目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-646 依赖于外部提供文件的文件名或扩展名 类漏洞列表 9

CWE-646 依赖于外部提供文件的文件名或扩展名 类弱点 9 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-646属于信任外部输入导致的漏洞。当应用仅依赖文件名或扩展名判断文件类型时,攻击者可伪造扩展名绕过验证,诱导系统错误处理恶意文件,如执行脚本或解析危险内容。开发者应避免单纯依赖文件名,转而采用内容检测、MIME类型校验或白名单机制,确保文件被正确识别和处理,从而防止恶意代码执行或数据泄露。

MITRE CWE 官方描述
CWE:CWE-646 依赖外部提供文件的文件名或扩展名 英文:产品允许上传文件,但它依赖文件的文件名或扩展名来确定适当的行为。攻击者可以利用这一点导致文件被错误分类并以危险的方式处理。 应用程序可能会使用用户提供的文件的文件名或扩展名来确定正确的操作路径,例如选择应将控制权传递给的正确进程、决定应提供哪些数据,或分配哪些资源。如果攻击者能够使代码错误分类提供的文件,则可能会发生错误的操作。例如,攻击者可以提供一个以“.php.gif”扩展名结尾的文件,该文件看起来像是 GIF 图像,但会被作为 PHP 代码处理。在极端情况下,可能导致代码执行,但攻击者还可能造成资源耗尽、拒绝服务、调试或系统数据(包括应用程序源代码)的暴露,或被绑定到特定的服务器端进程。这种弱点可能是由于 Web 和应用程序服务器使用的任何技术中的漏洞、配置错误,或是应用程序本身其他缺陷的结果。
常见影响 (3)
ConfidentialityRead Application Data
An attacker may be able to read sensitive data.
AvailabilityDoS: Crash, Exit, or Restart
An attacker may be able to cause a denial of service.
Access ControlGain Privileges or Assume Identity
An attacker may be able to gain privileges.
缓解措施 (1)
Architecture and DesignMake decisions on the server side based on file content and not on file name or extension.
CVE ID标题CVSS风险等级Published
CVE-2026-20172 Cisco Enterprise Chat and Email Lite 文件上传漏洞 — Cisco Enterprise Chat and Email 4.3 Medium2026-05-06
CVE-2025-30662 Zoom Workplace VDI Plugin 安全漏洞 — Zoom Workplace VDI Plugin macOS Universal installer 6.6 Medium2025-11-13
CVE-2025-41720 Sauter modu680-AS 安全漏洞 — modulo 6 devices modu680-AS 4.3 Medium2025-10-22
CVE-2025-58449 Maho 安全漏洞 — maho 7.2AIHighAI2025-09-08
CVE-2025-1889 picklescan 安全漏洞 — picklescan 7.5 -2025-03-03
CVE-2024-52052 Wowza Media Systems Wowza Streaming Engine 安全漏洞 — Streaming Engine 7.2AIHighAI2024-11-21
CVE-2024-38432 Matrix Tafnit 安全漏洞 — Tafnit v8 5.5 Medium2024-07-30
CVE-2023-45599 AiLux imx6 安全漏洞 — imx6 bundle 5.5 Medium2024-03-05
CVE-2021-34639 WordPress 插件代码问题漏洞 — WordPress Download Manager 7.5 High2021-08-05

CWE-646(依赖于外部提供文件的文件名或扩展名) 是常见的弱点类别,本平台收录该类弱点关联的 9 条 CVE 漏洞。