目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1325

100%
请我们喝杯咖啡

CWE-527 将CVS仓库暴露给非授权控制范围 类漏洞列表 2

CWE-527 将CVS仓库暴露给非授权控制范围 类弱点 2 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-527属于信息泄露类漏洞,指版本控制仓库(如Git、CVS)被意外暴露给未授权访问者。攻击者通常通过访问Web服务器上的隐藏目录或解压包含敏感元数据的归档文件,获取代码历史、配置信息及潜在凭证。开发者应避免将仓库目录部署至Web根目录,严格配置服务器权限以拒绝访问.git等子目录,并在打包发布前清理版本控制元数据,确保仅分发必要的生产代码。

MITRE CWE 官方描述
CWE:CWE-527 版本控制仓库(Version-Control Repository)暴露给未授权控制域(Unauthorized Control Sphere) 产品将 CVS、git 或其他仓库(repository)存储在目录、归档文件或其他资源中,而这些目录、归档文件或资源被存储、传输或以其他形式暴露给未授权行为者(unauthorized actors)。 诸如 CVS 或 git 之类的版本控制仓库(version control repositories)在子目录中存储特定于版本的元数据(version-specific metadata)及其他详细信息。如果这些子目录被存储在 Web 服务器上或添加到归档文件中,则攻击者可能利用这些信息。这些信息可能包括用户名、文件名、路径根目录(path root)、IP 地址以及关于文件变更的详细“差异”(diff)数据——这些数据可能揭示从未打算公开的源代码片段(source code snippets)。
常见影响 (1)
ConfidentialityRead Application Data, Read Files or Directories
缓解措施 (1)
Operation, Distribution, System ConfigurationRecommendations include removing any CVS directories and repositories from the production server, disabling the use of remote CVS repositories, and ensuring that the latest CVS patches and version updates have been performed.
CVE ID标题CVSS风险等级Published
CVE-2022-20931 Cisco Touch 10 安全漏洞 — Cisco TelePresence Endpoint Software (TC/CE) 6.5 Medium2024-11-15
CVE-2021-21423 Github projen 安全漏洞 — projen 6.8 Medium2021-04-06

CWE-527(将CVS仓库暴露给非授权控制范围) 是常见的弱点类别,本平台收录该类弱点关联的 2 条 CVE 漏洞。