目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1310

100%
请我们喝杯咖啡

CWE-284 访问控制不恰当 类漏洞列表 2187

CWE-284 访问控制不恰当 类弱点 2187 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-284 属于访问控制缺陷漏洞,指产品未正确限制或完全未限制非授权主体对资源的访问。攻击者通常通过绕过身份验证或权限检查,直接访问敏感数据或执行特权操作。开发者应避免此类问题,需严格实施身份认证与授权机制,确保仅合法用户能访问特定资源,并记录操作日志以增强可追溯性,从而有效防止未授权访问。

MITRE CWE 官方描述
CWE:CWE-284 访问控制不当 英文:产品未对来自未授权实体的资源访问进行限制,或限制不正确。 访问控制涉及使用多种保护机制,例如:Authentication(证明实体的身份)、Authorization(确保给定实体可以访问资源)以及 Accountability(跟踪已执行的活动)。当任何机制未应用或失效时,攻击者可以通过获取特权、读取敏感信息、执行命令、逃避检测等方式破坏产品的安全性。存在两种可能导致访问控制弱点的具体行为:Specification(规范):为用户或资源明确指定了不正确的特权、权限、所有权等(例如,将密码文件设置为所有用户可写,或将管理员能力授予访客用户)。此操作可由程序或管理员执行。Enforcement(执行):机制中存在错误,导致其无法正确执行指定的访问控制要求(例如,允许用户指定自己的特权,或允许语法不正确的 ACL 产生不安全的设置)。此问题发生在程序本身内部,即其并未实际执行管理员指定的预期安全策略。
常见影响 (1)
OtherVaries by Context
缓解措施 (2)
Architecture and Design, OperationVery carefully manage the setting, management, and handling of privileges. Explicitly manage trust zones in the software.
Architecture and DesignCompartmentalize the system to have "safe" areas where trust boundaries can be unambiguously drawn. Do not allow sensitive data to go outside of the trust boundary and always be careful when interfacing with a compartment outside of the safe area. Ensure that appropriate compartmentalization is built into the system design, and the compartmentalization allows for and reinforces privilege separatio…
代码示例 (2)
This code temporarily raises the program's privileges to allow creation of a new user folder.
def makeNewUserDir(username): if invalidUsername(username): #avoid CWE-22 and CWE-78 print('Usernames cannot contain invalid characters') return False try: raisePrivileges() os.mkdir('/home/' + username) lowerPrivileges() except OSError: print('Unable to create new user directory for user:' + username) return False return True
Bad · Python
This function runs an arbitrary SQL query on a given database, returning the result of the query.
function runEmployeeQuery($dbName, $name){ mysql_select_db($dbName,$globalDbHandle) or die("Could not open Database".$dbName); //Use a prepared statement to avoid CWE-89 $preparedStatement = $globalDbHandle->prepare('SELECT * FROM employees WHERE name = :name'); $preparedStatement->execute(array(':name' => $name)); return $preparedStatement->fetchAll(); } /.../ $employeeRecord = runEmployeeQuery('EmployeeDB',$_GET['EmployeeName']);
Bad · PHP
CVE ID标题CVSS风险等级Published
CVE-2026-53520 哪吒监控:认证用户可劫持主机与路由 — nezha 6.5 Medium2026-06-12
CVE-2026-44783 Discourse 回复私信使非私信用户创建仅限员工查看的私信帖子漏洞 — discourse 5.4 Medium2026-06-12
CVE-2026-47182 Frappe 私有文件访问控制漏洞 — frappe--2026-06-12
CVE-2026-44976 Frappe 更新安装步骤存在IDOR漏洞 — frappe--2026-06-12
CVE-2026-44208 Frappe `submit_discussion()` 越权漏洞 — frappe--2026-06-12
CVE-2026-47200 Nuxt 服务端页面路由中间件未生效漏洞 — nuxt--2026-06-12
CVE-2026-47366 BBPress ACP权限验证缺陷致提权 — phpBB--2026-06-12
CVE-2026-48610 UniFi OS 设备访问控制漏洞 — UDM 8.1 High2026-06-12
CVE-2026-44249 Netty IPv6子网过滤绕过漏洞 — netty 8.1 High2026-06-11
CVE-2026-45177 Idira Secrets Manager 内部验证机制认证绕过漏洞 — Conjur Cloud (Edge Finding only)--2026-06-11
CVE-2026-45178 Idira Secrets Manager 内部集群端点访问控制漏洞 — Conjur Enterprise--2026-06-11
CVE-2026-41856 Spring GraphQL 注解检测漏洞 — Spring for GraphQL 7.5 High2026-06-11
CVE-2026-46695 BoxLite 权限绕过漏洞,可修改只读文件 — boxlite 10.0 Critical2026-06-10
CVE-2026-49824 Fission 环境引用未验证漏洞 — fission 8.5 High2026-06-10
CVE-2026-49823 Fission 函数准入 webhook 中未验证的 PackageRef 导致跨命名空间包读取漏洞 — fission 7.7 High2026-06-10
CVE-2026-49822 Fission KubernetesWatchTrigger 跨命名空间事件泄露漏洞 — fission 7.7 High2026-06-10
CVE-2026-46614 Fission 路由器公开暴露函数接口导致越权调用漏洞 — fission 9.8 Critical2026-06-10
CVE-2026-20259 Splunk Enterprise 不当访问控制漏洞 — Splunk Enterprise 5.5 Medium2026-06-10
CVE-2026-41837 Spring Data REST Querydsl集成暴露Jackson隐藏持久化字段为过滤器键 — Spring Data REST 5.3 Medium2026-06-09
CVE-2026-41728 Spring Data REST JSON Patch绕过嵌套对象和集合的只读属性保护 — Spring Data REST 7.5 High2026-06-09
CVE-2026-47907 Dreamweaver Desktop 权限控制不当漏洞 — Dreamweaver Desktop 8.2 High2026-06-09
CVE-2026-45658 Windows BitLocker 安全功能绕过漏洞 — Windows 10 Version 1607 7.8 High2026-06-09
CVE-2026-45654 Secure Boot 安全功能绕过漏洞 — Windows 11 Version 24H2 7.9 High2026-06-09
CVE-2026-42829 Windows Administrator Protection 安全特性绕过漏洞 — Windows 11 Version 24H2 7.8 High2026-06-09
CVE-2026-49161 Microsoft PC Manager 安全功能绕过漏洞 — Microsoft PC Manager 7.8 High2026-06-09
CVE-2026-48578 Secure Boot安全特性绕过漏洞 — Windows 10 Version 1607 7.9 High2026-06-09
CVE-2026-41092 微软Kinect提权漏洞 — Windows 10 Version 1607 7.8 High2026-06-09
CVE-2026-45649 Android版Office模拟漏洞 — Microsoft Excel for Android 7.1 High2026-06-09
CVE-2026-49938 FortiPortal越权漏洞(7.0-7.4.7) — FortiPortal 6.2 Medium2026-06-09
CVE-2026-41985 软件包管理模块UAF漏洞 — HarmonyOS 5.1 Medium2026-06-09

CWE-284(访问控制不恰当) 是常见的弱点类别,本平台收录该类弱点关联的 2187 条 CVE 漏洞。