CWE-331 信息熵不充分类漏洞列表 57

CWE-331 信息熵不充分类弱点 57 条 CVE 漏洞汇总，含 AI 中文分析。

CWE-331属于随机数生成缺陷，指系统使用的算法产生的熵值不足，导致输出值存在可预测的模式或聚集现象。攻击者利用此漏洞，通过分析历史数据或数学规律，推测出看似随机的密钥、会话ID或令牌，从而实施身份伪造或会话劫持。开发者应避免使用线性同余等弱伪随机数生成器，转而采用操作系统提供的加密级安全随机数源，确保生成的数值具备足够的不可预测性。

MITRE CWE 官方描述

CWE：CWE-331 Insufficient Entropy（熵不足）英文：The product uses an algorithm or scheme that produces insufficient entropy, leaving patterns or clusters of values that are more likely to occur than others. 译文：该产品使用了产生熵不足的算法或方案，导致出现某些模式或数值簇，其出现概率高于其他数值。

常见影响 (1)

Access Control, OtherBypass Protection Mechanism, Other

An attacker could guess the random numbers generated and could gain unauthorized access to a system if the random numbers are used for authentication and authorization.

缓解措施 (1)

ImplementationDetermine the necessary entropy to adequately provide for randomness and predictability. This can be achieved by increasing the number of bits of objects such as keys and seeds.

代码示例 (2)

This code generates a unique random identifier for a user's session.

function generateSessionID($userID){ srand($userID); return rand(); }

Bad · PHP

The following code uses a statistical PRNG to create a URL for a receipt that remains active for some period of time after a purchase.

String GenerateReceiptURL(String baseUrl) { Random ranGen = new Random(); ranGen.setSeed((new Date()).getTime()); return(baseUrl + ranGen.nextInt(400000000) + ".html"); }

Bad · Java

CVE ID	标题	CVSS	风险等级	Published
CVE-2026-46473	Authen::TOTP 安全特征问题漏洞 — Authen::TOTP	-	-	2026-05-21
CVE-2026-8700	Crypt::DSA 安全特征问题漏洞 — Crypt::DSA	-	-	2026-05-15
CVE-2026-46474	Trog::TOTP 安全特征问题漏洞 — Trog::TOTP	-	-	2026-05-15
CVE-2025-14972	Silicon Simplicity SDK 安全特征问题漏洞 — Simplicity SDK	-	-	2026-05-15
CVE-2026-4827	Schneider Electric多款产品安全特征问题漏洞 — Easergy MiCOM C264	-	-	2026-05-12
CVE-2026-7210	CPython 安全特征问题漏洞 — CPython	-	-	2026-05-11
CVE-2026-2336	Microchip IStaX 安全漏洞 — IStaX	8.8^AI	High^AI	2026-04-16
CVE-2026-41080	libexpat 安全漏洞 — libexpat	2.9	Low	2026-04-16
CVE-2026-34236	Auth0-PHP 安全特征问题漏洞 — auth0-PHP	8.2	High	2026-04-01
CVE-2026-2878	Progress Telerik UI 安全特征问题漏洞 — Telerik UI for ASP.NET AJAX	5.3	Medium	2026-02-25
CVE-2025-0577	glibc 安全漏洞	4.8	Medium	2026-02-18
CVE-2026-2541	Micca KE700 安全漏洞 — Car Alarm System KE700	9.8^AI	Critical^AI	2026-02-15
CVE-2025-7432	Silicon Labs Series 2 安全漏洞 — Simplicity SDK	6.5^AI	Medium^AI	2026-02-09
CVE-2026-1814	Rapid7 Nexpose 安全漏洞 — InsightVM/Nexpose	9.1^AI	Critical^AI	2026-02-03
CVE-2025-13399	TP-Link VX800v 安全漏洞 — VX800v v1.0	6.8^AI	Medium^AI	2026-01-29
CVE-2026-22698	RustCrypto: Elliptic Curves 安全特征问题漏洞 — elliptic-curves	7.5	-	2026-01-10
CVE-2020-36925	Arteco Web Client DVR/NVR 安全特征问题漏洞 — Arteco Web Client DVR/NVR	9.8	Critical	2026-01-06
CVE-2025-15387	QNO VPN Firewall 安全特征问题漏洞 — VPN Firewall	8.8	High	2025-12-31
CVE-2025-67504	WBCE CMS 安全特征问题漏洞 — WBCE_CMS	9.1	Critical	2025-12-09
CVE-2025-14261	LitmusChaos 安全特征问题漏洞 — litmus	7.1	High	2025-12-08
CVE-2025-32898	KDE Connect 安全特征问题漏洞 — KDE Connect verification-code protocol	4.7	Medium	2025-12-05
CVE-2025-62774	Mercku M6a 安全特征问题漏洞 — M6a	3.1	Low	2025-10-22
CVE-2025-59015	TYPO3 CMS 安全漏洞 — TYPO3 CMS	9.8^AI	Critical^AI	2025-09-09
CVE-2025-54885	Thinbus Javascript Secure Remote Password 安全特征问题漏洞 — thinbus-srp-npm	9.1^AI	Critical^AI	2025-08-07
CVE-2025-50122	Schneider Electric EcoStruxure IT Data Center Expert 安全特征问题漏洞 — EcoStruxure™ IT Data Center Expert	9.8^AI	Critical^AI	2025-07-11
CVE-2025-6931	D-Link DCS-6517和D-Link DCS-7517 安全特征问题漏洞 — DCS-6517	3.7	Low	2025-06-30
CVE-2025-52464	Meshtastic 安全特征问题漏洞 — firmware	6.5^AI	Medium^AI	2025-06-19
CVE-2025-47781	Rallly 安全漏洞 — rallly	9.8	Critical	2025-05-14
CVE-2024-9055	Silicon Series 2 devices 安全漏洞 — Simplicity SDK	4.2	Medium	2025-03-17
CVE-2024-8796	Devise-Two-Factor 安全漏洞 — devise-two-factor	5.3	Medium	2024-09-17

CWE-331（信息熵不充分）是常见的弱点类别，本平台收录该类弱点关联的 57 条 CVE 漏洞。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CWE-331 信息熵不充分 类漏洞列表 57

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CWE-331 信息熵不充分类漏洞列表 57