目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-641 文件和其他资源名称限制不恰当 类漏洞列表 11

CWE-641 文件和其他资源名称限制不恰当 类弱点 11 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-641属于资源路径处理不当漏洞,指程序使用外部输入构建文件资源名时未进行有效限制。攻击者常利用此缺陷构造恶意路径,如包含脚本字符或穿越目录,从而触发跨站脚本或读取敏感文件。开发者应严格过滤输入,使用白名单验证文件名,并避免直接拼接用户数据,确保资源访问在安全边界内。

MITRE CWE 官方描述
CWE:CWE-641 文件及其他资源名称限制不当 英文:产品使用来自上游组件的输入来构造文件或其他资源的名称,但未对生成的名称进行限制或限制不当。 这可能导致相应的弱点。例如,如果这些资源的名称中包含脚本字符,当应用程序在动态生成的网页上显示资源名称时,脚本可能会在客户端浏览器中执行。或者,如果资源由某些应用程序解析器处理,特别构造的名称可能会利用解析器内部的某些漏洞,从而可能导致在服务器机器上执行任意代码。问题的具体表现将取决于此类畸形资源名称的使用上下文,以及目标技术中是否存在漏洞或基于假设使得代码执行成为可能。
常见影响 (2)
Integrity, Confidentiality, AvailabilityExecute Unauthorized Code or Commands
Execution of arbitrary code in the context of usage of the resources with dangerous names.
Confidentiality, AvailabilityRead Application Data, DoS: Crash, Exit, or Restart
Crash of the consumer code of these resources resulting in information leakage or denial of service.
缓解措施 (3)
Architecture and DesignDo not allow users to control names of resources used on the server side.
Architecture and DesignPerform allowlist input validation at entry points and also before consuming the resources. Reject bad file names rather than trying to cleanse them.
Architecture and DesignMake sure that technologies consuming the resources are not vulnerable (e.g. buffer overflow, format string, etc.) in a way that would allow code execution if the name of the resource is malformed.
CVE ID标题CVSS风险等级Published
CVE-2019-25623 Pixarra Luminance Studio 安全漏洞 — Luminance Studio 6.2 Medium2026-03-23
CVE-2026-25177 Microsoft Active Directory Domain Services 安全漏洞 — Windows 10 Version 1607 8.8 High2026-03-10
CVE-2025-47173 Microsoft Office 安全漏洞 — Microsoft 365 Apps for Enterprise 7.8 High2025-06-10
CVE-2025-47953 Microsoft Office 安全漏洞 — Microsoft 365 Apps for Enterprise 8.4 High2025-06-10
CVE-2024-47260 AXIS OS 安全漏洞 — AXIS OS 6.5 Medium2025-03-04
CVE-2025-21402 Microsoft Office 安全漏洞 — Microsoft Office LTSC for Mac 2021 7.8 High2025-01-14
CVE-2025-21361 Microsoft Outlook 安全漏洞 — Microsoft Office LTSC for Mac 2021 7.8 High2025-01-14
CVE-2024-45312 Overleaf 安全漏洞 — overleaf 5.3 Medium2024-09-02
CVE-2024-30063 Microsoft Windows Distributed File System 安全漏洞 — Windows 10 Version 1809 6.7 Medium2024-06-11
CVE-2023-0046 daloRADIUS 安全漏洞 — lirantal/daloradius 7.2 -2023-01-04
CVE-2022-36302 Bosch BF-OS 注入漏洞 — BF-OS 8.8 High2022-08-01

CWE-641(文件和其他资源名称限制不恰当) 是常见的弱点类别,本平台收录该类弱点关联的 11 条 CVE 漏洞。