目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-344 在动态变化上下文中使用不变值 类漏洞列表 2

CWE-344 在动态变化上下文中使用不变值 类弱点 2 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-344 指在动态变化环境中使用不变值的漏洞。当程序依赖固定常量或引用,而该值在不同环境下应动态调整时,易引发配置错误或逻辑缺陷。攻击者常利用此缺陷绕过安全限制或执行未授权操作。开发者应避免硬编码环境相关值,改用配置管理或动态获取机制,确保关键参数随环境自适应,从而提升系统在不同部署场景下的安全性与兼容性。

MITRE CWE 官方描述
CWE:CWE-344 在动态变化上下文中使用不变值 英文:产品使用了常量值、名称或引用,但该值在不同环境中应当(或可以)发生变化。
常见影响 (1)
OtherVaries by Context
代码示例 (2)
The following code is an example of an internal hard-coded password in the back-end:
int VerifyAdmin(char *password) { if (strcmp(password, "Mew!")) { printf("Incorrect Password!\n"); return(0) } printf("Entering Diagnostic Mode...\n"); return(1); }
Bad · C
int VerifyAdmin(String password) { if (!password.equals("Mew!")) { return(0) } //Diagnostic Mode return(1); }
Bad · Java
This code assumes a particular function will always be found at a particular address. It assigns a pointer to that address and calls the function.
int (*pt2Function) (float, char, char)=0x08040000; int result2 = (*pt2Function) (12, 'a', 'b'); // Here we can inject code to execute.
Bad · C
CVE ID标题CVSS风险等级Published
CVE-2023-22746 CKAN 安全漏洞 — ckan 8.6 High2023-02-03
CVE-2022-36022 Eclipse Deeplearning4J 安全特征问题漏洞 — deeplearning4j 5.3 Medium2022-11-10

CWE-344(在动态变化上下文中使用不变值) 是常见的弱点类别,本平台收录该类弱点关联的 2 条 CVE 漏洞。