| JUMP |
|---|
【目次】
【CWEリスト】
| JUMP |
|---|
■1-99
| CWE No |
解説 |
邦訳(JVNDBリンク) |
|---|---|---|
| CWE-1 | DEPRECATED: Location | ロケーション |
| CWE-2 | 7PK - Environment | 7PK - 環境 |
| CWE-3 | DEPRECATED: Technology-specific Environment Issues | 削除: 技術固有の環境問題 |
| CWE-4 | DEPRECATED: J2EE Environment Issues | 削除: J2EE環境の問題 |
| CWE-5 | J2EE Misconfiguration: Data Transmission Without Encryption | J2EEの誤設定: 暗号化しないデータ送信 |
| CWE-6 | J2EE Misconfiguration: Insufficient Session-ID Length | J2EEの誤設定: セッションIDの長さが足りない |
| CWE-7 | J2EE Misconfiguration: Missing Custom Error Page | J2EE の設定ミス: カスタムエラーページの欠落 |
| CWE-8 | J2EE Misconfiguration: Entity Bean Declared Remote | J2EEの誤設定: リモートで宣言されたエンティティビーン |
| CWE-9 | J2EE Misconfiguration: Weak Access Permissions for EJB Methods | J2EEの誤設定: EJBメソッドへの弱いアクセス許可 |
| CWE-10 | DEPRECATED: ASP.NET Environment Issues | 削除: ASP.NET環境の問題 |
| CWE-11 | ASP.NET Misconfiguration: Creating Debug Binary | ASP.NETの誤設定: デバッグ用バイナリの作成 |
| CWE-12 | ASP.NET Misconfiguration: Missing Custom Error Page | ASP.NETの誤設定: カスタムエラーページの欠落 |
| CWE-13 | ASP.NET Misconfiguration: Password in Configuration File | ASP.NETの誤設定: 設定ファイルのパスワード |
| CWE-14 | Compiler Removal of Code to Clear Buffers | バッファをクリアするコードのコンパイラによる削除 |
| CWE-15 | External Control of System or Configuration Setting | システム構成または設定の外部制御 |
| CWE-16 | Configuration | 環境設定 |
| CWE-17 | DEPRECATED: Code | コード |
| CWE-18 | DEPRECATED: Source Code | ソースコード |
| CWE-19 | Data Processing Errors | データ処理 |
| CWE-20 | Improper Input Validation | 不適切な入力確認 |
| CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') | パス・トラバーサル |
| CWE-23 | Relative Path Traversal | 相対パストラバーサル |
| CWE-24 | Path Traversal: '../filedir' | パストラバーサル (../filedir) |
| CWE-25 | Path Traversal: '/../filedir' | パストラバーサル |
| CWE-26 | Path Traversal: '/dir/../filename' | パストラバーサル (/dir/../filename) |
| CWE-27 | Path Traversal: 'dir/../../filename' | パストラバーサル (dir/../../filename) |
| CWE-28 | Path Traversal: '..\filedir' | パストラバーサル (..\filedir) |
| CWE-29 | Path Traversal: '\..\filename' | パストラバーサル (/../filename) |
| CWE-30 | Path Traversal: '\dir\..\filename' | パストラバーサル |
| CWE-31 | Path Traversal: 'dir\..\..\filename' | パストラバーサル |
| CWE-32 | Path Traversal: '...' (Triple Dot) | パストラバーサル |
| CWE-33 | Path Traversal: '....' (Multiple Dot) | パストラバーサル |
| CWE-34 | Path Traversal: '....//' | パストラバーサル |
| CWE-35 | Path Traversal: '.../...//' | パストラバーサル |
| CWE-36 | Absolute Path Traversal | 絶対パストラバーサル |
| CWE-37 | Path Traversal: '/absolute/pathname/here' | パストラバーサル |
| CWE-38 | Path Traversal: '\absolute\pathname\here' | パストラバーサル |
| CWE-59 | Improper Link Resolution Before File Access ('Link Following') | リンク解釈の問題 |
| CWE-73 | External Control of File Name or Path | ファイル名やパス名の外部制御 |
| CWE-74 | Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') | インジェクション |
| CWE-75 | Failure to Sanitize Special Elements into a Different Plane (Special Element Injection) | 特殊要素の不適切なサニタイジング |
| CWE-77 | Improper Neutralization of Special Elements used in a Command ('Command Injection') | コマンドインジェクション |
| CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') | OSコマンドインジェクション |
| CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | クロスサイトスクリプティング |
| CWE-80 | Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) | クロスサイトスクリプティング (Basic XSS) |
| CWE-83 | Improper Neutralization of Script in Attributes in a Web Page | Web ページの属性に対するスクリプトの不適切な無害化 |
| CWE-87 | Improper Neutralization of Alternate XSS Syntax | 代替 XSS 構文の不適切な無効化 |
| CWE-88 | Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') | 引数の挿入または変更 |
| CWE-89 | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') | SQLインジェクション |
| CWE-90 | Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') | LDAP インジェクション |
| CWE-91 | XML Injection (aka Blind XPath Injection) | ブラインド XPath インジェクション |
| CWE-93 | Improper Neutralization of CRLF Sequences ('CRLF Injection') | CRLF インジェクション |
| CWE-94 | Improper Control of Generation of Code ('Code Injection') | コード・インジェクション |
| CWE-95 | Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') | Eval インジェクション |
| CWE-96 | Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') | 静的に保存されたコード内のディレクティブの不適切な無効化 |
| CWE-97 | Improper Neutralization of Server-Side Includes (SSI) Within a Web Page | ウェブページ内のサーバサイドインクルード(SSI)の不適切な中和 |
| CWE-98 | Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') | PHP リモートファイルインクルージョン |
| CWE-99 | Improper Control of Resource Identifiers ('Resource Injection') | リソースの挿入 |
| JUMP |
|---|
■100-199
| CWE No |
解説 |
邦訳 |
|---|---|---|
| CWE-102 | Struts: Duplicate Validation Forms | Struts: バリデーションフォームの重複 |
| CWE-103 | Struts: Incomplete validate() Method Definition | Struts: 不完全なvalidate()メソッドの定義 |
| CWE-113 | Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting') | HTTP レスポンスの分割 |
| CWE-116 | Improper Encoding or Escaping of Output | 不適切なエンコード、または出力のエスケープ |
| CWE-117 | Improper Output Neutralization for Logs | 不適切なログ出力の無効化 |
| CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | バッファエラー |
| CWE-120 | Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') | 古典的バッファオーバーフロー |
| CWE-122 | Heap-based Buffer Overflow | ヒープベースのバッファオーバーフロー |
| CWE-134 | Use of Externally-Controlled Format String | 書式文字列の問題 |
| CWE-138 | Improper Neutralization of Special Elements | 特殊元素の不適切な中和 |
| CWE-183 | Permissive List of Allowed Inputs | 入力許可リスト |
| CWE-184 | Incomplete List of Disallowed Inputs | 不完全なブラックリスト |
| CWE-185 | Incorrect Regular Expression | 不正な正規表現 |
| CWE-186 | Overly Restrictive Regular Expression | 過度に制限された正規表現 |
| CWE-187 | Partial String Comparison | 部分文字列比較 |
| CWE-188 | Reliance on Data/Memory Layout | データ/メモリレイアウトへの依存 |
| CWE-189 | Numeric Errors | 数値エラー |
| CWE-190 | Integer Overflow or Wraparound | 整数オーバーフローまたはラップアラウンド |
| CWE-191 | Integer Underflow | 整数アンダーフロー |
| CWE-192 | Integer Coercion Error | 整数強制エラー |
| CWE-193 | Off-by-one Error | 境界条件の判定 |
| CWE-194 | Unexpected Sign Extension | 予期しない符号拡張 |
| CWE-195 | Signed to Unsigned Conversion Error | 符号付きから符号なしへの変換エラー |
| CWE-196 | Unsigned to Signed Conversion Error | 符号なしから符号ありへの変換エラー |
| CWE-197 | Numeric Truncation Error | 数値打ち切り誤差 |
| CWE-198 | Use of Incorrect Byte Ordering | 誤ったバイト順序の使用 |
| CWE-199 | Information Management Errors | 情報管理の問題 |
| JUMP |
|---|
■200-299
| CWE No |
解説 |
邦訳 |
|---|---|---|
| CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 情報漏えい |
