CWE-325 缺少必要的密码学步骤类漏洞列表 35

CWE-325 缺少必要的密码学步骤类弱点 35 条 CVE 漏洞汇总，含 AI 中文分析。

CWE-325属于加密实现缺陷，指产品未执行密码算法中的必要步骤，导致实际加密强度低于算法宣称水平。攻击者常利用此弱点通过简化计算或侧信道分析破解数据，获取敏感信息。开发者应严格遵循标准协议规范，确保完整实现算法所有阶段，并进行全面的安全审计与测试，以验证加密逻辑的正确性与完整性，防止因遗漏步骤造成安全降级。

MITRE CWE 官方描述

CWE：CWE-325 Missing Cryptographic Step 英文：The product does not implement a required step in a cryptographic algorithm, resulting in weaker encryption than advertised by the algorithm.

常见影响 (3)

Access ControlBypass Protection Mechanism

Confidentiality, IntegrityRead Application Data, Modify Application Data

Accountability, Non-RepudiationHide Activities

代码示例 (1)

The example code is taken from the HMAC engine inside the buggy OpenPiton SoC of HACK@DAC'21 [REF-1358]. HAMC is a message authentication code (MAC) that uses both a hash and a secret crypto key. The HMAC engine in HACK@DAC SoC uses the SHA-256 module for the calculation of the HMAC for 512 bits messages.

logic [511:0] bigData; ... hmac hmac( .clk_i(clk_i), .rst_ni(rst_ni && ~rst_4), .init_i(startHash && ~startHash_r), .key_i(key), .ikey_hash_i(ikey_hash), .okey_hash_i(okey_hash), .key_hash_bypass_i(key_hash_bypass), .message_i(bigData), .hash_o(hash), .ready_o(ready), .hash_valid_o(hashValid)

Bad · Verilog

CVE ID	标题	CVSS	风险等级	Published
CVE-2026-41395	OpenClaw 安全漏洞 — OpenClaw	7.5	High	2026-04-28
CVE-2026-29142	SEPPmail Secure Email Gateway 安全漏洞 — Secure Email Gateway	7.5^AI	High^AI	2026-04-02
CVE-2026-4601	jsrsasign 安全漏洞 — jsrsasign	8.7	High	2026-03-23
CVE-2025-47383	Qualcomm Chipsets 安全漏洞 — Snapdragon	7.2	High	2026-03-02
CVE-2025-69418	OpenSSL 安全漏洞 — OpenSSL	9.1^AI	Critical^AI	2026-01-27
CVE-2026-22863	Deno 安全漏洞 — deno	7.5	-	2026-01-15
CVE-2025-60704	Microsoft Windows Kerberos 安全漏洞 — Windows 10 Version 1607	7.5	High	2025-11-11
CVE-2025-59339	The Bastion 安全漏洞 — the-bastion	4.4	Medium	2025-09-17
CVE-2025-58359	FROST 安全漏洞 — frost	6.5^AI	Medium^AI	2025-09-04
CVE-2025-49600	Mbed TLS 安全漏洞 — mbedtls	4.9	Medium	2025-07-04
CVE-2015-20112	Ethereum RLPx 安全漏洞 — RLPx	3.4	Low	2025-06-29
CVE-2025-3938	Tridium Niagara Framework和Tridium Niagara Enterprise Security 安全漏洞 — Niagara Framework	6.8	Medium	2025-05-22
CVE-2025-30147	Hyperledger Besu 安全漏洞 — besu-native	7.5^AI	High^AI	2025-05-07
CVE-2022-20793	Cisco Touch 10 安全漏洞 — Cisco RoomOS Software	6.8	Medium	2024-11-15
CVE-2024-43547	Microsoft Windows Kerberos 安全漏洞 — Windows 10 Version 1809	6.5	Medium	2024-10-08
CVE-2023-39199	Zoom Client 加密问题漏洞 — Zoom Clients	4.9	Medium	2023-11-14
CVE-2023-40012	uthenticode 安全漏洞 — uthenticode	5.9	Medium	2023-08-09
CVE-2023-34471	AMI MegaRAC 安全漏洞 — MegaRAC_SPx	6.3	Medium	2023-07-05
CVE-2023-28999	Nextcloud 安全漏洞 — security-advisories	6.9	Medium	2023-04-04
CVE-2023-28998	Nextcloud 安全漏洞 — security-advisories	6.7	Medium	2023-04-04
CVE-2022-30115	curl 安全漏洞 — https://github.com/curl/curl	4.3	-	2022-06-01
CVE-2022-29229	CaSS 安全漏洞 — CASS	6.3	Medium	2022-05-18
CVE-2022-20742	多款Cisco产品安全漏洞 — Cisco Adaptive Security Appliance (ASA) Software	7.4	High	2022-05-03
CVE-2022-1279	EBICS Java Client 安全漏洞 — ebics-java-client	6.5	Medium	2022-04-14
CVE-2021-22946	libcurl 安全漏洞 — https://github.com/curl/curl	9.1	-	2021-09-29
CVE-2021-3680	showdoc 数据伪造问题漏洞 — star7th/showdoc	6.5	-	2021-08-04
CVE-2020-26244	Python oic 安全漏洞 — pyoidc	6.8	Medium	2020-12-02
CVE-2020-15098	TYPO3 Backend User Interface组件代码问题漏洞 — TYPO3 CMS	8.8	High	2020-07-29
CVE-2020-10702	QEMU 安全漏洞 — qemu	5.5	Medium	2020-06-04
CVE-2019-3738	Dell RSA BSAFE Crypto-J 数据伪造问题漏洞 — RSA BSAFE Crypto-J	6.5	-	2019-09-18

CWE-325（缺少必要的密码学步骤）是常见的弱点类别，本平台收录该类弱点关联的 35 条 CVE 漏洞。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CWE-325 缺少必要的密码学步骤 类漏洞列表 35

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CWE-325 缺少必要的密码学步骤类漏洞列表 35