目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1310

100%
请我们喝杯咖啡

CWE-497 将系统数据暴露到未授权控制的范围 类漏洞列表 296

CWE-497 将系统数据暴露到未授权控制的范围 类弱点 296 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-497属于敏感信息泄露漏洞,指产品未能阻止未授权方访问底层系统信息。攻击者常利用网络通信中的错误响应或调试信息,获取操作系统、数据库配置等敏感细节,进而辅助后续攻击。开发者应严格限制错误信息的输出,确保仅返回必要的业务数据,并实施最小权限原则,防止敏感系统细节暴露给外部不可信实体。

MITRE CWE 官方描述
CWE:CWE-497 敏感系统信息暴露给未授权的控制域 英文:产品未能有效防止未授权主体访问敏感的系统级信息,而这些未授权主体对底层系统的访问权限低于产品本身的权限。 基于网络的产品(如 Web 应用程序)通常运行在操作系统或类似环境之上。当产品与外部实体通信时,底层系统的详细信息(如数据文件的路径名、其他操作系统用户、已安装的软件包、应用程序环境等)应保持隐藏。此类系统信息可能由产品本身直接提供,也可能隐藏在诊断或调试消息中。调试信息有助于攻击者了解系统并制定攻击计划。当系统数据或调试信息通过输出流或日志记录函数离开程序,从而被未授权方访问时,即发生信息暴露。攻击者可以利用其他弱点引发错误;对这些错误的响应可能会泄露详细的系统信息,并造成其他影响。攻击者可以利用揭示技术、操作系统和产品版本的错误消息,针对这些技术中已知的漏洞调整攻击策略。产品可能在错误处理机制中使用提供大量实现细节(如堆栈跟踪)的诊断方法。
常见影响 (1)
ConfidentialityRead Application Data
缓解措施 (1)
Architecture and Design, ImplementationProduction applications should never use methods that generate internal details such as stack traces and error messages unless that information is directly committed to a log that is not viewable by the end user. All error message text should be HTML entity encoded before being written to the log file to protect against potential cross-site scripting attacks against the viewer of the logs
代码示例 (2)
The following code prints the path environment variable to the standard error stream:
char* path = getenv("PATH"); ... sprintf(stderr, "cannot find exe on path %s\n", path);
Bad · C
This code prints all of the running processes belonging to the current user.
//assume getCurrentUser() returns a username that is guaranteed to be alphanumeric (avoiding CWE-78) $userName = getCurrentUser(); $command = 'ps aux | grep ' . $userName; system($command);
Bad · PHP
CVE ID标题CVSS风险等级Published
CVE-2025-32299 WordPress plugin QuickCal 安全漏洞 — QuickCal - Appointment Booking Calendar for WordPress 4.3 Medium2025-05-16
CVE-2025-48024 Checkmate 安全漏洞 — Checkmate 5.0 Medium2025-05-15
CVE-2025-30011 SAP Supplier Relationship Management 安全漏洞 — SAP Supplier Relationship Management (Live Auction Cockpit) 5.3 Medium2025-05-13
CVE-2025-46747 Schweitzer Engineering Laboratories多款产品 安全漏洞 — SEL Blueframe OS 5.7 Medium2025-05-12
CVE-2025-46718 sudo-rs 安全漏洞 — sudo-rs 3.3 Low2025-05-12
CVE-2025-46717 sudo-rs 安全漏洞 — sudo-rs 3.3 Low2025-05-12
CVE-2025-3506 Checkmk 安全漏洞 — Checkmk 7.5AIHighAI2025-05-08
CVE-2025-47540 WordPress plugin weMail 安全漏洞 — weMail 5.3 Medium2025-05-07
CVE-2025-3606 Vestel EVC04 AC Charger 安全漏洞 — AC Charger EVC04 7.5 High2025-04-24
CVE-2025-46421 libsoup 安全漏洞 6.8 Medium2025-04-24
CVE-2025-32792 npm SES 安全漏洞 — endo 7.5 -2025-04-18
CVE-2025-39439 WordPress plugin wpLike2Get 安全漏洞 — wpLike2Get 5.3 Medium2025-04-17
CVE-2025-39556 WordPress plugin Mediavine Control Panel 安全漏洞 — Mediavine Control Panel 5.3 Medium2025-04-16
CVE-2025-39589 WordPress plugin Essential Addons for Elementor 安全漏洞 — Essential Addons for Elementor 4.3 Medium2025-04-16
CVE-2025-26730 WordPress plugin Macro Calculator with Admin Email Optin & Data 安全漏洞 — Macro Calculator with Admin Email Optin & Data 7.5 High2025-04-15
CVE-2022-43852 IBM Aspera Console 安全漏洞 — Aspera Console 5.3 Medium2025-04-14
CVE-2025-32228 WordPress plugin Ai Image Alt Text Generator for WP 安全漏洞 — Ai Image Alt Text Generator for WP 4.3 Medium2025-04-10
CVE-2025-31003 WordPress plugin Squeeze 安全漏洞 — Squeeze 2.7 Low2025-04-09
CVE-2025-27934 Inaba Denki Sangyo Wi-Fi AP UNIT 安全漏洞 — AC-WPS-11ac 7.5 High2025-04-09
CVE-2025-32164 WordPress plugin m1.DownloadList 安全漏洞 — m1.DownloadList 6.5 Medium2025-04-08
CVE-2025-32026 Element 安全漏洞 — element-web 3.8 Low2025-04-08
CVE-2024-45549 Qualcomm Chipsets 安全漏洞 — Snapdragon 7.7 High2025-04-07
CVE-2025-32255 WordPress plugin StaffList 安全漏洞 — StaffList 5.3 Medium2025-04-04
CVE-2025-32251 WordPress plugin Jetpack Feedback Exporter 安全漏洞 — Jetpack Feedback Exporter 5.3 Medium2025-04-04
CVE-2025-0278 HCL Traveler 安全漏洞 — HCL Traveler 4.3 Medium2025-04-03
CVE-2025-31832 WordPress plugin ACF City Selector 安全漏洞 — ACF City Selector 5.3 Medium2025-04-01
CVE-2025-30802 WordPress plugin Our Team Members 安全漏洞 — Our Team Members 4.3 Medium2025-04-01
CVE-2025-27149 Zulip server 安全漏洞 — zulip 6.5 -2025-03-31
CVE-2024-8313 B&R Industrial Automation B&R APROL 安全漏洞 — APROL 8.8AIHighAI2025-03-25
CVE-2025-2598 AWS Cloud Development Kit 安全漏洞 — Cloud Development Kit Command Line Interface 5.5 Medium2025-03-21

CWE-497(将系统数据暴露到未授权控制的范围) 是常见的弱点类别,本平台收录该类弱点关联的 296 条 CVE 漏洞。