目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-644 对HTTP头部进行脚本语法转义处理不恰当 类漏洞列表 45

CWE-644 对HTTP头部进行脚本语法转义处理不恰当 类弱点 45 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-644属于HTTP头注入漏洞,指产品未正确净化HTTP头中的脚本语法。攻击者常通过构造恶意HTTP头,利用浏览器组件(如Flash)执行跨站脚本攻击,窃取用户数据或劫持会话。开发者应避免将用户可控数据直接写入HTTP头,需对输入进行严格过滤与编码,确保特殊字符被正确转义,从而阻断恶意脚本的执行路径,保障应用安全。

MITRE CWE 官方描述
CWE:CWE-644 HTTP 头部的脚本语法不当中和 英文:产品未对 HTTP 头部中的 Web 脚本语法进行中和,或中和不当。这些脚本语法可被能够处理原始头部的 Web 浏览器组件(如 Flash)所利用。 攻击者可能能够对启用了这些组件的用户实施跨站脚本(Cross-Site Scripting, XSS)及其他攻击。如果产品未对服务器发出的 HTTP 响应头部中包含的用户可控数据进行中和,则该头部可能包含将在客户端浏览器上下文中执行的脚本,从而导致跨站脚本漏洞,或可能引发 HTTP 响应拆分(HTTP Response Splitting)攻击。为确保不存在任何脚本语法,必须仔细控制放置在 HTTP 响应头部和 HTTP 响应主体中的数据,并考虑各种编码方式。
常见影响 (2)
Integrity, Confidentiality, AvailabilityExecute Unauthorized Code or Commands
Run arbitrary code.
ConfidentialityRead Application Data
Attackers may be able to obtain sensitive information.
缓解措施 (2)
Architecture and DesignPerform output validation in order to filter/escape/encode unsafe data that is being passed from the server in an HTTP response header.
Architecture and DesignDisable script execution functionality in the clients' browser.
代码示例 (1)
In the following Java example, user-controlled data is added to the HTTP headers and returned to the client. Given that the data is not subject to neutralization, a malicious user may be able to inject dangerous scripting tags that will lead to script execution in the client browser.
response.addHeader(HEADER_NAME, untrustedRawInputData);
Bad · Java
CVE ID标题CVSS风险等级Published
CVE-2026-33805 fastify/reply-from和fastify/http-proxy 安全漏洞 — @fastify/reply-from 7.5 -2026-04-15
CVE-2025-66485 IBM Aspera Shares 安全漏洞 — Aspera Shares 5.4 Medium2026-04-01
CVE-2026-33149 Tandoor Recipes 安全漏洞 — recipes 8.1 High2026-03-26
CVE-2025-14807 IBM InfoSphere Information Server 安全漏洞 — InfoSphere Information Server 6.5 Medium2026-03-25
CVE-2025-13213 IBM Aspera Orchestrator 安全漏洞 — Aspera Orchestrator 5.4 Medium2026-03-10
CVE-2025-36227 IBM Aspera Faspex 安全漏洞 — Aspera Faspex 5 5.4 Medium2026-03-10
CVE-2026-1698 PcVue 安全漏洞 — PcVue 6.5AIMediumAI2026-02-26
CVE-2025-27901 IBM DB2 Recovery Expert 安全漏洞 — DB2 Recovery Expert for LUW 6.5 Medium2026-02-17
CVE-2026-26234 JUNG Smart Visu Server 安全漏洞 — JUNG Smart Visu Server 8.8 High2026-02-12
CVE-2024-51451 IBM Concert 安全漏洞 — Concert 6.5 Medium2026-02-04
CVE-2025-52660 HCL AION 安全漏洞 — AION 2.7 Low2026-01-19
CVE-2025-64425 Coolify 安全漏洞 — coolify 8.0 -2026-01-05
CVE-2025-13803 MediaCrush 安全漏洞 — MediaCrush 7.3 High2025-12-01
CVE-2025-13434 Hush Framework 安全漏洞 — Hush Framework 5.3 Medium2025-11-20
CVE-2025-36223 IBM OpenPages 安全漏洞 — OpenPages 5.4 Medium2025-11-12
CVE-2025-64484 OAuth2-Proxy 安全漏洞 — oauth2-proxy 8.5 High2025-11-10
CVE-2025-52647 HCL BigFix WebUI 安全漏洞 — BigFix WebUI 6.1 Medium2025-10-10
CVE-2024-40686 IBM Operations Analytics-Log Analysis 安全漏洞 — SmartCloud Analytics Log Analysis 5.4 Medium2025-07-23
CVE-2025-40631 IceWarp Mail Server 安全漏洞 — Icewarp Mail Server 6.1AIMediumAI2025-05-16
CVE-2025-24339 Bosch Rexroth ctrlX OS 安全漏洞 — ctrlX OS - Device Admin 5.0 Medium2025-04-30
CVE-2025-2950 IBM i 安全漏洞 — i 5.4 Medium2025-04-18
CVE-2022-43847 IBM Aspera Console 安全漏洞 — Aspera Console 5.4 Medium2025-04-14
CVE-2025-0154 IBM TXSeries for Multiplatforms 安全漏洞 — TXSeries for Multiplatforms 5.3 Medium2025-04-02
CVE-2025-27632 Hitachi Energy TRMTracker 注入漏洞 — TRMTracker 6.1 Medium2025-03-25
CVE-2023-35894 IBM Control Center 安全漏洞 — Control Center 5.4 Medium2025-03-07
CVE-2025-23191 SAP Fiori 安全漏洞 — SAP Fiori for SAP ERP 3.1 Low2025-02-11
CVE-2024-30129 HCL Nomad 安全漏洞 — Nomad server on Domino 5.3 Medium2024-12-06
CVE-2024-10006 HashiCorp Consul 安全漏洞 — Consul 8.3 High2024-10-30
CVE-2024-47549 Sharp MFP 安全漏洞 — Sharp Digital Full-color MFPs and Monochrome MFPs 7.4 High2024-10-25
CVE-2023-26289 IBM Aspera Orchestrator 安全漏洞 — Aspera Orchestrator 5.4 Medium2024-07-30

CWE-644(对HTTP头部进行脚本语法转义处理不恰当) 是常见的弱点类别,本平台收录该类弱点关联的 45 条 CVE 漏洞。