目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1310

100%
请我们喝杯咖啡

CWE-841 行为工作流的不恰当实施 类漏洞列表 35

CWE-841 行为工作流的不恰当实施 类弱点 35 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-841 属于业务流程执行不当漏洞,指系统未强制要求用户按既定顺序完成多步操作。攻击者常通过跳过中间步骤或颠倒操作顺序,篡改业务逻辑或使系统进入无效状态,进而可能引发数据泄露或权限提升。开发者应实施严格的会话状态管理,在服务器端验证每一步骤的完整性与顺序,确保关键业务逻辑仅在满足所有前置条件后才得以执行,从而杜绝此类风险。

MITRE CWE 官方描述
CWE:CWE-841 行为工作流执行不当 英文:产品支持一个会话,在该会话中,参与者(actor)必须执行多种行为,但产品未能正确确保参与者按照所需的顺序执行这些行为。 通过以非预期的顺序执行操作,或省略某些步骤,攻击者可能操纵产品的业务逻辑,或导致其进入无效状态。在某些情况下,这还可能暴露出衍生弱点。例如,文件共享协议可能要求参与者先执行提供用户名的步骤,再执行提供密码的步骤,之后才能进行文件传输。如果文件共享服务器接受先发送密码命令、再发送传输命令的请求,而无需提供任何用户名,产品仍可能执行该传输操作。请注意,这与 CWE-696 不同,后者侧重于产品何时以错误顺序执行操作;本条目密切相关,但侧重于确保参与者以正确的顺序执行操作。与工作流相关的行为包括:步骤按预期顺序执行;未省略必要步骤;步骤未被中断;步骤及时执行。
常见影响 (1)
OtherAlter Execution Logic
An attacker could cause the product to skip critical steps or perform them in the wrong order, bypassing its intended business logic. This can sometimes have security implications.
代码示例 (1)
This code is part of an FTP server and deals with various commands that could be sent by a user. It is intended that a user must successfully login before performing any other action such as retrieving or listing files.
def dispatchCommand(command, user, args): if command == 'Login': loginUser(args) return # user has requested a file if command == 'Retrieve_file': if authenticated(user) and ownsFile(user,args): sendFile(args) return if command == 'List_files': listFiles(args) return ...
Bad · Python
def dispatchCommand(command, user, args): ... if command == 'List_files': if authenticated(user) and ownsDirectory(user,args): listFiles(args) return ...
Good · Python
CVE ID标题CVSS风险等级Published
CVE-2026-8477 Devolutions Server 安全漏洞 — Server--2026-05-22
CVE-2026-41259 Mastodon 安全漏洞 — mastodon 4.3AIMediumAI2026-04-23
CVE-2026-34582 Botan 安全漏洞 — botan 8.2AIHighAI2026-04-07
CVE-2025-13459 IBM Aspera Console 安全漏洞 — Aspera Console 2.7 Low2026-03-13
CVE-2026-3130 Devolutions Server 安全漏洞 — Server 8.1AIHighAI2026-03-03
CVE-2025-52469 Chamilo 安全漏洞 — chamilo-lms 7.1 High2026-03-02
CVE-2026-24774 Open eClass 安全漏洞 — openeclass 4.3 Medium2026-02-03
CVE-2025-13129 Seneka Onaylarım 安全漏洞 — Onaylarım 4.3 Medium2025-12-01
CVE-2025-13239 Bdtask Isshue - Multi Store eCommerce Shopping Cart Solution 安全漏洞 — Isshue Multi Store eCommerce Shopping Cart Solution 4.3 Medium2025-11-16
CVE-2025-58051 Nextcloud Tables 安全漏洞 — security-advisories 6.5 Medium2025-10-16
CVE-2025-55682 Microsoft Windows BitLocker 安全漏洞 — Windows 11 Version 24H2 6.1 Medium2025-10-14
CVE-2025-55337 Microsoft Windows BitLocker 安全漏洞 — Windows 11 Version 24H2 6.1 Medium2025-10-14
CVE-2025-55332 Microsoft Windows BitLocker 安全漏洞 — Windows 10 Version 1809 6.1 Medium2025-10-14
CVE-2025-55330 Microsoft Windows BitLocker 安全漏洞 — Windows 11 version 22H2 6.1 Medium2025-10-14
CVE-2024-13065 Akinsoft MyRezzta 安全漏洞 — MyRezzta 6.3 Medium2025-09-03
CVE-2025-48482 FreeScout 安全漏洞 — freescout 4.3AIMediumAI2025-05-30
CVE-2025-48481 FreeScout 安全漏洞 — freescout 8.2AIHighAI2025-05-30
CVE-2025-48480 FreeScout 安全漏洞 — freescout 6.5AIMediumAI2025-05-30
CVE-2025-48479 FreeScout 安全漏洞 — freescout 6.5AIMediumAI2025-05-30
CVE-2025-48478 FreeScout 安全漏洞 — freescout 7.5AIHighAI2025-05-30
CVE-2025-48477 FreeScout 安全漏洞 — freescout 4.3AIMediumAI2025-05-30
CVE-2025-48476 FreeScout 安全漏洞 — freescout 8.8AIHighAI2025-05-30
CVE-2025-48376 DNN 安全漏洞 — Dnn.Platform 3.5 Low2025-05-23
CVE-2024-12543 OpenText Content Management 安全漏洞 — OpenText Content Management 4.3 -2025-04-21
CVE-2025-2323 springboot-openai-chatgpt 安全漏洞 — springboot-openai-chatgpt 4.3 Medium2025-03-15
CVE-2024-39325 Aimeos 安全漏洞 — ai-controller-frontend 5.3 Medium2024-07-02
CVE-2024-6128 SPA-Cart 安全漏洞 — spa-cartcms 5.3 Medium2024-06-18
CVE-2024-37296 Aimeos 安全漏洞 — ai-client-html 5.3 Medium2024-06-11
CVE-2024-0410 GitLab 访问控制错误漏洞 — GitLab 7.7 High2024-02-21
CVE-2023-5921 DECE Software Geodi 安全漏洞 — Geodi 7.1 High2023-11-22

CWE-841(行为工作流的不恰当实施) 是常见的弱点类别,本平台收录该类弱点关联的 35 条 CVE 漏洞。