目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-917 表达式语言语句中使用的特殊元素转义处理不恰当(表达式语言注入) 类漏洞列表 25

CWE-917 表达式语言语句中使用的特殊元素转义处理不恰当(表达式语言注入) 类弱点 25 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-917 指表达式语言注入漏洞,属于输入验证缺陷。攻击者通过向 JSP 等框架提供恶意输入,利用未过滤的特殊元素篡改表达式逻辑,从而执行任意代码或窃取数据。开发者应避免直接拼接用户输入,需采用白名单验证、参数化查询或安全的 API 调用机制,确保外部数据仅作为数据而非可执行代码处理,从而阻断注入路径。

MITRE CWE 官方描述
CWE:CWE-917 表达式语言语句(Expression Language Statement)中特殊元素的不当中和('Expression Language Injection') 该产品使用来自上游组件的外部可影响输入,在诸如 Java Server Page (JSP) 的框架中构建表达式语言 (EL) 语句的全部或部分内容,但未对可能在执行前修改预期 EL 语句的特殊元素进行中和,或中和不当。 诸如 Java Server Page (JSP) 的框架允许开发人员在原本静态的内容中插入可执行表达式。当开发人员未意识到这些表达式的可执行性质和/或未将其禁用时,如果攻击者能够注入表达式,则可能导致代码执行或其他意外行为。
常见影响 (2)
ConfidentialityRead Application Data
IntegrityExecute Unauthorized Code or Commands
缓解措施 (3)
Architecture and DesignAvoid adding user-controlled data into an expression interpreter when possible.
ImplementationIf user-controlled data must be added to an expression interpreter, one or more of the following should be performed: Validate that the user input will not evaluate as an expression Encode the user input in a way that ensures it is not evaluated as an expression
System Configuration, OperationThe framework or tooling might allow the developer to disable or deactivate the processing of EL expressions, such as setting the isELIgnored attribute for a JSP page to "true".
CVE ID标题CVSS风险等级Published
CVE-2026-41883 OmniFaces wildcard CDN映射EL注入漏洞 — omnifaces 8.1 High2026-05-08
CVE-2026-42811 Apache Polaris GCS凭证泄露漏洞 — Apache Polaris 9.9 Critical2026-05-04
CVE-2026-40478 thymeleaf 安全漏洞 — thymeleaf 9.1 Critical2026-04-17
CVE-2026-40477 thymeleaf 安全漏洞 — thymeleaf 9.1 Critical2026-04-17
CVE-2025-11175 Mediawiki - DiscussionTools Extension 安全漏洞 — Mediawiki - DiscussionTools Extension 7.5AIHighAI2026-01-30
CVE-2025-41253 Spring Cloud Gateway Server Webflux 安全漏洞 — Spring Cloud Gateway Server Webflux 7.5 High2025-10-16
CVE-2025-41243 Spring Cloud Gateway 安全漏洞 — Cloud Gateway 10.0 Critical2025-09-16
CVE-2025-3322 B. Braun onlinesuite 安全漏洞 — OnlineSuite 9.8AICriticalAI2025-06-06
CVE-2024-51466 IBM Cognos Analytics 安全漏洞 — Cognos Analytics 9.0 Critical2024-12-20
CVE-2024-12798 logback 安全漏洞 — Logback-core 8.4 -2024-12-19
CVE-2024-9672 PaperCut NG/MF 安全漏洞 — PaperCut MF 6.1 -2024-12-09
CVE-2024-7552 DataGear 安全漏洞 — DataGear 6.3 Medium2024-08-06
CVE-2024-5828 Hitachi Tuning Manager 安全漏洞 — Hitachi Tuning Manager 8.6 High2024-08-06
CVE-2024-4286 AnythingLLM 安全漏洞 — mintplex-labs/anything-llm 6.5 -2024-05-26
CVE-2023-51593 Voltronic Power ViewPower 安全漏洞 — ViewPower Pro 9.8 -2024-05-03
CVE-2024-0715 Hitachi Global Link Manager 安全漏洞 — Hitachi Global Link Manager 7.6 High2024-02-20
CVE-2023-41331 SOFARPC 安全漏洞 — sofa-rpc 9.8 Critical2023-09-12
CVE-2022-4146 Hitachi Replication Manager 安全漏洞 — Hitachi Replication Manager 7.3 High2023-07-18
CVE-2022-45855 Apache Ambari 安全漏洞 — Apache Ambari 8.0 High2023-07-12
CVE-2022-42009 Apache Ambari 安全漏洞 — Apache Ambari 8.0 High2023-07-12
CVE-2023-32200 Apache Jena 安全漏洞 — Apache Jena 4.6 -2023-07-12
CVE-2023-22665 Apache Jena 安全漏洞 — Apache Jena 6.1 -2023-04-25
CVE-2022-23463 Nepxion 安全漏洞 — Discover 9.4 Critical2022-09-24
CVE-2021-31805 Apache Struts 2 安全漏洞 — Apache Struts 9.8 -2022-04-12
CVE-2021-45046 Apache Log4j 代码问题漏洞 — Apache Log4j 9.0 -2021-12-14

CWE-917(表达式语言语句中使用的特殊元素转义处理不恰当(表达式语言注入)) 是常见的弱点类别,本平台收录该类弱点关联的 25 条 CVE 漏洞。