目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-343 从先前值可预测取值范围 类漏洞列表 4

CWE-343 从先前值可预测取值范围 类弱点 4 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-343属于随机数生成器预测漏洞。当随机数生成器产生的序列存在规律时,攻击者可通过观察历史值推断出下一个值的较小可能范围,从而预测敏感数据如会话令牌或加密密钥。开发者应避免使用线性同余等弱算法,改用密码学安全的伪随机数生成器(CSPRNG),并确保种子值具有足够熵源,以消除输出可预测性,保障系统安全。

MITRE CWE 官方描述
CWE:CWE-343 基于先前值的可预测值范围 英文:该产品的随机数生成器产生一系列值,当这些值被观察时,可用于推断下一个可能生成的值的相对较小的可能性范围。 随机数生成器的输出不应基于对先前值的观察而具有可预测性。在某些情况下,攻击者无法预测下一个将产生的确切值,但可以显著缩小可能性范围。这减少了执行暴力破解攻击所需的工作量。例如,假设产品生成介于 1 到 100 之间的随机数,但它总是产生更大的值,直到达到 100。如果生成器产生了 80,那么攻击者就知道下一个值将在 81 到 100 之间。攻击者不再需要考虑 100 种可能性,而只需考虑 20 种。
常见影响 (1)
OtherVaries by Context
缓解措施 (3)
Increase the entropy used to seed a PRNG.
Architecture and Design, RequirementsUse products or modules that conform to FIPS 140-2 [REF-267] to avoid obvious entropy problems. Consult FIPS 140-2 Annex C ("Approved Random Number Generators").
ImplementationUse a PRNG that periodically re-seeds itself using input from high-quality sources, such as hardware devices with high entropy. However, do not re-seed too frequently, or else the entropy source might block.
CVE ID标题CVSS风险等级Published
CVE-2026-32694 Juju 安全漏洞 — Juju 6.6 Medium2026-03-18
CVE-2017-6030 多款Schneider Electric Modicon产品安全特征问题漏洞 — Schneider Electric Modicon PLCs 7.3 -2017-06-30
CVE-2017-7901 多款Rockwell Automation产品安全漏洞 — Rockwell Automation Allen-Bradley MicroLogix 1100 and 1400 9.4 -2017-06-30
CVE-2014-5409 GE Digital Energy Hydran M2 安全漏洞 — Hydran M2, containing the 17046 Ethernet option 5.3 -2015-03-14

CWE-343(从先前值可预测取值范围) 是常见的弱点类别,本平台收录该类弱点关联的 4 条 CVE 漏洞。