目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-454 可信任变量或数据存储的外部初始化 类漏洞列表 2

CWE-454 可信任变量或数据存储的外部初始化 类弱点 2 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-454 属于外部初始化可信变量或数据存储漏洞。攻击者通过操控输入,在信任边界外初始化关键内部变量,从而篡改程序状态或逻辑。开发者应避免依赖外部输入初始化核心数据,需在信任边界内严格验证和初始化变量,确保关键数据不受不可信源影响,以维持系统完整性与安全性。

MITRE CWE 官方描述
CWE:CWE-454 受信任变量或数据存储的外部初始化 产品使用可由不受信任的参与者(untrusted actors)修改的输入来初始化关键内部变量或数据存储。 产品系统应谨慎对待那些在其信任边界(trust boundary)之外初始化的变量,尤其是由用户初始化的变量。这些变量可能已被不正确地初始化。如果攻击者能够初始化该变量,则他们可以影响易受攻击系统(vulnerable system)的行为。
常见影响 (1)
IntegrityModify Application Data
An attacker could gain access to and modify sensitive data or system information.
缓解措施 (2)
ImplementationA product system should be reluctant to trust variables that have been initialized outside of its trust boundary. Ensure adequate checking (e.g. input validation) is performed when relying on input from outside a trust boundary.
Architecture and DesignAvoid any external control of variables. If necessary, restrict the variables that can be modified using an allowlist, and use a different namespace or naming convention if possible.
代码示例 (2)
In the Java example below, a system property controls the debug level of the application.
int debugLevel = Integer.getInteger("com.domain.application.debugLevel").intValue();
Bad · Java
This code checks the HTTP POST request for a debug switch, and enables a debug mode if the switch is set.
$debugEnabled = false; if ($_POST["debug"] == "true"){ $debugEnabled = true; } /.../ function login($username, $password){ if($debugEnabled){ echo 'Debug Activated'; phpinfo(); $isAdmin = True; return True; } }
Bad · PHP
CVE ID标题CVSS风险等级Published
CVE-2026-26148 Microsoft Azure Entra ID 安全漏洞 — Microsoft Azure AD SSH Login extension for Linux 8.1 High2026-03-10
CVE-2025-36244 IBM AIX和IBM VIOS 安全漏洞 — AIX 7.4 High2025-09-16

CWE-454(可信任变量或数据存储的外部初始化) 是常见的弱点类别,本平台收录该类弱点关联的 2 条 CVE 漏洞。