目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-366 单线程内的竞争条件 类漏洞列表 14

CWE-366 单线程内的竞争条件 类弱点 14 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-366 属于线程竞争条件漏洞,指多个线程同时访问共享资源时,因状态未定义导致程序行为异常。攻击者通常通过精心构造并发请求,利用时间窗口干扰资源状态,从而引发数据损坏或逻辑错误。开发者可通过引入互斥锁、原子操作或线程安全的数据结构来同步访问,确保同一时刻仅有一个线程操作资源,从而消除竞争隐患。

MITRE CWE 官方描述
CWE:CWE-366 Race Condition within a Thread 英文:如果两个执行线程(threads of execution)同时使用一个资源,则存在该资源在无效状态下被使用的可能性,从而导致执行状态(state of execution)未定义。
常见影响 (1)
Integrity, OtherAlter Execution Logic, Unexpected State
The main problem is that -- if a lock is overcome -- data could be altered in a bad state.
缓解措施 (2)
Architecture and DesignUse locking functionality. This is the recommended solution. Implement some form of locking mechanism around code which alters or reads persistent data in a multithreaded environment.
Architecture and DesignCreate resource-locking validation checks. If no inherent locking mechanisms exist, use flags and signals to enforce your own blocking scheme when resources are being used by other threads of execution.
代码示例 (1)
The following example demonstrates the weakness.
int foo = 0; int storenum(int num) { static int counter = 0; counter++; if (num > foo) foo = num; return foo; }
Bad · C
public classRace { static int foo = 0; public static void main() { new Threader().start(); foo = 1; } public static class Threader extends Thread { public void run() { System.out.println(foo); } } }
Bad · Java
CVE ID标题CVSS风险等级Published
CVE-2026-3904 GNU C Library 安全漏洞 — glibc 6.8AIMediumAI2026-03-11
CVE-2026-23684 SAP Commerce Cloud 安全漏洞 — SAP Commerce Cloud 5.9 Medium2026-02-10
CVE-2026-22819 Outray 安全漏洞 — outray 5.9 Medium2026-01-14
CVE-2025-31115 XZ Utils 安全漏洞 — xz 7.5AIHighAI2025-04-03
CVE-2024-10630 Ivanti Application Control 安全漏洞 — Application Control Engine 7.8 High2025-01-14
CVE-2024-2032 ZenML 安全漏洞 — zenml-io/zenml 5.9AIMediumAI2024-06-06
CVE-2023-6546 Linux kernel 安全漏洞 — Red Hat Enterprise Linux 8 7.0 High2023-12-21
CVE-2023-4732 Linux Kernel 竞争条件问题漏洞 — Red Hat Enterprise Linux 8 4.7 Medium2023-10-03
CVE-2023-4127 answer 安全漏洞 — answerdev/answer 7.5 -2023-08-03
CVE-2023-3218 OpenITCOCKPIT 安全漏洞 — it-novum/openitcockpit 7.5 -2023-06-13
CVE-2015-10067 oznetmaster SSharpSmartThreadPool 竞争条件问题漏洞 — SSharpSmartThreadPool 4.6 Medium2023-01-18
CVE-2022-1729 Linux kernel 竞争条件问题漏洞 — linux kernel 7.0 -2022-09-01
CVE-2021-26569 Synology DiskStation Manager 竞争条件问题漏洞 — Synology DiskStation Manager (DSM) 9.8 Critical2021-03-12
CVE-2020-1629 Juniper Networks Junos OS 竞争条件问题漏洞 — Junos OS 5.9 Medium2020-04-08

CWE-366(单线程内的竞争条件) 是常见的弱点类别,本平台收录该类弱点关联的 14 条 CVE 漏洞。