CWE-522 不充分的凭证保护机制类漏洞列表 389

CWE-522 不充分的凭证保护机制类弱点 389 条 CVE 漏洞汇总，含 AI 中文分析。

CWE-522属于凭据保护不足漏洞，指产品在传输或存储认证凭据时使用了不安全的方法，易导致凭据被未授权方拦截或窃取。攻击者通常通过中间人攻击、网络嗅探或访问未加密的存储介质来获取敏感信息，进而冒充合法用户。开发者应避免使用明文传输，采用TLS等加密协议保护传输过程，并在存储时使用强哈希算法加盐处理，确保凭据机密性与完整性。

MITRE CWE 官方描述

CWE：CWE-522 凭证保护不足英文：产品传输或存储认证凭证（authentication credentials），但使用了不安全的方法，容易受到未经授权的拦截和/或检索。

常见影响 (1)

Access ControlGain Privileges or Assume Identity

An attacker could gain access to user accounts and access sensitive data used by the user accounts.

缓解措施 (3)

Architecture and DesignUse an appropriate security mechanism to protect the credentials.

Architecture and DesignMake appropriate use of cryptography to protect the credentials.

ImplementationUse industry standards to protect the credentials (e.g. LDAP, keystore, etc.).

代码示例 (2)

This code changes a user's password.

$user = $_GET['user']; $pass = $_GET['pass']; $checkpass = $_GET['checkpass']; if ($pass == $checkpass) { SetUserPassword($user, $pass); }

Bad · PHP

The following code reads a password from a properties file and uses the password to connect to a database.

... Properties prop = new Properties(); prop.load(new FileInputStream("config.properties")); String password = prop.getProperty("password"); DriverManager.getConnection(url, usr, password); ...

Bad · Java

CVE ID	标题	CVSS	风险等级	Published
CVE-2026-0715	MOXA UC Series 安全漏洞 — UC-1200A Series	6.8^AI	Medium^AI	2026-02-05
CVE-2026-1966	YugabyteDB Anywhere 安全漏洞 — YugabyteDB Anywhere	8.1^AI	High^AI	2026-02-05
CVE-2020-37097	Edimax EW-7438RPn 安全漏洞 — EW-7438RPn Mini	7.5	High	2026-02-03
CVE-2025-52623	HCL AION 安全漏洞 — AION	3.7	Low	2026-02-03
CVE-2026-24845	malcontent 安全漏洞 — malcontent	6.5	Medium	2026-01-29
CVE-2020-36968	Tildeslash M/Monit 安全漏洞 — M/Monit	6.5	Medium	2026-01-28
CVE-2025-9521	TP-Link Omada Controllers 安全漏洞 — Omada Controller	7.5^AI	High^AI	2026-01-26
CVE-2026-23958	DataEase 安全漏洞 — dataease	9.8^AI	Critical^AI	2026-01-22
CVE-2026-21852	Claude Code 安全漏洞 — claude-code	6.5^AI	Medium^AI	2026-01-21
CVE-2025-58742	Milner ImageDirector Capture 安全漏洞 — ImageDirector Capture	5.9^AI	Medium^AI	2026-01-20
CVE-2025-58741	Milner ImageDirector Capture 安全漏洞 — ImageDirector Capture	7.5^AI	High^AI	2026-01-20
CVE-2026-1223	Browan Communications PrismX MX100 安全漏洞 — PrismX MX100 AP controller	4.9	Medium	2026-01-20
CVE-2021-47759	TTY PLUS MTPuTTY 安全漏洞 — MTPutty	6.2	Medium	2026-01-15
CVE-2025-69271	Broadcom DX NetOps Spectrum 安全漏洞 — DX NetOps Spectrum	8.1^AI	High^AI	2026-01-12
CVE-2025-62327	HCL DevOps Deploy 安全漏洞 — DevOps Deploy	4.9	Medium	2026-01-07
CVE-2025-64420	Coolify 安全漏洞 — coolify	10.0	Critical	2026-01-05
CVE-2025-64122	Nuvation Energy Multi-Stack Controller 安全漏洞 — Multi-Stack Controller (MSC)	7.5	-	2026-01-02
CVE-2021-47741	ZBL EPON ONU Broadband Router V100R001 安全漏洞 — ZBL EPON ONU Broadband Router	7.5	High	2025-12-31
CVE-2021-47726	NuCom 11N 安全漏洞 — NuCom 11N Wireless Router	7.5	High	2025-12-31
CVE-2025-66029	Open OnDemand 安全漏洞 — ondemand	7.6	High	2025-12-17
CVE-2025-14148	IBM DevOps Deploy 安全漏洞 — UCD - IBM DevOps Deploy	6.5	Medium	2025-12-15
CVE-2025-58130	Apache Fineract 安全漏洞 — Apache Fineract	9.1^AI	Critical^AI	2025-12-12
CVE-2020-36896	QiHang Media Web Digital Signage 安全漏洞 — QiHang Media Web Digital Signage	8.4^AI	High^AI	2025-12-10
CVE-2025-64898	Adobe ColdFusion 安全漏洞 — ColdFusion	4.3	Medium	2025-12-09
CVE-2025-13164	Digiwin EasyFlow GP 安全漏洞 — EasyFlow GP	4.9	Medium	2025-11-17
CVE-2025-13163	Digiwin EasyFlow GP 安全漏洞 — EasyFlow GP	4.9	Medium	2025-11-17
CVE-2025-36096	IBM AIX和IBM VIOS 安全漏洞 — AIX	9.0	Critical	2025-11-13
CVE-2025-6571	AXIS OS 安全漏洞 — AXIS OS	6.0	Medium	2025-11-11
CVE-2025-42897	SAP Business One 安全漏洞 — SAP Business One (SLD)	5.3	Medium	2025-11-11
CVE-2025-12636	Ubia Ubox 安全漏洞 — Ubox Android	6.5	Medium	2025-11-06

CWE-522（不充分的凭证保护机制）是常见的弱点类别，本平台收录该类弱点关联的 389 条 CVE 漏洞。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CWE-522 不充分的凭证保护机制 类漏洞列表 389

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CWE-522 不充分的凭证保护机制类漏洞列表 389