目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1310

100%
请我们喝杯咖啡

CWE-226 在释放前未清除敏感信息 类漏洞列表 27

CWE-226 在释放前未清除敏感信息 类弱点 27 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-226 属于资源管理漏洞,指产品在释放内存或文件等资源供复用前,未清除其中包含的敏感信息。攻击者通常利用此缺陷,通过读取被重新分配的资源来窃取前用户的机密数据,如密码或密钥。开发者应避免此类风险,在资源释放或状态转换前,务必执行彻底的数据清零操作,确保敏感信息不被残留,从而防止信息泄露。

MITRE CWE 官方描述
CWE:CWE-226 资源重用前未移除敏感信息 英文:产品释放了诸如内存或文件等资源,以便使其可供重用,但在产品执行关键状态转换或将资源提供给其他实体重用之前,未清除或“零化”(zeroize)资源中包含的信息。 当资源被释放时,它们可以可供重用。例如,在内存被解除分配后,操作系统可能会将该内存提供给另一个进程使用,或者在删除文件时重新分配磁盘空间。由于移除信息需要时间和额外资源,操作系统通常不会清除先前写入的信息。即使资源由同一进程重用,当新数据的大小小于旧数据时,仍可能出现此弱点,导致旧数据的一部分仍然可用。在其他数据长度可变但相关数据结构不变的情况下,也可能发生等效错误。如果使用后未清除内存,当内存被重新分配时,信息可能会被可信度较低的实体读取。此弱点可应用于硬件,例如当设备或系统在正常运行期间在电源、睡眠或调试状态之间切换时,或者当执行更改为不同用户或特权级别时。
常见影响 (1)
ConfidentialityRead Application Data
缓解措施 (2)
Architecture and Design, ImplementationDuring critical state transitions, information not needed in the next state should be removed or overwritten with fixed patterns (such as all 0's) or random data, before the transition to the next state.
Effectiveness: High
Architecture and Design, ImplementationWhen releasing, de-allocating, or deleting a resource, overwrite its data and relevant metadata with fixed patterns or random data. Be cautious about complex resource types whose underlying representation might be non-contiguous or change at a low level, such as how a file might be split into different chunks on a file system, even though "logical" file positions are contiguous at the application …
Effectiveness: High
代码示例 (2)
This example shows how an attacker can take advantage of an incorrect state transition.
During the transition from A to B, the device does not scrub the memory.
Bad · Other
For transition from state A to state B, remove information which should not be available once the transition is complete.
Good · Other
The following code calls realloc() on a buffer containing sensitive data:
cleartext_buffer = get_secret();... cleartext_buffer = realloc(cleartext_buffer, 1024); ... scrub_memory(cleartext_buffer, 1024);
Bad · C
CVE ID标题CVSS风险等级Published
CVE-2026-32960 Silex SD-330AC和Silex AMC Manager 安全漏洞 — SD-330AC 6.5 Medium2026-04-20
CVE-2026-5795 Eclipse Jetty 授权问题漏洞 — Eclipse Jetty 7.4 High2026-04-08
CVE-2025-14858 Semtech LR11xx LoRa 安全漏洞 — LR1110 4.6AIMediumAI2026-04-07
CVE-2019-25657 AnyBurn 安全漏洞 — AnyBurn x86 5.5 Medium2026-04-05
CVE-2019-25645 WinAVI iPod/3GP/MP4/PSP Converter 安全漏洞 — WinAVI iPod/3GP/MP4/PSP Converter 6.2 Medium2026-03-24
CVE-2019-25617 Audiotool Ease Audio Converter 安全漏洞 — Ease Audio Converter 6.2 Medium2026-03-22
CVE-2019-25571 Ventis MediaMonkey 安全漏洞 — MediaMonkey 6.2 Medium2026-03-21
CVE-2019-25563 UltraVNC PCHelpWareV2 安全漏洞 — PCHelpWareV2 6.2 Medium2026-03-21
CVE-2019-25560 Lyric Video Creator 安全漏洞 — Lyric Video Creator 7.5 High2026-03-21
CVE-2019-25553 CEWE PHOTO IMPORTER 安全漏洞 — CEWE PHOTO IMPORTER 6.2 Medium2026-03-21
CVE-2025-0647 ARM CPU 安全漏洞 — Neoverse-N2 7.3AIHighAI2026-01-14
CVE-2025-33200 NVIDIA DGX Spark 安全漏洞 — DGX Spark 2.3 Low2025-11-25
CVE-2025-33198 NVIDIA DGX Spark 安全漏洞 — DGX Spark 3.3 Low2025-11-25
CVE-2025-33196 NVIDIA DGX Spark 安全漏洞 — DGX Spark 4.4 Medium2025-11-25
CVE-2025-11602 Neo4j Enterprise Edition和Neo4j Community Edition 安全漏洞 — Enterprise Edition 5.3 -2025-10-31
CVE-2025-2522 Honeywell Experion Server 安全漏洞 — C300 PCNT02 6.5 Medium2025-07-10
CVE-2025-48066 wire-webapp 安全漏洞 — wire-webapp 6.0 Medium2025-05-22
CVE-2024-7883 ARM Compiler 安全漏洞 — Arm Compiler for Embedded 3.7 Low2024-10-31
CVE-2024-38275 Moodle 安全漏洞 — Moodle 6.1AIMediumAI2024-06-18
CVE-2024-32036 ImageSharp 安全漏洞 — ImageSharp 5.3 Medium2024-04-15
CVE-2023-41138 AppsAnywhere macOS 安全漏洞 — AppsAnywhere Client 7.5 High2023-11-09
CVE-2023-3006 Linux kernel 安全漏洞 — Kernel 5.1 -2023-05-31
CVE-2023-1637 Linux kernel 安全漏洞 — Kernel 7.1 -2023-03-27
CVE-2022-39393 Wasmtime 安全漏洞 — wasmtime 8.6 High2022-11-10
CVE-2020-27218 Eclipse Jetty 安全漏洞 — Eclipse Jetty 4.8 -2020-11-28
CVE-2019-1573 Palo Alto Networks GlobalProtect agent 信息泄露漏洞 — GlobalProtect Agent 2.5 Low2019-04-09
CVE-2018-7166 Joyent Node.js 缓冲区错误漏洞 — Node.js 7.5 -2018-08-21

CWE-226(在释放前未清除敏感信息) 是常见的弱点类别,本平台收录该类弱点关联的 27 条 CVE 漏洞。