目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-338 使用具有密码学弱点缺陷的PRNG 类漏洞列表 72

CWE-338 使用具有密码学弱点缺陷的PRNG 类弱点 72 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-338 指在安全上下文中使用了非密码学强度的伪随机数生成器。此类漏洞因算法可预测性,易被攻击者通过逆向工程或统计推断还原随机数,从而破解密钥或会话令牌。开发者应严格避免在加密场景使用如 rand() 等弱算法,转而采用操作系统提供的密码学安全随机数生成器(如 /dev/urandom 或 CryptoAPI),以确保随机数的不可预测性和安全性。

MITRE CWE 官方描述
CWE:CWE-338 使用加密学上弱的伪随机数生成器(Pseudo-Random Number Generator, PRNG) 产品在一个安全上下文中使用了伪随机数生成器(PRNG),但该 PRNG 的算法并非加密学上强。 当非加密学的 PRNG 被用于加密学上下文时,它可能使加密学暴露于某些类型的攻击之下。通常,伪随机数生成器(PRNG)并非为加密学而设计。有时,对于使用随机数的算法而言,中等水平的随机性源就足够了,甚至是更可取的。弱的生成器通常占用更少的处理能力,并且/或者不使用系统中珍贵且有限的熵源(entropy sources)。虽然此类 PRNG 可能具有非常有用的特性,但这些相同的特性也可能被用来破坏加密学。
常见影响 (1)
Access ControlBypass Protection Mechanism
If a PRNG is used for authentication and authorization, such as a session ID or a seed for generating a cryptographic key, then an attacker may be able to easily guess the ID or cryptographic key and gain access to restricted functionality.
缓解措施 (1)
ImplementationUse functions or hardware which use a hardware-based random number generation for all crypto. This is the recommended solution. Use CyptGenRandom on Windows, or hw_rand() on Linux.
代码示例 (1)
Both of these examples use a statistical PRNG seeded with the current value of the system clock to generate a random number:
Random random = new Random(System.currentTimeMillis()); int accountID = random.nextInt();
Bad · Java
srand(time()); int randNum = rand();
Bad · C
CVE ID标题CVSS风险等级Published
CVE-2026-6659 Crypt::PasswdMD5 Perl 1.42 及以前版本盐值随机性不足漏洞 — Crypt::PasswdMD5--2026-05-08
CVE-2026-41505 exam.py/auth.py可预测令牌生成漏洞 — relate 8.7 High2026-05-07
CVE-2026-40514 SmarterTools SmarterMail 安全特征问题漏洞 — SmarterMail 5.9 Medium2026-04-27
CVE-2026-5088 Apache::API::Password 安全漏洞 — Apache::API::Password 9.1 -2026-04-15
CVE-2026-25726 Cloudreve 安全特征问题漏洞 — cloudreve 8.1 High2026-04-03
CVE-2026-5087 PAGI::Middleware::Session::Store::Cookie 安全漏洞 — PAGI::Middleware::Session::Store::Cookie 7.5AIHighAI2026-03-31
CVE-2025-15618 MOCK Business::OnlinePayment::StoredTransaction 安全漏洞 — Business::OnlinePayment::StoredTransaction 7.5AIHighAI2026-03-31
CVE-2024-57854 Net::NSCA::Client 安全漏洞 — Net::NSCA::Client 9.1 -2026-03-05
CVE-2024-58041 Smolder 安全漏洞 — Smolder 9.1AICriticalAI2026-02-23
CVE-2025-15578 Maypole 安全漏洞 — Maypole 7.5AIHighAI2026-02-16
CVE-2025-40905 MetaCPAN WWW::OAuth 安全漏洞 — WWW::OAuth 7.5AIHighAI2026-02-12
CVE-2025-66630 Fiber 安全特征问题漏洞 — fiber 9.1AICriticalAI2026-02-09
CVE-2025-69217 Coturn 安全特征问题漏洞 — coturn 7.7 High2025-12-30
CVE-2025-68932 FreshRSS 安全特征问题漏洞 — FreshRSS 9.8 -2025-12-26
CVE-2025-26379 Johnson Controls IQ series和Johnson Controls PowerG 安全漏洞 — IQ Panels2, 2+, IQHub, IQPanel 4, PowerG 8.2AIHighAI2025-12-22
CVE-2025-59390 Apache Druid 安全漏洞 — Apache Druid 9.8AICriticalAI2025-11-26
CVE-2025-41731 Jumo variTRON300 安全特征问题漏洞 — variTRON300 7.4 High2025-11-10
CVE-2024-58040 MetaCPAN Crypt::RandomEncryption 安全漏洞 — Crypt::RandomEncryption 7.5AIHighAI2025-09-29
CVE-2025-54883 Vision UI 安全特征问题漏洞 — Vision-ui 7.5AIHighAI2025-08-05
CVE-2025-40916 Mojolicious::Plugin::CaptchaPNG 安全漏洞 — Mojolicious::Plugin::CaptchaPNG 5.3AIMediumAI2025-06-16
CVE-2025-40915 MetaCPAN Perl Mojolicious::Plugin::CSRF 安全漏洞 — Mojolicious::Plugin::CSRF 8.1AIHighAI2025-06-11
CVE-2024-58135 Mojolicious 安全漏洞 — Mojolicious 7.5AIHighAI2025-05-03
CVE-2025-46653 formidable 安全特征问题漏洞 — Formidable 3.1 Low2025-04-26
CVE-2025-3495 Delta Electronics COMMGR 安全漏洞 — COMMGR 9.8 Critical2025-04-16
CVE-2025-2814 MetaCPAN Crypt::CBC 安全漏洞 — Crypt::CBC 9.8AICriticalAI2025-04-12
CVE-2024-56370 MetaCPAN Net::Xero 安全漏洞 — Net::Xero 9.1AICriticalAI2025-04-05
CVE-2024-52322 MetaCPAN WebService::Xero 安全漏洞 — WebService::Xero 9.1AICriticalAI2025-04-05
CVE-2024-57835 MetaCPAN Amon2::Auth::Site::LINE 安全漏洞 — Amon2::Auth::Site::LINE 7.5AIHighAI2025-04-05
CVE-2024-58036 MetaCPAN Net::Dropbox::API 安全漏洞 — Net::Dropbox::API 9.1AICriticalAI2025-04-05
CVE-2024-57868 MetaCPAN Web::API 安全漏洞 — Web::API 9.1AICriticalAI2025-04-05

CWE-338(使用具有密码学弱点缺陷的PRNG) 是常见的弱点类别,本平台收录该类弱点关联的 72 条 CVE 漏洞。