目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1310

100%
请我们喝杯咖啡

CWE-1275 类漏洞列表 8

CWE-1275 类弱点 8 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-1275 指敏感 Cookie 未设置或不当地配置了 SameSite 属性。该属性控制跨域请求中 Cookie 的发送行为,若设为 "None" 或遗漏,浏览器会在跨域 POST 请求中自动携带 Cookie。攻击者常利用此缺陷实施跨站请求伪造(CSRF),诱导用户在已认证状态下执行非预期操作。开发者应将敏感 Cookie 的 SameSite 属性严格设置为 "Strict" 或 "Lax",以限制其在跨站场景下的自动发送,从而有效阻断此类攻击路径。

MITRE CWE 官方描述
CWE:CWE-1275 敏感 Cookie 的 SameSite 属性配置不当 英文:敏感 Cookie 的 SameSite 属性未设置,或使用了不安全的值。 SameSite 属性控制跨域请求中 Cookie 的发送方式。该属性可具有三个值:'Lax'、'Strict' 或 'None'。如果使用 'None' 值,网站可能会向另一个网站发起跨域 POST HTTP 请求,而浏览器会自动将 Cookie 添加到该请求中。如果缺乏额外的防护措施(例如 Anti-CSRF tokens),这可能导致跨站请求伪造(CSRF)攻击。
常见影响 (1)
Confidentiality, Integrity, Non-Repudiation, Access ControlModify Application Data
If the website does not impose additional defense against CSRF attacks, failing to use the 'Lax' or 'Strict' values could increase the risk of exposure to CSRF attacks. The likelihood of the integrity breach is Low because a successful attack does not only depend on an insecure SameSite attribute. I…
缓解措施 (1)
ImplementationSet the SameSite attribute of a sensitive cookie to 'Lax' or 'Strict'. This instructs the browser to apply this cookie only to same-domain requests, which provides a good Defense in Depth against CSRF attacks. When the 'Lax' value is in use, cookies are also sent for top-level cross-domain navigation via HTTP GET, HEAD, OPTIONS, and TRACE methods, but not for other HTTP methods that are more like …
Effectiveness: High
代码示例 (1)
In this example, a cookie is used to store a session ID for a client's interaction with a website. The snippet of code below establishes a new cookie to hold the sessionID.
let sessionId = generateSessionId() let cookieOptions = { domain: 'example.com' } response.cookie('sessionid', sessionId, cookieOptions)
Bad · JavaScript
<html> <form id=evil action="http://local:3002/setEmail" method="POST"> <input type="hidden" name="newEmail" value="abc@example.com" /> </form> <script>evil.submit()</script> </html>
Attack · HTML
CVE ID标题CVSS风险等级Published
CVE-2025-52628 HCL AION 安全漏洞 — AION 4.6 Medium2026-02-03
CVE-2023-53957 kimai 安全漏洞 — Kimai 9.8 Critical2025-12-19
CVE-2025-36134 IBM Sterling B2B Integrator和IBM Sterling File Gateway 安全漏洞 — Sterling B2B Integrator 3.7 Low2025-11-25
CVE-2024-42212 HCL BigFix Compliance 安全漏洞 — HCL BigFix Compliance 5.4 Medium2025-05-05
CVE-2024-30155 HCL SX 安全漏洞 — HCL SX 5.5 Medium2025-03-26
CVE-2025-24387 OTRS 安全漏洞 — OTRS 4.8 Medium2025-03-10
CVE-2024-43173 IBM Concert 安全漏洞 — Concert 3.7 Low2024-10-22
CVE-2022-38386 IBM Cloud Pak for Security 和 IBM QRadar Suite 安全漏洞 — Cloud Pak for Security 5.9 Medium2024-05-01

CWE-1275 是常见的弱点类别,本平台收录该类弱点关联的 8 条 CVE 漏洞。