目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-497 将系统数据暴露到未授权控制的范围 类漏洞列表 291

CWE-497 将系统数据暴露到未授权控制的范围 类弱点 291 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-497属于敏感信息泄露漏洞,指产品未能阻止未授权方访问底层系统信息。攻击者常利用网络通信中的错误响应或调试信息,获取操作系统、数据库配置等敏感细节,进而辅助后续攻击。开发者应严格限制错误信息的输出,确保仅返回必要的业务数据,并实施最小权限原则,防止敏感系统细节暴露给外部不可信实体。

MITRE CWE 官方描述
CWE:CWE-497 敏感系统信息暴露给未授权的控制域 英文:产品未能有效防止未授权主体访问敏感的系统级信息,而这些未授权主体对底层系统的访问权限低于产品本身的权限。 基于网络的产品(如 Web 应用程序)通常运行在操作系统或类似环境之上。当产品与外部实体通信时,底层系统的详细信息(如数据文件的路径名、其他操作系统用户、已安装的软件包、应用程序环境等)应保持隐藏。此类系统信息可能由产品本身直接提供,也可能隐藏在诊断或调试消息中。调试信息有助于攻击者了解系统并制定攻击计划。当系统数据或调试信息通过输出流或日志记录函数离开程序,从而被未授权方访问时,即发生信息暴露。攻击者可以利用其他弱点引发错误;对这些错误的响应可能会泄露详细的系统信息,并造成其他影响。攻击者可以利用揭示技术、操作系统和产品版本的错误消息,针对这些技术中已知的漏洞调整攻击策略。产品可能在错误处理机制中使用提供大量实现细节(如堆栈跟踪)的诊断方法。
常见影响 (1)
ConfidentialityRead Application Data
缓解措施 (1)
Architecture and Design, ImplementationProduction applications should never use methods that generate internal details such as stack traces and error messages unless that information is directly committed to a log that is not viewable by the end user. All error message text should be HTML entity encoded before being written to the log file to protect against potential cross-site scripting attacks against the viewer of the logs
代码示例 (2)
The following code prints the path environment variable to the standard error stream:
char* path = getenv("PATH"); ... sprintf(stderr, "cannot find exe on path %s\n", path);
Bad · C
This code prints all of the running processes belonging to the current user.
//assume getCurrentUser() returns a username that is guaranteed to be alphanumeric (avoiding CWE-78) $userName = getCurrentUser(); $command = 'ps aux | grep ' . $userName; system($command);
Bad · PHP
CVE ID标题CVSS风险等级Published
CVE-2026-7864 敏感信息泄露漏洞 — Secure Email Gateway--2026-05-08
CVE-2026-41928 Vvveb <1.0.8.2 Cron控制器信息泄露漏洞 — Vvveb 5.3 Medium2026-05-07
CVE-2026-25468 WordPress Happy Addons 3.20.8 及以前版本敏感信息泄露漏洞 — Happy Addons for Elementor 5.3 Medium2026-05-07
CVE-2026-42644 WordPress Plugin BetterDocs 安全漏洞 — BetterDocs 5.3 Medium2026-04-29
CVE-2026-24222 NVIDIA NeMoClaw 安全漏洞 — NemoClaw 8.6 High2026-04-28
CVE-2026-41339 OpenClaw 安全漏洞 — OpenClaw 4.3 Medium2026-04-23
CVE-2026-41335 OpenClaw 安全漏洞 — OpenClaw 5.3 Medium2026-04-23
CVE-2026-34413 Xerte Online Toolkits 安全漏洞 — xerteonlinetoolkits 8.6 High2026-04-22
CVE-2026-41459 Xerte Online Toolkits 安全漏洞 — xerteonlinetoolkits 5.3 Medium2026-04-22
CVE-2026-39686 WordPress plugin BSK PDF Manager 安全漏洞 — BSK PDF Manager 5.3 Medium2026-04-08
CVE-2026-39572 WordPress plugin Bus Ticket Booking with Seat Reservation 安全漏洞 — Bus Ticket Booking with Seat Reservation 4.3 Medium2026-04-08
CVE-2026-39571 WordPress plugin Instantio 安全漏洞 — Instantio 5.3 Medium2026-04-08
CVE-2026-39566 WordPress plugin DirectoryPress 安全漏洞 — DirectoryPress 4.3 Medium2026-04-08
CVE-2026-39536 WordPress plugin RSVP and Event Management 安全漏洞 — RSVP and Event Management 5.3 Medium2026-04-08
CVE-2026-39516 WordPress plugin Nexter Blocks 安全漏洞 — Nexter Blocks 5.3 Medium2026-04-08
CVE-2026-39469 WordPress plugin PageLayer 安全漏洞 — PageLayer 4.3 Medium2026-04-08
CVE-2026-33617 MB Connect Line mbCONNECT24 安全漏洞 — mbCONNECT24 5.3 Medium2026-04-02
CVE-2025-36373 IBM DataPower Gateway 安全漏洞 — DataPower Gateway 10.6CD 4.1 Medium2026-04-01
CVE-2026-25344 WordPress plugin Review Schema 安全漏洞 — Review Schema 6.5 Medium2026-03-25
CVE-2026-32405 WordPress plugin WoodMart 安全漏洞 — WoodMart 5.3 Medium2026-03-13
CVE-2026-32372 WordPress plugin ShopBuilder – Elementor WooCommerce Builder Addons 安全漏洞 — ShopBuilder – Elementor WooCommerce Builder Addons 5.3 Medium2026-03-13
CVE-2026-0231 Palo Alto Networks Cortex XDR Broker VM 安全漏洞 — Cortex XDR Broker VM 8.1AIHighAI2026-03-11
CVE-2025-41763 MBS多款产品 安全漏洞 — UBR-01 Mk II 6.5 Medium2026-03-09
CVE-2025-13616 IBM DataStage on Cloud Pak for Data 安全漏洞 — DataStage on Cloud Pak for Data 6.5 Medium2026-03-03
CVE-2025-47378 Qualcomm Chipsets 安全漏洞 — Snapdragon 7.1 High2026-03-02
CVE-2026-27494 n8n 安全漏洞 — n8n 9.9AICriticalAI2026-02-25
CVE-2026-24314 SAP S/4HANA 安全漏洞 — S/4HANA (Manage Payment Media) 4.3 Medium2026-02-24
CVE-2026-3075 WordPress plugin Simple Ajax Chat 安全漏洞 — Simple Ajax Chat 5.3 Medium2026-02-23
CVE-2026-25389 WordPress plugin EventPrime 安全漏洞 — EventPrime 5.3 Medium2026-02-19
CVE-2026-25325 WordPress plugin rtMedia for WordPress, BuddyPress and bbPress 安全漏洞 — rtMedia for WordPress, BuddyPress and bbPress 5.3 Medium2026-02-19

CWE-497(将系统数据暴露到未授权控制的范围) 是常见的弱点类别,本平台收录该类弱点关联的 291 条 CVE 漏洞。