CWE-363 允许符号链接跟随的竞争条件类漏洞列表 5

CWE-363 允许符号链接跟随的竞争条件类弱点 5 条 CVE 漏洞汇总，含 AI 中文分析。

CWE-363 属于竞态条件漏洞，指产品在访问文件或目录前检查其状态，但在检查与使用之间存在时间窗口，导致文件可能被替换为符号链接。攻击者利用此间隙将目标替换为恶意链接，诱使程序访问非预期文件。开发者应避免先检查后使用的模式，改用原子操作或确保文件描述符在访问期间保持锁定，以消除竞态风险。

MITRE CWE 官方描述

CWE：CWE-363 竞态条件导致链接跟随（Race Condition Enabling Link Following）产品在访问文件或目录之前检查其状态，这会产生竞态条件（race condition），即在访问执行之前，该文件可能被替换为链接，导致产品访问错误的文件。尽管开发人员可能认为检查时间（time of check）与使用时间（time of use）之间存在非常狭窄的时间窗口，但竞态条件（race condition）仍然存在。攻击者可能导致产品变慢（例如通过消耗内存），从而使时间窗口变大。或者，在某些情况下，攻击者可以通过执行大量攻击来赢得竞态条件（race condition）。

常见影响 (1)

Confidentiality, IntegrityRead Files or Directories, Modify Files or Directories

代码示例 (1)

This code prints the contents of a file if a user has permission.

function readFile($filename){ $user = getCurrentUser(); //resolve file if its a symbolic link if(is_link($filename)){ $filename = readlink($filename); } if(fileowner($filename) == $user){ echo file_get_contents($realFile); return; } else{ echo 'Access denied'; return false; } }

Bad · PHP

CVE ID	タイトル	CVSS	深刻度	公開日
CVE-2025-13492	HP Image Assistant - Potential Escalation of Privilege — HP Image Assistant	7.0^AI	High^AI	2025-12-03
CVE-2025-62161	youki container escape via "masked path" abuse due to mount race conditions — youki	8.4	-	2025-11-05
CVE-2024-45310	runc can be confused to create empty files/directories on the host — runc	3.6	Low	2024-09-03
CVE-2022-21658	Race condition in std::fs::remove_dir_all in rustlang — rust	7.3	High	2022-01-20
CVE-2018-6693	Endpoint Security for Linux Threat Prevention (ENSLTP) privilege escalation vulnerability — Endpoint Security for Linux Threat Prevention (ENSLTP)	6.3	-	2018-09-18

CWE-363（允许符号链接跟随的竞争条件）是常见的弱点类别，本平台收录该类弱点关联的 5 条 CVE 漏洞。

目標達成 すべての支援者に感謝 — 100%達成しました！

CWE-363 允许符号链接跟随的竞争条件 类漏洞列表 5

目標達成すべての支援者に感謝 — 100%達成しました！

CWE-363 允许符号链接跟随的竞争条件类漏洞列表 5