| CWE-201 | Insertion of Sensitive Information Into Sent Data | 送信データへの重要な情報の挿入 |
| CWE-202 | Exposure of Sensitive Information Through Data Queries | データクエリからの重要な情報の漏えい |
| CWE-203 | Observable Discrepancy | 観測可能な不一致 |
| CWE-204 | Observable Response Discrepancy | リクエストに対するレスポンス内容の違いに起因する情報漏えい |
| CWE-205 | Observable Behavioral Discrepancy | 観察可能な行動の不一致 |
| CWE-206 | Observable Internal Behavioral Discrepancy | 観察可能な内部行動の不一致 |
| CWE-207 | Observable Behavioral Discrepancy With Equivalent Products | 同等製品との観察可能な行動の不一致 |
| CWE-208 | Observable Timing Discrepancy | タイミングの違いに起因する情報漏えい |
| CWE-209 | Generation of Error Message Containing Sensitive Information | エラーメッセージによる情報漏えい |
| CWE-210 | Self-generated Error Message Containing Sensitive Information | 機密情報を含む自己生成エラーメッセージ |
| CWE-211 | Externally-Generated Error Message Containing Sensitive Information | 機密情報を含む外部生成エラーメッセージ |
| CWE-212 | Improper Removal of Sensitive Information Before Storage or Transfer | 保存または転送前の重要な情報の不適切な削除 |
| CWE-213 | Exposure of Sensitive Information Due to Incompatible Policies | 相容れないポリシーによる機密情報の暴露 |
| CWE-214 | Invocation of Process Using Visible Sensitive Information | 重要な情報を使用しているプロセスの呼び出し |
| CWE-215 | Insertion of Sensitive Information Into Debugging Code | デバッグ・コードへの機密情報の挿入 |
| CWE-219 | Storage of File with Sensitive Data Under Web Root | 機密データを含むファイルのWebルート下での保存について |
| CWE-223 | Omission of Security-relevant Information | セキュリティ関連情報の省略 |
| CWE-226 | Sensitive Information in Resource Not Removed Before Reuse | 再利用前に除去されなかった資源中の機密情報 |
| CWE-235 | Improper Handling of Extra Parameters | 余分なパラメータの不適切な処理 |
| CWE-255 | Credentials Management Errors | 証明書・パスワードの管理 |
| CWE-256 | Plaintext Storage of a Password | 認証情報の平文保存 |
| CWE-257 | Storing Passwords in a Recoverable Format | 復元可能な形式でのパスワード保存 |
| CWE-259 | Use of Hard-coded Password | ハードコードされたパスワードの使用 |
| CWE-260 | Password in Configuration File | 設定ファイル内のパスワード |
| CWE-261 | Weak Encoding for Password | パスワードの弱い暗号の使用 |
| CWE-264 | Permissions, Privileges, and Access Controls | 認可・権限・アクセス制御 |
| CWE-266 | Incorrect Privilege Assignment | 不適切な権限設定 |
| CWE-269 | Improper Privilege Management | 不適切な権限管理 |
| CWE-275 | Permission Issues | パーミッションの問題 |
| CWE-276 | Incorrect Default Permissions | 不適切なデフォルトパーミッション |
| CWE-280 | Improper Handling of Insufficient Permissions or Privileges | 不十分なパーミッションまたは特権の不適切な処理 |
| CWE-284 | Improper Access Control | 不適切なアクセス制御 |
| CWE-285 | Improper Authorization | 不適切な認可 |
| CWE-287 | Improper Authentication | 不適切な認証 |
| CWE-288 | Authentication Bypass Using an Alternate Path or Channel | 代替パスまたはチャネルを使用した認証回避 |
| CWE-290 | Authentication Bypass by Spoofing | スプーフィングによる認証回避 |
| CWE-294 | Authentication Bypass by Capture-replay | Capture-replay による認証回避 |
| CWE-295 | Improper Certificate Validation | 不正な証明書検証 |
| CWE-296 | Improper Following of a Certificate's Chain of Trust | 証明書の信頼の連鎖の不適切な追跡 |
| CWE-297 | Improper Validation of Certificate with Host Mismatch | ホストの不一致による証明書の不適切な検証 |
| JUMP |
|---|
■300-399
| CWE No |
解説 |
邦訳 |
|---|---|---|
| CWE-300 | Channel Accessible by Non-Endpoint | 中間者の問題 |
