWE-322(未进行实体认证的密钥交换) 是常见的弱点类别,本平台收录该类弱点关联的 20 条 CVE 漏洞。