目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1325

100%
请我们喝杯咖啡

CWE-331 信息熵不充分 类漏洞列表 58

CWE-331 信息熵不充分 类弱点 58 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-331属于随机数生成缺陷,指系统使用的算法产生的熵值不足,导致输出值存在可预测的模式或聚集现象。攻击者利用此漏洞,通过分析历史数据或数学规律,推测出看似随机的密钥、会话ID或令牌,从而实施身份伪造或会话劫持。开发者应避免使用线性同余等弱伪随机数生成器,转而采用操作系统提供的加密级安全随机数源,确保生成的数值具备足够的不可预测性。

MITRE CWE 官方描述
CWE:CWE-331 Insufficient Entropy(熵不足) 英文:The product uses an algorithm or scheme that produces insufficient entropy, leaving patterns or clusters of values that are more likely to occur than others. 译文:该产品使用了产生熵不足的算法或方案,导致出现某些模式或数值簇,其出现概率高于其他数值。
常见影响 (1)
Access Control, OtherBypass Protection Mechanism, Other
An attacker could guess the random numbers generated and could gain unauthorized access to a system if the random numbers are used for authentication and authorization.
缓解措施 (1)
ImplementationDetermine the necessary entropy to adequately provide for randomness and predictability. This can be achieved by increasing the number of bits of objects such as keys and seeds.
代码示例 (2)
This code generates a unique random identifier for a user's session.
function generateSessionID($userID){ srand($userID); return rand(); }
Bad · PHP
The following code uses a statistical PRNG to create a URL for a receipt that remains active for some period of time after a purchase.
String GenerateReceiptURL(String baseUrl) { Random ranGen = new Random(); ranGen.setSeed((new Date()).getTime()); return(baseUrl + ranGen.nextInt(400000000) + ".html"); }
Bad · Java
CVE ID标题CVSS风险等级Published
CVE-2026-4930 赛普拉斯Series 3设备DPA抗攻击措施削弱漏洞 — Simplicity SDK--2026-06-25
CVE-2026-46473 Authen::TOTP 安全特征问题漏洞 — Authen::TOTP--2026-05-21
CVE-2026-8700 Crypt::DSA 安全特征问题漏洞 — Crypt::DSA--2026-05-15
CVE-2026-46474 Trog::TOTP 安全特征问题漏洞 — Trog::TOTP--2026-05-15
CVE-2025-14972 Silicon Simplicity SDK 安全特征问题漏洞 — Simplicity SDK--2026-05-15
CVE-2026-4827 Schneider Electric多款产品 安全特征问题漏洞 — Easergy MiCOM C264--2026-05-12
CVE-2026-7210 CPython 安全特征问题漏洞 — CPython--2026-05-11
CVE-2026-2336 Microchip IStaX 安全漏洞 — IStaX 8.8AIHighAI2026-04-16
CVE-2026-41080 libexpat 安全漏洞 — libexpat 2.9 Low2026-04-16
CVE-2026-34236 Auth0-PHP 安全特征问题漏洞 — auth0-PHP 8.2 High2026-04-01
CVE-2026-2878 Progress Telerik UI 安全特征问题漏洞 — Telerik UI for ASP.NET AJAX 5.3 Medium2026-02-25
CVE-2025-0577 glibc 安全漏洞 4.8 Medium2026-02-18
CVE-2026-2541 Micca KE700 安全漏洞 — Car Alarm System KE700 9.8AICriticalAI2026-02-15
CVE-2025-7432 Silicon Labs Series 2 安全漏洞 — Simplicity SDK 6.5AIMediumAI2026-02-09
CVE-2026-1814 Rapid7 Nexpose 安全漏洞 — InsightVM/Nexpose 9.1AICriticalAI2026-02-03
CVE-2025-13399 TP-Link VX800v 安全漏洞 — VX800v v1.0 6.8AIMediumAI2026-01-29
CVE-2026-22698 RustCrypto: Elliptic Curves 安全特征问题漏洞 — elliptic-curves 7.5 -2026-01-10
CVE-2020-36925 Arteco Web Client DVR/NVR 安全特征问题漏洞 — Arteco Web Client DVR/NVR 9.8 Critical2026-01-06
CVE-2025-15387 QNO VPN Firewall 安全特征问题漏洞 — VPN Firewall 8.8 High2025-12-31
CVE-2025-67504 WBCE CMS 安全特征问题漏洞 — WBCE_CMS 9.1 Critical2025-12-09
CVE-2025-14261 LitmusChaos 安全特征问题漏洞 — litmus 7.1 High2025-12-08
CVE-2025-32898 KDE Connect 安全特征问题漏洞 — KDE Connect verification-code protocol 4.7 Medium2025-12-05
CVE-2025-62774 Mercku M6a 安全特征问题漏洞 — M6a 3.1 Low2025-10-22
CVE-2025-59015 TYPO3 CMS 安全漏洞 — TYPO3 CMS 9.8AICriticalAI2025-09-09
CVE-2025-54885 Thinbus Javascript Secure Remote Password 安全特征问题漏洞 — thinbus-srp-npm 9.1AICriticalAI2025-08-07
CVE-2025-50122 Schneider Electric EcoStruxure IT Data Center Expert 安全特征问题漏洞 — EcoStruxure™ IT Data Center Expert 9.8AICriticalAI2025-07-11
CVE-2025-6931 D-Link DCS-6517和D-Link DCS-7517 安全特征问题漏洞 — DCS-6517 3.7 Low2025-06-30
CVE-2025-52464 Meshtastic 安全特征问题漏洞 — firmware 6.5AIMediumAI2025-06-19
CVE-2025-47781 Rallly 安全漏洞 — rallly 9.8 Critical2025-05-14
CVE-2024-9055 Silicon Series 2 devices 安全漏洞 — Simplicity SDK 4.2 Medium2025-03-17

CWE-331(信息熵不充分) 是常见的弱点类别,本平台收录该类弱点关联的 58 条 CVE 漏洞。