| CWE-302 | Authentication Bypass by Assumed-Immutable Data | 認証回避の脆弱性 |
| CWE-304 | Missing Critical Step in Authentication | 認証の重要なステップの欠如 |
| CWE-306 | Missing Authentication for Critical Function | 重要な機能に対する認証の欠如 |
| CWE-307 | Improper Restriction of Excessive Authentication Attempts | 過度な認証試行の不適切な制限 |
| CWE-310 | Cryptographic Issues | 暗号の問題 |
| CWE-311 | Missing Encryption of Sensitive Data | 重要なデータの暗号化の欠如 |
| CWE-312 | Cleartext Storage of Sensitive Information | 重要な情報の平文保存 |
| CWE-313 | Cleartext Storage in a File or on Disk | ファイル内またはディスク上の平文保存 |
| CWE-315 | Cleartext Storage of Sensitive Information in a Cookie | Cookie における重要な情報の平文保存 |
| CWE-316 | Cleartext Storage of Sensitive Information in Memory | メモリにおける平文での重要な情報の保存 |
| CWE-319 | Cleartext Transmission of Sensitive Information | 重要な情報の平文での送信 |
| CWE-321 | Use of Hard-coded Cryptographic Key | ハードコードされた暗号鍵の使用 |
| CWE-322 | Key Exchange without Entity Authentication | エンティティ認証のない鍵交換 |
| CWE-323 | Reusing a Nonce, Key Pair in Encryption | 暗号化処理のナンスおよび鍵ペアの再利用 |
| CWE-324 | Use of a Key Past its Expiration Date | 有効期限を過ぎた鍵の使用 |
| CWE-325 | Missing Cryptographic Step | 暗号化処理の不備 |
| CWE-326 | Inadequate Encryption Strength | 不適切な暗号強度 |
| CWE-327 | Use of a Broken or Risky Cryptographic Algorithm | 不完全、または危険な暗号アルゴリズムの使用 |
| CWE-328 | Use of Weak Hash | 脆弱なハッシュの使用 |
| CWE-329 | Generation of Predictable IV with CBC Mode | CBC モードにおけるランダムな初期化ベクトルの不使用 |
| CWE-330 | Use of Insufficiently Random Values | 不十分なランダム値の使用 |
| CWE-331 | Insufficient Entropy | エントロピー不足 |
| CWE-335 | Incorrect Usage of Seeds in Pseudo-Random Number Generator (PRNG) | PRNG におけるシードの不正な使用 |
| CWE-336 | Same Seed in Pseudo-Random Number Generator (PRNG) | |
| CWE-337 | Predictable Seed in Pseudo-Random Number Generator (PRNG) | 疑似乱数ジェネレータ (PRNG) の予測可能なシード |
| CWE-338 | Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) | 暗号における脆弱な PRNG の使用 |
| CWE-340 | Generation of Predictable Numbers or Identifiers | |
| CWE-345 | Insufficient Verification of Data Authenticity | データの信頼性についての不十分な検証 |
| CWE-346 | Origin Validation Error | 同一生成元ポリシー違反 |
| CWE-347 | Improper Verification of Cryptographic Signature | デジタル署名の不適切な検証 |
| CWE-352 | Cross-Site Request Forgery (CSRF) | クロスサイトリクエストフォージェリ |
| CWE-353 | Missing Support for Integrity Check | 完全性チェックの欠如 |
| CWE-359 | Exposure of Private Personal Information to an Unauthorized Actor | 認可されていないアクターへの個人情報の漏えい |
| CWE-362 | Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') | 競合状態 |
| CWE-377 | Insecure Temporary File | 安全でない一時ファイル |
| CWE-384 | Session Fixation | セッションの固定化 |
| CWE-388 | 7PK - Errors | エラー処理 |
| CWE-399 | Resource Management Errors | リソース管理の問題 |
| JUMP |
|---|
■400-499
| CWE No |
解説 |
邦訳 |
|---|---|---|
| CWE-400 | Uncontrolled Resource Consumption | リソースの枯渇 |
| CWE-402 | Transmission of Private Resources into a New Sphere ('Resource Leak') | リソースリーク |
| CWE-404 | Improper Resource Shutdown or Release | リソースの不適切なシャットダウンおよびリリース |
| CWE-415 | Double Free | 二重解放 |
| CWE-416 | Use After Free | 解放済みメモリの使用 |
| CWE-419 | Unprotected Primary Channel | 保護されていないプライマリーチャネル |
| CWE-425 | Direct Request ('Forced Browsing') | リクエストの直接送信 |
| CWE-426 | Untrusted Search Path | 信頼できない検索パス |
