目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1325

100%
请我们喝杯咖啡

CWE-363 允许符号链接跟随的竞争条件 类漏洞列表 5

CWE-363 允许符号链接跟随的竞争条件 类弱点 5 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-363 属于竞态条件漏洞,指产品在访问文件或目录前检查其状态,但在检查与使用之间存在时间窗口,导致文件可能被替换为符号链接。攻击者利用此间隙将目标替换为恶意链接,诱使程序访问非预期文件。开发者应避免先检查后使用的模式,改用原子操作或确保文件描述符在访问期间保持锁定,以消除竞态风险。

MITRE CWE 官方描述
CWE:CWE-363 竞态条件导致链接跟随(Race Condition Enabling Link Following) 产品在访问文件或目录之前检查其状态,这会产生竞态条件(race condition),即在访问执行之前,该文件可能被替换为链接,导致产品访问错误的文件。 尽管开发人员可能认为检查时间(time of check)与使用时间(time of use)之间存在非常狭窄的时间窗口,但竞态条件(race condition)仍然存在。攻击者可能导致产品变慢(例如通过消耗内存),从而使时间窗口变大。或者,在某些情况下,攻击者可以通过执行大量攻击来赢得竞态条件(race condition)。
常见影响 (1)
Confidentiality, IntegrityRead Files or Directories, Modify Files or Directories
代码示例 (1)
This code prints the contents of a file if a user has permission.
function readFile($filename){ $user = getCurrentUser(); //resolve file if its a symbolic link if(is_link($filename)){ $filename = readlink($filename); } if(fileowner($filename) == $user){ echo file_get_contents($realFile); return; } else{ echo 'Access denied'; return false; } }
Bad · PHP
CVE ID标题CVSS风险等级Published
CVE-2025-13492 HP Image Assistant 安全漏洞 — HP Image Assistant 7.0AIHighAI2025-12-03
CVE-2025-62161 youki 安全漏洞 — youki 8.4 -2025-11-05
CVE-2024-45310 runc 安全漏洞 — runc 3.6 Low2024-09-03
CVE-2022-21658 Rust 竞争条件问题漏洞 — rust 7.3 High2022-01-20
CVE-2018-6693 McAfee ENSLTP 权限许可和访问控制问题漏洞 — Endpoint Security for Linux Threat Prevention (ENSLTP) 6.3 -2018-09-18

CWE-363(允许符号链接跟随的竞争条件) 是常见的弱点类别,本平台收录该类弱点关联的 5 条 CVE 漏洞。