目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1325

100%
请我们喝杯咖啡

CWE-617 可达断言 类漏洞列表 251

CWE-617 可达断言 类弱点 251 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-617 属于断言可达性漏洞,指程序中包含可由攻击者触发的断言语句,导致应用非预期退出或更严重的异常行为。攻击者通常通过构造特定输入触发断言失败,从而引发拒绝服务攻击,使服务中断。开发者应避免在生产环境中启用断言,或确保断言仅用于捕获内部逻辑错误且不可被外部输入控制,同时需对输入进行严格校验以消除潜在触发点。

MITRE CWE 官方描述
CWE:CWE-617 可达断言(Reachable Assertion) 英文:产品包含一个可由攻击者触发的 assert() 或类似语句,从而导致应用程序退出或其他比必要情况更严重的行为。 虽然断言(assertion)有助于捕获逻辑错误并降低进入更严重漏洞状态的可能性,但它仍可能导致拒绝服务(Denial of Service)。例如,如果服务器处理多个并发连接,而单个连接中发生的 assert() 导致所有其他连接被丢弃,这就构成了导致拒绝服务的可达断言(Reachable Assertion)。
常见影响 (1)
AvailabilityDoS: Crash, Exit, or Restart
An attacker that can trigger an assert statement can still lead to a denial of service if the relevant code can be triggered by an attacker, and if the scope of the assert() extends beyond the attacker's own session.
缓解措施 (2)
ImplementationMake sensitive open/close operation non reachable by directly user-controlled data (e.g. open/close resources)
ImplementationPerform input validation on user data.
代码示例 (1)
In the excerpt below, an AssertionError (an unchecked exception) is thrown if the user hasn't entered an email address in an HTML form.
String email = request.getParameter("email_address"); assert email != null;
Bad · Java
CVE ID标题CVSS风险等级Published
CVE-2022-24777 grpc 安全漏洞 — grpc-swift 7.5 High2022-03-25
CVE-2022-23564 Google Tensorflow 安全漏洞 — tensorflow 6.5 Medium2022-02-04
CVE-2022-23565 Google Tensorflow 安全漏洞 — tensorflow 6.5 Medium2022-02-04
CVE-2022-23571 Google Tensorflow 安全漏洞 — tensorflow 6.5 Medium2022-02-04
CVE-2022-23579 Google Tensorflow 安全漏洞 — tensorflow 6.5 Medium2022-02-04
CVE-2022-23581 Google Tensorflow 安全漏洞 — tensorflow 6.5 Medium2022-02-04
CVE-2022-23588 Google Tensorflow 安全漏洞 — tensorflow 6.5 Medium2022-02-04
CVE-2022-23586 Google Tensorflow 安全漏洞 — tensorflow 6.5 Medium2022-02-04
CVE-2022-23583 Google TensorFlow 安全漏洞 — tensorflow 6.5 Medium2022-02-04
CVE-2022-23582 Google Tensorflow 安全漏洞 — tensorflow 6.5 Medium2022-02-04
CVE-2021-43849 cordova-plugin-fingerprint-aio 安全漏洞 — cordova-plugin-fingerprint-aio 6.2 Medium2021-12-23
CVE-2021-32037 Mongodb Server 输入验证错误漏洞 — MongoDB Server 6.5 Medium2021-11-24
CVE-2021-41200 Google TensorFlow 安全漏洞 — tensorflow 5.5 Medium2021-11-05
CVE-2021-37644 Google TensorFlow 安全漏洞 — tensorflow 5.5 Medium2021-08-12
CVE-2021-32815 Exiv2 安全漏洞 — exiv2 5.5 Medium2021-08-09
CVE-2021-1422 多款Cisco产品处理逻辑错误漏洞 — Cisco Adaptive Security Appliance (ASA) Software 7.7 High2021-07-16
CVE-2020-25710 OpenLDAP 安全漏洞 — openldap 7.5 -2021-05-28
CVE-2021-29561 Google TensorFlow 安全漏洞 — tensorflow 2.5 Low2021-05-14
CVE-2021-29562 Google TensorFlow 安全漏洞 — tensorflow 2.5 Low2021-05-14
CVE-2021-29563 Google TensorFlow 安全漏洞 — tensorflow 2.5 Low2021-05-14
CVE-2021-29567 Google TensorFlow 安全漏洞 — tensorflow 2.5 Low2021-05-14
CVE-2021-29543 Google TensorFlow 安全漏洞 — tensorflow 2.5 Low2021-05-14
CVE-2021-29552 Google TensorFlow 安全漏洞 — tensorflow 2.5 Low2021-05-14
CVE-2021-3502 avahi 安全漏洞 — avahi 5.5 -2021-05-07
CVE-2021-20217 Privoxy 安全漏洞 — privoxy 7.5 -2021-03-25
CVE-2019-14851 Libguestfs Nbdkit 安全漏洞 — nbdkit 6.5 -2021-03-18
CVE-2021-24029 Facebook Proxygen 安全漏洞 — mvfst 7.5 -2021-03-15
CVE-2021-20286 libnbd 安全漏洞 — libnbd 6.5 -2021-03-15
CVE-2021-20272 Privoxy 安全漏洞 — privoxy 7.5 -2021-03-09
CVE-2020-25723 QEMU 代码问题漏洞 — QEMU 3.2 -2020-12-02

CWE-617(可达断言) 是常见的弱点类别,本平台收录该类弱点关联的 251 条 CVE 漏洞。