目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-76 等价特殊元素的转义处理不恰当 类漏洞列表 9

CWE-76 等价特殊元素的转义处理不恰当 类弱点 9 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-76 属于输入验证缺陷,指程序虽过滤了部分特殊字符,却忽略了具有相同语义的等效变体。攻击者常利用编码转换或替代表示法绕过过滤机制,从而实施路径遍历或注入攻击。开发者应建立全面的白名单验证策略,支持多编码解析,并采用标准化库处理输入,确保对所有等效特殊元素进行彻底中和,以消除绕过风险。

MITRE CWE 官方描述
CWE:CWE-76 等效特殊元素的不当中和 英文:产品正确地中和了某些特殊元素,但对等效的特殊元素进行了不当的中和。 产品可能拥有一个固定的特殊字符列表,并认为该列表是完整的。然而,可能存在具有相同含义的其他编码或表示形式。例如,产品可能会过滤掉前导斜杠(/)以防止绝对路径名,但未考虑到由波浪号(~)后跟用户名组成的表示形式,这在某些 *nix 系统上可被扩展为绝对路径名。或者,产品可能在调用外部程序时过滤掉危险的“-e”命令行开关,但未考虑到具有相同语义的“--exec”或其他开关。
常见影响 (1)
OtherOther
缓解措施 (2)
RequirementsProgramming languages and supporting technologies might be chosen which are not subject to these issues.
ImplementationUtilize an appropriate mix of allowlist and denylist parsing to filter equivalent special element syntax from all input.
CVE ID标题CVSS风险等级Published
CVE-2024-4897 LoLLMs 安全漏洞 — parisneo/lollms-webui 9.8AICriticalAI2024-07-02
CVE-2024-34359 llama.cpp 安全漏洞 — llama-cpp-python 9.7 Critical2024-05-10
CVE-2024-2952 LiteLLM 安全漏洞 — berriai/litellm 9.8AICriticalAI2024-04-10
CVE-2024-1883 PaperCut NG 安全漏洞 — PaperCut NG, PaperCut MF 6.3 Medium2024-03-14
CVE-2024-1882 PaperCut NG 安全漏洞 — PaperCut NG, PaperCut MF 7.2 High2024-03-14
CVE-2024-1221 PaperCut NG 安全漏洞 — PaperCut NG, PaperCut MF 3.1 Low2024-03-14
CVE-2024-21600 Juniper Networks Junos OS 安全漏洞 — Junos OS 6.5 Medium2024-01-12
CVE-2023-1149 BTCPay Server 安全漏洞 — btcpayserver/btcpayserver 8.2 -2023-03-02
CVE-2023-0493 BTCPay Server 注入漏洞 — btcpayserver/btcpayserver 5.3 Medium2023-01-26

CWE-76(等价特殊元素的转义处理不恰当) 是常见的弱点类别,本平台收录该类弱点关联的 9 条 CVE 漏洞。