目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-335 PRNG种子错误 类漏洞列表 13

CWE-335 PRNG种子错误 类弱点 13 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-335属于随机数生成缺陷,指伪随机数生成器未正确管理种子。由于PRNG具有确定性,若种子缺乏熵或可预测,攻击者便能推测输出结果,从而破解会话令牌或加密密钥。开发者应使用操作系统提供的加密安全随机数生成器,并确保种子来源具有足够的不可预测性和高熵值,以保障系统安全。

MITRE CWE 官方描述
CWE:CWE-335 伪随机数生成器(Pseudo-Random Number Generator, PRNG)中种子(Seeds)的不当使用 英文:产品使用了伪随机数生成器(PRNG),但未正确管理种子(Seeds)。 PRNG 是确定性的,尽管其输出看似随机,但实际上无法产生熵(Entropy)。它们依赖于密码学安全且唯一的种子(Seeds)来获取熵,因此正确的种子(Seeding)对于 PRNG 的安全运行至关重要。种子(Seeds)的管理可归纳为两个主要方面:(1) 将种子(Seeds)作为密码学材料(如密码学密钥)进行保护;(2) 在可能的情况下,使用来自密码学安全源生成的唯一种子(Seeds)。PRNG 需要种子(Seed)作为输入,以生成在功能上与随机数无法区分的数字流。虽然其输出在许多情况下足以满足密码学用途,但任何 PRNG 的输出都直接由作为输入提供的种子(Seed)决定。如果第三方能够确定种子(Seed),则 PRNG 的全部输出都可能被其获知。因此,种子(Seed)应保持机密,且理想情况下不应能被猜测。例如,当前时间可能是一个较差的种子(Seed)。知晓 PRNG 被种子(Seeding)的大致时间会极大地缩小可能的密钥空间。种子(Seeds)不一定需要唯一,但如果种子(Seed)被发现,重用种子(Seeds)可能会引发攻击。
常见影响 (1)
Access Control, OtherBypass Protection Mechanism, Other
If a PRNG is used incorrectly, such as using the same seed for each initialization or using a predictable seed, then an attacker may be able to easily guess the seed and thus the random numbers. This could lead to unauthorized access to a system if the seed is used for authentication and authorizati…
代码示例 (2)
The following code uses a statistical PRNG to generate account IDs.
private static final long SEED = 1234567890; public int generateAccountID() { Random random = new Random(SEED); return random.nextInt(); }
Bad · Java
Both of these examples use a statistical PRNG seeded with the current value of the system clock to generate a random number:
Random random = new Random(System.currentTimeMillis()); int accountID = random.nextInt();
Bad · Java
srand(time()); int randNum = rand();
Bad · C
CVE ID标题CVSS风险等级Published
CVE-2026-41564 CryptX 安全漏洞 — CryptX 9.1AICriticalAI2026-04-23
CVE-2026-3503 wolfSSL 安全漏洞 — wolfSSL (wolfCrypt) 6.1 -2026-03-19
CVE-2025-52578 Gallagher HBUS Devices 安全漏洞 — High Sec End of Line Module 5.7 Medium2025-11-18
CVE-2025-27580 NIH BRICS 安全漏洞 — BRICS 7.5 High2025-04-23
CVE-2025-24783 Apache Cocoon 安全漏洞 — Apache Cocoon 5.3 -2025-01-27
CVE-2024-55566 ColPack 安全漏洞 — n/a 6.6 Medium2024-12-09
CVE-2024-1579 Secomea GateManager 安全漏洞 — GateManager 8.1 High2024-04-29
CVE-2023-4472 Objectplanet Opinio 安全漏洞 — Opinio 9.8 -2024-02-01
CVE-2022-39218 js-compute-runtime 安全漏洞 — js-compute-runtime 7.5 High2022-09-20
CVE-2016-3735 Piwigo 安全漏洞 — Piwigo 8.1 -2022-01-28
CVE-2021-34600 Telenot CompasX 安全特征问题特征问题漏洞 — CompasX 5.5 Medium2022-01-20
CVE-2021-41117 Keypair 代码问题漏洞 — keypair 8.7 High2021-10-11
CVE-2020-7010 Elastic Cloud on Kubernetes 安全漏洞 — Elastic Cloud on Kubernetes 7.5 -2020-06-03

CWE-335(PRNG种子错误) 是常见的弱点类别,本平台收录该类弱点关联的 13 条 CVE 漏洞。