CWE-340 可预测问题 类弱点 35 条 CVE 漏洞汇总,含 AI 中文分析。
CWE-340属于生成可预测数字或标识符的漏洞,源于系统使用了缺乏足够随机性的算法。攻击者可通过分析历史数据或算法逻辑,推测出会话ID、令牌或加密密钥,从而实施会话劫持、权限提升或伪造身份等攻击。开发者应避免使用线性同余等弱伪随机数生成器,转而采用操作系统提供的密码学安全伪随机数生成器(CSPRNG),并确保种子值具备高熵,以保障标识符的不可预测性。
function generateSessionID($userID){ srand($userID); return rand(); }| CVE ID | 标题 | CVSS | 风险等级 | Published |
|---|---|---|---|---|
| CVE-2026-5081 | Apache-Session-Generate-ModUniqueId 1.54-1.94 Perl会话ID不安全漏洞 — Apache::Session::Generate::ModUniqueId | - | - | 2026-05-06 |
| CVE-2026-5080 | Dancer::Session::Abstract 1.3522 会话ID生成不安全漏洞 — Dancer::Session::Abstract | 7.5AI | HighAI | 2026-04-30 |
| CVE-2026-5085 | Solstice::Session 安全漏洞 — Solstice::Session | 7.5 | - | 2026-04-13 |
| CVE-2026-5083 | Ado::Sessions 安全漏洞 — Ado::Sessions | 9.1AI | CriticalAI | 2026-04-08 |
| CVE-2026-5082 | Amon2::Plugin::Web::CSRFDefender 安全漏洞 — Amon2::Plugin::Web::CSRFDefender | 7.5AI | HighAI | 2026-04-08 |
| CVE-2026-28810 | Erlang/OTP 安全漏洞 — OTP | 5.0AI | MediumAI | 2026-04-07 |
| CVE-2025-13044 | IBM Concert 安全漏洞 — Concert | 6.2 | Medium | 2026-04-07 |
| CVE-2026-3256 | HTTP::Session 安全漏洞 — HTTP::Session | 5.9 | - | 2026-03-28 |
| CVE-2025-15604 | Amon2 安全漏洞 — Amon2 | 5.9 | - | 2026-03-28 |
| CVE-2026-4269 | Bedrock AgentCore Starter Toolkit 安全漏洞 — Bedrock AgentCore Starter Toolkit | 7.5 | High | 2026-03-16 |
| CVE-2025-40931 | Apache::Session::Generate::MD5 安全漏洞 — Apache::Session::Generate::MD5 | 9.8 | - | 2026-03-05 |
| CVE-2025-40926 | Plack::Middleware::Session::Simple 安全漏洞 — Plack::Middleware::Session::Simple | 9.8 | - | 2026-03-05 |
| CVE-2026-3255 | HTTP::Session2 安全漏洞 — HTTP::Session2 | 3.7 | - | 2026-02-27 |
| CVE-2025-40932 | Apache::SessionX 安全漏洞 — Apache::SessionX | 9.8AI | CriticalAI | 2026-02-26 |
| CVE-2026-2473 | Google Cloud Vertex AI 安全漏洞 — Vertex AI Experiments | 9.8AI | CriticalAI | 2026-02-20 |
| CVE-2026-2439 | Concierge::Sessions 安全漏洞 — Concierge::Sessions | 7.5AI | HighAI | 2026-02-16 |
| CVE-2025-69286 | RAGFlow 安全漏洞 — ragflow | 9.8 | - | 2025-12-31 |
| CVE-2025-62294 | SOPlanning 安全漏洞 — SOPlanning | 9.8 | - | 2025-11-20 |
| CVE-2025-58424 | F5 BIG-IP 安全漏洞 — BIG-IP | 5.3 | Medium | 2025-10-15 |
| CVE-2025-3449 | B&R Automation Runtime 安全漏洞 — Automation Runtime | 4.2 | Medium | 2025-10-07 |
| CVE-2025-59452 | YoSmart YoLink API 安全漏洞 — YoLink API | 5.8 | Medium | 2025-10-06 |
| CVE-2025-40925 | Starch 安全漏洞 — Starch | 9.8AI | CriticalAI | 2025-09-20 |
| CVE-2025-40933 | MetaCPAN Apache::AuthAny::Cookie 安全漏洞 — Apache::AuthAny | 9.1AI | CriticalAI | 2025-09-17 |
| CVE-2025-40920 | Catalyst::Authentication::Credential::HTTP 安全漏洞 — Catalyst::Authentication::Credential::HTTP | 7.4AI | HighAI | 2025-08-11 |
| CVE-2025-40924 | Catalyst-Plugin-Session 安全漏洞 — Catalyst::Plugin::Session | 9.8AI | CriticalAI | 2025-07-17 |
| CVE-2025-40919 | Authen::DigestMD5 安全漏洞 — Authen::DigestMD5 | 7.5AI | HighAI | 2025-07-16 |
| CVE-2025-40918 | Authen::SASL::Perl::DIGEST_MD5 安全漏洞 — Authen::SASL::Perl::DIGEST_MD5 | 5.3 | - | 2025-07-16 |
| CVE-2025-40923 | Plack::Middleware::Session 安全漏洞 — Plack::Middleware::Session | 9.8AI | CriticalAI | 2025-07-16 |
| CVE-2024-10603 | Google gVisor 安全漏洞 — gVisor | - | - | 2025-01-30 |
| CVE-2025-0218 | pgAgent 安全漏洞 — pgAgent | 5.5 | Medium | 2025-01-07 |
CWE-340(可预测问题) 是常见的弱点类别,本平台收录该类弱点关联的 35 条 CVE 漏洞。