目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1310

100%
请我们喝杯咖啡

CWE-472 对假设不可变Web参数的外部可控制 类漏洞列表 99

CWE-472 对假设不可变Web参数的外部可控制 类弱点 99 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-472指外部控制假设不可变Web参数漏洞。攻击者常通过修改隐藏表单字段、Cookie或URL参数,篡改本应固定的关键数据。开发者应避免依赖客户端数据,对任何输入进行服务端严格验证,确保业务逻辑不受用户可控参数影响,从而防止数据被恶意修改。

MITRE CWE 官方描述
CWE:CWE-472 外部对假定不可变 Web 参数的控制 英文:Web 应用程序未充分验证那些被假定为不可变但实际上可受外部控制的输入,例如隐藏表单字段。 如果 Web 产品未能正确保护隐藏表单字段、参数、Cookie 或 URL 中假定不可变的值免受修改,则可能导致关键数据被篡改。Web 应用程序经常错误地假设通过隐藏字段或 Cookie 传递给客户端的数据不易被篡改。对用户可控制的数据进行不当验证可能导致应用程序处理不正确且通常是恶意的输入。例如,自定义 Cookie 通常存储会话数据或跨会话的持久数据。这类会话数据通常参与服务器端与安全相关的决策,例如用户身份验证和访问控制。因此,Cookie 可能包含敏感数据,如用户凭据和权限。这是一种危险的做法,因为它经常导致服务器端应用程序不当依赖客户端提供的 Cookie 的值。
常见影响 (1)
IntegrityModify Application Data
Without appropriate protection mechanisms, the client can easily tamper with cookies and similar web data. Reliance on the cookies without detailed validation can lead to problems such as SQL injection. If you use cookie values for security related decisions on the server side, manipulating the cook…
缓解措施 (2)
ImplementationAssume all input is malicious. Use an "accept known good" input validation strategy, i.e., use a list of acceptable inputs that strictly conform to specifications. Reject any input that does not strictly conform to specifications, or transform it into something that does. When performing input validation, consider all potentially relevant properties, including length, type of input, the full range…
ImplementationInputs should be decoded and canonicalized to the application's current internal representation before being validated (CWE-180). Make sure that the application does not decode the same input twice (CWE-174). Such errors could be used to bypass allowlist validation schemes by introducing dangerous inputs after they have been checked.
代码示例 (2)
In this example, a web application uses the value of a hidden form field (accountID) without having done any input validation because it was assumed to be immutable.
String accountID = request.getParameter("accountID"); User user = getUserFromID(Long.parseLong(accountID));
Bad · Java
Hidden fields should not be trusted as secure parameters.
<input type="hidden"
Bad · HTML
CVE ID标题CVSS风险等级Published
CVE-2026-10018 Google Chrome 安全漏洞 — Chrome--2026-05-28
CVE-2026-10019 Google Chrome 安全漏洞 — Chrome--2026-05-28
CVE-2026-10015 Google Chrome 安全漏洞 — Chrome--2026-05-28
CVE-2026-10009 Google Chrome 安全漏洞 — Chrome--2026-05-28
CVE-2026-9998 Google Chrome 安全漏洞 — Chrome--2026-05-28
CVE-2026-9968 Google Chrome 安全漏洞 — Chrome--2026-05-28
CVE-2026-9966 Google Chrome 安全漏洞 — Chrome--2026-05-28
CVE-2026-9960 Google Chrome 安全漏洞 — Chrome--2026-05-28
CVE-2026-9911 Google Chrome 安全漏洞 — Chrome--2026-05-28
CVE-2026-9909 Google Chrome 安全漏洞 — Chrome--2026-05-28
CVE-2026-9882 Google Chrome 安全漏洞 — Chrome--2026-05-28
CVE-2026-7571 Keycloak 安全漏洞 — Red Hat build of Keycloak 26.4 7.1 High2026-05-19
CVE-2026-8577 Google Chrome 安全漏洞 — Chrome--2026-05-14
CVE-2026-8573 Google Chrome 安全漏洞 — Chrome--2026-05-14
CVE-2026-8567 Google Chrome 安全漏洞 — Chrome--2026-05-14
CVE-2026-8559 Google Chrome 安全漏洞 — Chrome--2026-05-14
CVE-2026-8534 Google Chrome 安全漏洞 — Chrome--2026-05-14
CVE-2026-8532 Google Chrome 安全漏洞 — Chrome--2026-05-14
CVE-2026-8519 Google Chrome 安全漏洞 — Chrome--2026-05-14
CVE-2026-8510 Google Chrome 安全漏洞 — Chrome--2026-05-14
CVE-2026-7973 Google Chrome 安全漏洞 — Chrome 9.6AICriticalAI2026-05-06
CVE-2026-7969 Google Chrome 安全漏洞 — Chrome 8.8 -2026-05-06
CVE-2026-7942 Google Chrome 安全漏洞 — Chrome 6.5 -2026-05-06
CVE-2026-7912 Google Chrome 安全漏洞 — Chrome 8.8AIHighAI2026-05-06
CVE-2026-7903 Google Chrome 安全漏洞 — Chrome 8.8AIHighAI2026-05-06
CVE-2026-7896 Google Chrome 安全漏洞 — Chrome 8.8AIHighAI2026-05-06
CVE-2026-32699 FacturaScripts 安全漏洞 — facturascripts 4.3 -2026-05-05
CVE-2026-7340 Google Chrome 安全漏洞 — Chrome 8.8AIHighAI2026-04-28
CVE-2026-4911 WordPress plugin Booking Package 安全漏洞 — Booking Package 5.3 Medium2026-04-28
CVE-2026-41353 OpenClaw 安全漏洞 — OpenClaw 8.1 High2026-04-23

CWE-472(对假设不可变Web参数的外部可控制) 是常见的弱点类别,本平台收录该类弱点关联的 99 条 CVE 漏洞。