CWE-499 可序列化的类中包含敏感信息 类弱点 1 条 CVE 漏洞汇总,含 AI 中文分析。
CWE-499 指包含敏感数据的类未显式禁止序列化,导致数据暴露。攻击者通过序列化该类的其他组件,间接读取并窃取内部敏感信息。由于未禁用序列化,此类数据无法真正隐藏。开发者应避免在包含机密信息的类中实现 Serializable 接口,或显式实现 writeObject 方法以抛出异常,从而阻断序列化路径,确保数据安全。
class PatientRecord { private String name; private String socialSecurityNum; public Patient(String name,String ssn) { this.SetName(name); this.SetSocialSecurityNumber(ssn); } }| CVE ID | 标题 | CVSS | 风险等级 | Published |
|---|---|---|---|---|
| CVE-2024-5657 | CraftCMS 安全漏洞 — CraftCMS Plugin - Two-Factor Authentication | 3.7 | Low | 2024-06-06 |
CWE-499(可序列化的类中包含敏感信息) 是常见的弱点类别,本平台收录该类弱点关联的 1 条 CVE 漏洞。