目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-471 对假设不可变数据的修改(MAID) 类漏洞列表 29

CWE-471 对假设不可变数据的修改(MAID) 类弱点 29 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-471属于数据完整性漏洞,指程序错误地允许修改本应不可变的关键数据。攻击者常利用此缺陷,通过篡改隐藏表单字段、Cookie或反向DNS查找结果,绕过安全校验或改变应用逻辑。开发者应避免依赖客户端或外部不可信数据作为安全决策依据,对关键配置实施服务端强制校验,并使用只读存储或权限控制机制,确保核心数据在运行时不被非法篡改。

MITRE CWE 官方描述
CWE:CWE-471 修改假定不可变数据 (Modification of Assumed-Immutable Data, MAID) 英文:产品未能正确保护假定不可变元素,使其免受攻击者的修改。 当某个输入对应用程序的运行至关重要,以至于根本不应允许修改,但实际上却允许修改时,就会发生这种情况。某些资源通常被假定是不可变的,但实际上并非如此,例如 Web 应用程序中的隐藏表单字段 (hidden form fields)、Cookie 以及反向 DNS 查找 (reverse DNS lookups)。
常见影响 (2)
IntegrityModify Application Data
Common data types that are attacked are environment variables, web application parameters, and HTTP headers.
IntegrityUnexpected State
缓解措施 (1)
Architecture and Design, Operation, ImplementationWhen the data is stored or transmitted through untrusted sources that could modify the data, implement integrity checks to detect unauthorized modification, or store/transmit the data in a trusted location that is free from external influence.
代码示例 (1)
In the code excerpt below, an array returned by a Java method is modified despite the fact that arrays are mutable.
String[] colors = car.getAllPossibleColors(); colors[0] = "Red";
Bad · Java
CVE ID标题CVSS风险等级Published
CVE-2025-33136 IBM Aspera Faspex 安全漏洞 — Aspera Faspex 7.1 High2025-05-22
CVE-2024-9876 ABB多款产品 安全漏洞 — ANC 7.3 High2025-04-30
CVE-2024-55551 Exasol JDBC Driver 安全漏洞 — JDBC driver 8.3 High2025-03-19
CVE-2024-45672 IBM Security Verify Bridge 安全漏洞 — Security Verify Bridge 6.0 Medium2025-01-23
CVE-2024-51462 IBM QRadar WinCollect Agent 安全漏洞 — QRadar WinCollect Agent 4.0 Medium2025-01-17
CVE-2024-34517 Neo4j 安全漏洞 — Neo4j 6.5 Medium2024-05-07
CVE-2023-46232 era-compiler-vyper 安全漏洞 — era-compiler-vyper 5.3 Medium2023-10-25
CVE-2023-43697 SICK APU 安全漏洞 — APU0200 6.5 Medium2023-10-09
CVE-2023-2904 HID Global HID SAFE 安全漏洞 — SAFE 8.1 -2023-06-07
CVE-2022-2390 Google Play services 安全漏洞 — Play Services SDK 6.1 Medium2022-08-12
CVE-2022-1561 Lura和KrakenD 安全漏洞 — Lura Project 4.0 Medium2022-08-01
CVE-2022-21824 nodejs 代码注入漏洞 — Node 8.2 -2022-02-24
CVE-2021-24046 Ray-Ban Stories安全漏洞 — Ray-Ban® Stories Smart Glasses 5.3 -2022-01-14
CVE-2021-42701 AzeoTech DAQFactory 输入验证错误漏洞 — DAQFactory 5.0 Medium2021-11-05
CVE-2021-37193 Siemens SINEMA Remote Connect Server 安全漏洞 — SINEMA Remote Connect Server 4.3 -2021-09-14
CVE-2021-37177 Siemens SINEMA Remote Connect Server 访问控制错误漏洞 — SINEMA Remote Connect Server 6.5 -2021-09-14
CVE-2020-26268 Google TensorFlow 安全漏洞 — tensorflow 4.4 Medium2020-12-10
CVE-2020-26237 Highlightjs 安全漏洞 — highlight.js 5.8 Medium2020-11-24
CVE-2020-8268 json8-merge-patch 输入验证错误漏洞 — json8-merge-patch 8.2 -2020-11-09
CVE-2020-15256 object-path 安全漏洞 — object-path 7.7 High2020-10-19
CVE-2020-8158 TypeORM SQL注入漏洞 — typeorm 9.8 -2020-09-18
CVE-2020-8147 npm package utils-extend 输入验证错误漏洞 — utils-extend 9.8 -2020-04-03
CVE-2020-8116 dot-prop 安全漏洞 — dot-prop 6.5 -2020-02-04
CVE-2018-3719 mixin-deep 安全漏洞 — mixin-deep node module 8.8 -2018-06-07
CVE-2018-3723 defaults-deep 输入验证漏洞 — defaults-deep node module 8.8 -2018-06-07
CVE-2018-3722 merge-deep node模块安全漏洞 — merge-deep node module 8.8 -2018-06-07
CVE-2018-3721 lodash node模块安全漏洞 — lodash node module 8.8 -2018-06-07
CVE-2018-3720 assign-deep node模块安全漏洞 — assign-deep node module 8.8 -2018-06-07
CVE-2018-3728 Hoek 访问控制错误漏洞 — hoek node module 8.8 -2018-03-30

CWE-471(对假设不可变数据的修改(MAID)) 是常见的弱点类别,本平台收录该类弱点关联的 29 条 CVE 漏洞。