目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-530 将备份文件暴露给非授权控制范围 类漏洞列表 10

CWE-530 将备份文件暴露给非授权控制范围 类弱点 10 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-530 属于敏感信息泄露漏洞,指备份文件被错误地放置在允许未授权访问的目录或归档中。攻击者通常利用 Web 服务器自动生成的备份扩展名(如 .~bk),直接访问 Web 根目录下的旧版源文件以窃取代码或配置。开发者应避免将备份文件保留在生产环境中,确保其存储路径具备严格的访问控制权限,并定期清理不必要的临时文件,从而防止敏感数据暴露给未授权实体。

MITRE CWE 官方描述
CWE:CWE-530 备份文件暴露给未授权控制域(Unauthorized Control Sphere) 英文:备份文件被存储在可被未授权行为者(Unauthorized Actors)访问的目录或归档中。 通常,较旧的备份文件会被重命名,并附加如 `.~bk` 之类的扩展名,以区别于生产文件。这些以这种方式重命名并遗留在 Web 根目录(Webroot)中的旧文件的源代码通常可以被检索到。这种重命名操作可能是由 Web 服务器自动执行的,也可能是由管理员手动执行的。
常见影响 (1)
ConfidentialityRead Application Data
At a minimum, an attacker who retrieves this file would have all the information contained in it, whether that be database calls, the format of parameters accepted by the application, or simply information regarding the architectural structure of your site.
缓解措施 (1)
PolicyRecommendations include implementing a security policy within your organization that prohibits backing up web application source code in the webroot.
CVE ID标题CVSS风险等级Published
CVE-2026-2974 AliasVault 安全漏洞 — AliasVault App 2.5 Low2026-02-23
CVE-2020-36899 QiHang Media Web Digital Signage 安全漏洞 — QiHang Media Web Digital Signage 7.5AIHighAI2025-12-10
CVE-2025-3773 Trellix System Information Reporter 安全漏洞 — System Information Reporter 5.5AIMediumAI2025-06-26
CVE-2024-12330 WordPress plugin WP Database Backup 安全漏洞 — WP Database Backup – Unlimited Database & Files Backup by Backup for WP 7.5 High2025-01-09
CVE-2024-3430 QKSMS 安全漏洞 — QKSMS 2.4 Low2024-04-07
CVE-2024-3128 Replify-Messenger 安全漏洞 — Replify-Messenger 2.4 Low2024-04-01
CVE-2024-3124 Smart Alarm 安全漏洞 — smartalarm 2.4 Low2024-04-01
CVE-2024-2567 Weather app 安全漏洞 — AndroidWeatherApp 1.8 Low2024-03-17
CVE-2024-2364 Musicshelf 安全漏洞 — Musicshelf 1.8 Low2024-03-10
CVE-2023-5297 RockOA 安全漏洞 — RockOA 3.7 Low2023-09-29

CWE-530(将备份文件暴露给非授权控制范围) 是常见的弱点类别,本平台收录该类弱点关联的 10 条 CVE 漏洞。