| CWE-427 | Uncontrolled Search Path Element | 制御されていない検索パスの要素 |
| CWE-430 | Deployment of Wrong Handler | 誤ったハンドラーの配置 |
| CWE-434 | Unrestricted Upload of File with Dangerous Type | 危険なタイプのファイルの無制限アップロード |
| CWE-441 | Unintended Proxy or Intermediary ('Confused Deputy') | フィルタリング回避 |
| CWE-444 | Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling') | HTTP リクエストスマグリング |
| CWE-451 | User Interface (UI) Misrepresentation of Critical Information | ユーザインターフェースにおける重要情報の誤った表示 |
| CWE-459 | Incomplete Cleanup | 不完全なクリーンアップ |
| CWE-470 | Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection') | クラスまたはコードを選択する外部から制御された入力の使用 |
| CWE-471 | Modification of Assumed-Immutable Data (MAID) | 不変と仮定されるデータの変更 |
| CWE-472 | External Control of Assumed-Immutable Web Parameter | 不変と仮定される Web パラメータの外部制御 |
| CWE-494 | Download of Code Without Integrity Check | ダウンロードしたコードの完全性検証不備 |
| CWE-497 | Exposure of Sensitive System Information to an Unauthorized Control Sphere | 認可されていない制御領域への重要情報の漏えい |
| JUMP |
|---|
■500-599
| CWE No |
解説 |
邦訳 |
|---|---|---|
| CWE-501 | Trust Boundary Violation | 信頼境界線の違反 |
| CWE-502 | Deserialization of Untrusted Data | 信頼できないデータのデシリアライゼーション |
| CWE-506 | Deserialization of Untrusted Data | 埋め込まれた悪意のあるコード |
| CWE-520 | .NET Misconfiguration: Use of Impersonation | |
| CWE-521 | Weak Password Requirements | 脆弱なパスワードの要求 |
| CWE-522 | Insufficiently Protected Credentials | 認証情報の不十分な保護 |
| CWE-523 | Unprotected Transport of Credentials | 認証情報の保護しない転送 |
| CWE-525 | Use of Web Browser Cache Containing Sensitive Information | 重要情報を含む Web ブラウザキャッシュの使用 |
| CWE-526 | Exposure of Sensitive Information Through Environmental Variables | 環境変数に対する重要な情報の平文保存 |
| CWE-532 | Insertion of Sensitive Information into Log File | ログファイルからの情報漏えい |
| CWE-537 | Java Runtime Error Message Containing Sensitive Information | |
| CWE-538 | Insertion of Sensitive Information into Externally-Accessible File or Directory | ファイルおよびディレクトリ情報の漏えい |
| CWE-539 | Use of Persistent Cookies Containing Sensitive Information | 重要情報を含む永続 Cookie の使用 |
| CWE-540 | Inclusion of Sensitive Information in Source Code | 重要な情報を含むソースコード |
| CWE-541 | Inclusion of Sensitive Information in an Include File | |
| CWE-547 | Use of Hard-coded, Security-relevant Constants | ハードコードされたセキュリティ関連の定数の使用 |
| CWE-548 | Exposure of Information Through Directory Listing | ディレクトリリスティングによる情報漏えい |
| CWE-552 | Files or Directories Accessible to External Parties | 外部からアクセス可能なファイルまたはディレクトリ |
| CWE-564 | SQL Injection: Hibernate | |
| CWE-565 | Reliance on Cookies without Validation and Integrity Checking | 検証および完全性チェックを行っていない Cookie への依存 |
| CWE-566 | Authorization Bypass Through User-Controlled SQL Primary Key | |
| CWE-579 | J2EE Bad Practices: Non-serializable Object Stored in Session | |
| CWE-598 | Use of GET Request Method With Sensitive Query Strings | GET リクエストにおけるクエリ文字列からの情報漏えい |
| JUMP |
|---|
■600-699
| CWE No |
解説 |
邦訳 |
|---|---|---|
| CWE-601 | URL Redirection to Untrusted Site ('Open Redirect') | オープンリダイレクト |
| CWE-602 | Client-Side Enforcement of Server-Side Security | サーバ側のセキュリティのクライアント側での実施 |
| CWE-603 | Use of Client-Side Authentication | クライアント側認証の使用 |
