CWE-276(Incorrect Default Permissions)指的是软件或系统在安装或配置时,为文件、目录或资源设置了不安全的默认权限。这些默认权限可能允许未经授权的用户访问敏感数据或执行关键操作,从而增加系统的安全风险。 2. 描述CWE-276可能带来的安全风险 CWE-276可能带来的安全风险包括但不限于: 数据泄露:不安全的默认权限可能...
2.2.1. 变动最大的缺陷 CWE-276 默认权限不正确(Incorrect Default Permissions): 从41到19 CWE-306 关键功能的认证机制缺失(Missing Authentication for Critical Function): 从24到11 CWE-502 不可信数据反序列化(Deserialization of Untrusted Data): 从21到13 CWE-862 授权机制缺失(Missing Authorization): 从...
CWE-276:默认权限不正确。从2021年的19名,降到2023年的25名。只要在安全意识上足够重视,这类安全问题会进一步下降。 CWE-611:XML 外部实体引用限制不当。从2019年的17名,降到2023年的28名,跌出了TOP 25。这可能是在解析xml时,做了默认设置和限制,同时这些年json的使用,也分流了一部分xml的使用。 CWE-401:...
CWE-276: 默认权限不正确下降11位,从第25位下降至第36位 对于TOP25榜单的变化,“TOP25”团队承认其中有小部分统计机制变化的原因:2024年的CVE到CWE映射的审查机制强调的是CVE编号机构对CVE到CWE映射进行自查,而非由“TOP25”团队进行审查,这样部分CVE漏洞可能没有映射到合适的CWE分类上,也可能造成了部分CWE排名的...
此外,CWE-502(不开心时数据的反序列化)从第12降至第15,CWE-798(使用硬编码的凭证)从第15降至第18,CWE-276(不正确的默认权限)从第20降至第25。Top 25榜单中新出现的有:CWE-269(不当权限管理)从第29升至第22,CWE-863(不正确的授权)从第28升至第24。
19.CWE-918:服务器端请求伪造 (SSRF) 20.CWE-306:关键函数认证缺失 21.CWE-362:使用同步不当的共享资源而造成并发执行(竞争条件) 22.CWE-269:权限管理不当 23.CWE-94:代码生成控制不当 (代码注入) 24.CWE-863:不正确的授权 25.CWE-276:不正确的默认权限...
20 CWE-276 不正确的默认权限 4.84 0 -1 21 CWE-918 服务器端请求伪造(SSRF) 4.27 8 +3 22 CWE-362 使用不正确同步的共享资源并发执行(“竞争条件”) 3.57 6 +11 23 CWE-400 不受控制的资源消耗 3.56 2 +4 24 CWE-611 SML外部实体饮用的不当限制 3.38 0 -1 25 CWE-94 代码生成控制不当(“代...
20 CWE-276 默认权限不正确 4.84 0 -1 21 CWE-918 服务器端请求伪造(SSRF) 4.27 8 +3 22 CWE-362 使用共享资源的并发执行与不当的同步("竞争条件") 3.57 6 +11 23 CWE-400 不受控制的资源消耗 3.56 2 +4 24 CWE-611 对XML外部实体引用的不当限制 3.38 0 -1 25 CWE-94 “代码注入” 3.32 4...
[19] CWE-276 Incorrect Default Permissions 5.09 +22 [20] CWE-200 Exposure of Sensitive Information to an Unauthorized Actor 4.74 -13 [21] CWE-522 Insufficiently Protected Credentials 4.21 -3 [22] CWE-732 Incorrect Permission Assignment for Critical Resource 4.2 -6 [23] CWE-611 Improper Restri...
Improper Handling of Insufficient Privileges CWE-276: Incorrect Default Permissions CWE-277: Insecure Inherited Permissions CWE-278: Insecure Preserved Inherited Permissions CWE-279: Incorrect Execution-Assigned Permissions CWE-280: Improper Handling of Insufficient Permissions or Privileges CWE-281: Improper ...