目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CWE-567 在多现场上下文中未能对共享数据进行同步访问 类漏洞列表 3

CWE-567 在多现场上下文中未能对共享数据进行同步访问 类弱点 3 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-567 属于多线程环境下的共享数据访问竞态条件漏洞。当多个线程并发读写未同步的共享数据(如静态变量)时,会导致数据状态不一致或程序崩溃。攻击者可利用此缺陷通过精心构造的并发请求触发竞争,从而篡改关键数据或引发拒绝服务。开发者应通过互斥锁、原子操作或线程安全数据结构等机制,确保对共享资源的访问具有原子性和可见性,以消除竞态风险。

MITRE CWE 官方描述
CWE:CWE-567 多线程环境中对共享数据的未同步访问 英文:产品未能正确同步共享数据(例如跨线程的静态变量),这可能导致未定义行为(undefined behavior)和不可预测的数据变更。 在 Servlet 中,共享的静态变量未受到并发访问的保护,而 Servlet 本身是多线程的。这是 J2EE 应用程序中典型的编程错误,因为多线程处理由框架负责。当共享变量可能受到攻击者的影响时,一个线程可能会修改该变量,使其包含对另一个同时使用该变量数据的有效线程而言无效的数据。请注意,此弱点并非 Servlet 所独有。
常见影响 (1)
Confidentiality, Integrity, AvailabilityRead Application Data, Modify Application Data, DoS: Instability, DoS: Crash, Exit, or Restart
If the shared variable contains sensitive data, it may be manipulated or displayed in another user session. If this data is used to control the application, its value can be manipulated to cause the application to crash or perform poorly.
缓解措施 (1)
ImplementationRemove the use of static variables used between servlets. If this cannot be avoided, use synchronized access for these variables.
代码示例 (1)
The following code implements a basic counter for how many times the page has been accesed.
public static class Counter extends HttpServlet { static int count = 0; protected void doGet(HttpServletRequest in, HttpServletResponse out) throws ServletException, IOException { out.setContentType("text/plain"); PrintWriter p = out.getWriter(); count++; p.println(count + " hits so far!"); } }
Bad · Java
CVE ID标题CVSS风险等级Published
CVE-2025-48908 Huawei HarmonyOS 安全漏洞 — HarmonyOS 6.7 Medium2025-06-06
CVE-2023-44374 Siemens 多款产品 安全漏洞 — RUGGEDCOM RM1224 LTE(4G) EU 6.5 Medium2023-11-14
CVE-2020-25724 Red Hat Quarkus 安全漏洞 — resteasy 7.1 -2021-05-26

CWE-567(在多现场上下文中未能对共享数据进行同步访问) 是常见的弱点类别,本平台收录该类弱点关联的 3 条 CVE 漏洞。