| CWE-605 | Multiple Binds to the Same Port | 同一ポートに複数のソケットをバインドする問題 |
| CWE-606 | Unchecked Input for Loop Condition | ループ条件の未チェック入力 |
| CWE-607 | Public Static Final Field References Mutable Object | パブリック・スタティック・ファイナル・フィールド・リファレンス・ミュータブル・オブジェクト |
| CWE-608 | Struts: Non-private Field in ActionForm Class | Struts: ActionFormクラスの非プライベートフィールド |
| CWE-609 | Double-Checked Locking | ダブルチェック・ロック |
| CWE-610 | Externally Controlled Reference to a Resource in Another Sphere | 別領域リソースに対する外部からの制御可能な参照 |
| CWE-611 | Improper Restriction of XML External Entity Reference | XML 外部エンティティ参照の不適切な制限 |
| CWE-612 | Improper Authorization of Index Containing Sensitive Information | 重要な情報を含むインデックスの不適切な承認 |
| CWE-613 | Insufficient Session Expiration | 不適切なセッション期限 |
| CWE-614 | Sensitive Cookie in HTTPS Session Without 'Secure' Attribute | HTTPS セッション内の Secure 属性がない重要な Cookie |
| CWE-615 | Inclusion of Sensitive Information in Source Code Comments | ソースコードのコメントへの機密情報の記載 |
| CWE-616 | Incomplete Identification of Uploaded File Variables (PHP) | アップロードされたファイル変数の不完全な識別(PHP) |
| CWE-617 | Reachable Assertion | 到達可能なアサーション |
| CWE-618 | Exposed Unsafe ActiveX Method | 公開された安全でないActiveXメソッド |
| CWE-619 | Dangling Database Cursor ('Cursor Injection') | ぶら下がるデータベース・カーソル ('カーソル・インジェクション') |
| CWE-620 | Unverified Password Change | 未検証のパスワード変更 |
| CWE-621 | Variable Extraction Error | 変数抽出エラー |
| CWE-622 | Improper Validation of Function Hook Arguments | 関数フック引数の不適切な検証 |
| CWE-623 | Unsafe ActiveX Control Marked Safe For Scripting | 安全でないActiveXコントロールがスクリプティングのために安全とマークされる |
| CWE-624 | Executable Regular Expression Error | 実行可能な正規表現エラー |
| CWE-625 | Permissive Regular Expression | 許容される正規表現 |
| CWE-626 | Null Byte Interaction Error (Poison Null Byte) | ヌルバイト相互作用エラー(ポイズン・ヌルバイト) |
| CWE-627 | Dynamic Variable Evaluation | 動的変数評価 |
| CWE-639 | Authorization Bypass Through User-Controlled Key | ユーザ制御の鍵による認証回避 |
| CWE-640 | Weak Password Recovery Mechanism for Forgotten Password | パスワードを忘れた場合の脆弱なパスワードリカバリの仕組み |
| CWE-642 | External Control of Critical State Data | 重要な状態データの外部制御 |
| CWE-643 | Improper Neutralization of Data within XPath Expressions ('XPath Injection') | Xpath インジェクション |
| CWE-644 | Improper Neutralization of HTTP Headers for Scripting Syntax | HTTP ヘッダのスクリプト構文の不適切な無効化 |
| CWE-646 | Reliance on File Name or Extension of Externally-Supplied File | |
| CWE-650 | Trusting HTTP Permission Methods on the Server Side | |
| CWE-651 | Exposure of WSDL File Containing Sensitive Information | |
| CWE-652 | Improper Neutralization of Data within XQuery Expressions ('XQuery Injection') | |
| CWE-653 | Improper Isolation or Compartmentalization | |
| CWE-656 | Reliance on Security Through Obscurity | |
| CWE-657 | Violation of Secure Design Principles | セキュリティ設計の原則に反した設計 |
| CWE-664 | Improper Control of a Resource Through its Lifetime | ライフタイムを通してのリソースの不適切な制御 |
| CWE-668 | Exposure of Resource to Wrong Sphere | 誤った領域へのリソースの漏えい |
| CWE-672 | Operation on a Resource after Expiration or Release | 有効期限後または解放後のリソースの操作 |
| CWE-675 | Multiple Operations on Resource in Single-Operation Context | |
| CWE-693 | Protection Mechanism Failure | 保護メカニズムの不具合 |
