目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CWE-551 不正确的行为次序:在解析与净化处理之前进行授权 类漏洞列表 6

CWE-551 不正确的行为次序:在解析与净化处理之前进行授权 类弱点 6 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-551属于逻辑顺序漏洞,指系统在解析和规范化URL前执行授权检查。攻击者利用路径遍历字符(如“/./”)绕过权限控制,访问受保护资源。因系统未统一处理路径语义,导致授权判断失效。开发者应在授权检查前,先对输入进行完整的解析、规范化及清理,确保路径语义一致,从而防止此类绕过行为。

MITRE CWE 官方描述
CWE:CWE-551 错误行为顺序:在解析和规范化之前进行授权 英文:如果 Web 服务器在检查 URL 的授权之前未完全解析所请求的 URL,攻击者可能绕过授权保护。 例如,字符串 /./ 和 / 均表示当前目录。如果 /SomeDirectory 是一个受保护的目录,且攻击者请求 /./SomeDirectory,那么在执行授权检查之前如果未将 /./ 转换为 /,攻击者可能能够访问该资源。
常见影响 (1)
Access ControlBypass Protection Mechanism
缓解措施 (1)
Architecture and DesignURL Inputs should be decoded and canonicalized to the application's current internal representation before being validated and processed for authorization. Make sure that your application does not decode the same input twice. Such errors could be used to bypass allowlist schemes by introducing dangerous inputs after they have been checked.
CVE IDタイトルCVSS深刻度公開日
CVE-2026-4636 Keycloak: keycloak: uma policy bypass allows authenticated users to gain unauthorized access to victim-owned resources. — Red Hat build of Keycloak 26.2 8.1 High2026-04-02
CVE-2016-20030 ZKTeco ZKBioSecurity 3.0 User Enumeration via authLoginAction — ZKTeco ZKBioSecurity 9.8 Critical2026-03-15
CVE-2026-0707 Keycloak: keycloak authorization header parsing leading to potential security control bypass — Red Hat build of Keycloak 26.4 5.3 Medium2026-01-08
CVE-2023-23924 URI validation failure on SVG parsing in Dompdf — dompdf 10.0 Critical2023-01-31
CVE-2021-32779 Incorrectly handling of URI '#fragment' element as part of the path element — envoy 8.6 High2021-08-24
CVE-2021-32777 Incorrect concatenation of multiple value request headers in ext-authz extension — envoy 8.6 High2021-08-24

CWE-551(不正确的行为次序:在解析与净化处理之前进行授权) 是常见的弱点类别,本平台收录该类弱点关联的 6 条 CVE 漏洞。