| JUMP |
|---|
■700-799
| CWE No |
解説 |
邦訳 |
|---|---|---|
| CWE-703 | Improper Check or Handling of Exceptional Conditions | 例外的な状況に対する不適切なチェックまたは処理 |
| CWE-704 | Incorrect Type Conversion or Cast | 不正な型変換またはキャスト |
| CWE-705 | Incorrect Control Flow Scoping | 不正確なコントロール・フロー・スコープ |
| CWE-706 | Use of Incorrectly-Resolved Name or Reference | 誤って解決された名前や参照の使用 |
| CWE-707 | Improper Neutralization | 不適切な無害化 |
| CWE-708 | Incorrect Ownership Assignment | 不適切な所有権の割り当て |
| CWE-710 | Improper Adherence to Coding Standards | コーディング標準の不適切な順守 |
| CWE-732 | Incorrect Permission Assignment for Critical Resource | 重要なリソースに対する不適切なパーミッションの割り当て |
| CWE-733 | Compiler Optimization Removal or Modification of Security-critical Code | コンパイラによる最適化 セキュリティ上重要なコードの削除または修正 |
| CWE-749 | Exposed Dangerous Method or Function | 危険なメソッドや機能の公開 |
| CWE-754 | Improper Check for Unusual or Exceptional Conditions | 例外的な状態における不適切なチェック |
| CWE-755 | Improper Handling of Exceptional Conditions | 例外的な状態における不適切な処理 |
| CWE-756 | Missing Custom Error Page | カスタムエラーページの欠落 |
| CWE-757 | Selection of Less-Secure Algorithm During Negotiation ('Algorithm Downgrade') | アルゴリズムのダウングレード |
| CWE-758 | Reliance on Undefined, Unspecified, or Implementation-Defined Behavior | 未定義、未指定、または実装定義の動作への依存 |
| CWE-759 | Use of a One-Way Hash without a Salt | Salt を使用しない一方向ハッシュの使用 |
| CWE-760 | Use of a One-Way Hash with a Predictable Salt | 予測可能な Salt の一方向ハッシュの使用 |
| CWE-761 | Free of Pointer not at Start of Buffer | バッファの先頭でないポインタの解放 |
| CWE-762 | Mismatched Memory Management Routines | メモリ管理ルーチンの不一致 |
| CWE-763 | Release of Invalid Pointer or Reference | 無効なポインタや参照の解放 |
| CWE-764 | Multiple Locks of a Critical Resource | 重要資源の複数ロック |
| CWE-765 | Multiple Unlocks of a Critical Resource | 重要なリソースの複数ロック解除 |
| CWE-766 | Critical Data Element Declared Public | クリティカル・データ要素 |
| CWE-767 | Access to Critical Private Variable via Public Method | 公開メソッドによる重要な内部変数へのアクセス |
| CWE-768 | Incorrect Short Circuit Evaluation | 誤った短絡評価 |
| CWE-769 | DEPRECATED: Uncontrolled File Descriptor Consumption | ファイル記述子の枯渇 |
| CWE-770 | Allocation of Resources Without Limits or Throttling | 制限またはスロットリング無しのリソースの割り当て |
| CWE-771 | Missing Reference to Active Allocated Resource | アクティブな割り当てリソースへの参照がない |
| CWE-772 | Missing Release of Resource after Effective Lifetime | 有効なライフタイム後のリソースの解放の欠如 |
| CWE-773 | Missing Reference to Active File Descriptor or Handle | アクティブなファイル記述子またはハンドルへの参照がない |
| CWE-774 | Allocation of File Descriptors or Handles Without Limits or Throttling | 制限またはスロットリング無しのファイル記述子またはハンドルの割り当て |
| CWE-775 | Missing Release of File Descriptor or Handle after Effective Lifetime | 有効期限後のファイル記述子またはハンドルの解放の欠如 |
| CWE-776 | Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion') | DTD の再帰的なエンティティ参照の不適切な制限 |
| CWE-777 | Regular Expression without Anchors | アンカーなしの正規表現 |
| CWE-778 | Insufficient Logging | ロギング不足 |
| CWE-779 | Logging of Excessive Data | 過剰なデータロギング |
| CWE-780 | Use of RSA Algorithm without OAEP | OAEPを使用しないRSAアルゴリズムの使用 |
| CWE-781 | Improper Address Validation in IOCTL with METHOD_NEITHER I/O Control Code | METHOD_NEITHER I/O 制御コードを持つ IOCTL での不適切なアドレス検証 |
| CWE-782 | Exposed IOCTL with Insufficient Access Control | 不十分なアクセス制御による IOCTL の公開 |
| CWE-783 | Operator Precedence Logic Error | 演算子の優先順位 論理エラー |
| CWE-784 | Reliance on Cookies without Validation and Integrity Checking in a Security Decision | セキュリティ判断の検証および整合性チェックのない Cookie への依存 |
| CWE-785 | Use of Path Manipulation Function without Maximum-sized Buffer | 最大サイズのバッファを持たないパス操作機能の使用 |
| CWE-786 | Access of Memory Location Before Start of Buffer | バッファ開始前のメモリ位置へのアクセス |
| CWE-787 | Out-of-bounds Write | 境界外書き込み |
| CWE-788 | Access of Memory Location After End of Buffer | バッファの終端後のメモリ領域に対するアクセス |
| CWE-789 | Memory Allocation with Excessive Size Value | 過剰なサイズ値のメモリ割り当て |
| CWE-790 | Improper Filtering of Special Elements | 特殊要素の不適切なフィルタリング |
| CWE-791 | Incomplete Filtering of Special Elements | 特殊要素の不完全なフィルタリング |
| CWE-792 | Incomplete Filtering of One or More Instances of Special Elements | 特殊要素の1つ以上のインスタンスの不完全なフィルタリング |
| CWE-793 | Only Filtering One Instance of a Special Element | 特殊要素の1つのインスタンスのみをフィルタリングする |
| CWE-794 | Incomplete Filtering of Multiple Instances of Special Elements | 特殊要素の複数インスタンスの不完全なフィルタリング |
| CWE-795 | Only Filtering Special Elements at a Specified Location | 指定した位置の特殊要素のみをフィルタリングする |
| CWE-796 | Only Filtering Special Elements Relative to a Marker | マーカーに関連する特別な要素のみをフィルタリングする |
| CWE-797 | Only Filtering Special Elements at an Absolute Position | 絶対位置の特殊要素のみをフィルタリングする |
| CWE-798 | Use of Hard-coded Credentials | ハードコードされた認証情報の使用 |
| CWE-799 | Improper Control of Interaction Frequency | インタラクション頻度の不適切な制御 |
| JUMP |
|---|
■800-899
| CWE No |
解説 |
邦訳 |
|---|---|---|
| CWE-804 | Guessable CAPTCHA | 推測可能なCAPTCHA |
| CWE-805 | Buffer Access with Incorrect Length Value | 不適切な長さの値によるバッファへのアクセス |
| CWE-806 | Buffer Access Using Size of Source Buffer | ソースバッファのサイズを使用したバッファアクセス |
| CWE-807 | Reliance on Untrusted Inputs in a Security Decision | セキュリティ決定の信頼できない入力への依存 |
| CWE-820 | Missing Synchronization | 同期の欠如 |
| CWE-821 | Incorrect Synchronization | 不正な同期 |
| CWE-822 | Untrusted Pointer Dereference | 信頼できないポインタデリファレンス |
| CWE-823 | Use of Out-of-range Pointer Offset | 範囲外のポインタオフセットの使用 |
| CWE-824 | Access of Uninitialized Pointer | 初期化されていないポインタのアクセス |
| CWE-825 | Expired Pointer Dereference | 期限切れのポインタデリファレンス |
| CWE-826 | Premature Release of Resource During Expected Lifetime | 予定耐用年数中の資源の早期放出 |
| CWE-827 | Improper Control of Document Type Definition | 文書タイプ定義の不適切な管理 |
| CWE-828 | Signal Handler with Functionality that is not Asynchronous-Safe | 非同期安全でない機能を持つシグナルハンドラ |
| CWE-829 | Inclusion of Functionality from Untrusted Control Sphere | 信頼できない制御領域からの機能の組み込み |
| CWE-830 | Inclusion of Web Functionality from an Untrusted Source | 信頼できないソースからの Web 機能の組み込み |
| CWE-831 | Signal Handler Function Associated with Multiple Signals | 複数のシグナルに関連するシグナルハンドラ関数 |
| CWE-832 | Unlock of a Resource that is not Locked | ロックされていないリソースのロック解除 |
| CWE-833 | Deadlock | デッドロック |
| CWE-834 | Excessive Iteration | 過度なイテレーション |
| CWE-835 | Loop with Unreachable Exit Condition ('Infinite Loop') | 無限ループ |
| CWE-836 | Use of Password Hash Instead of Password for Authentication | パスワードの代わりにパスワードハッシュを使用する認証 |
| CWE-837 | Improper Enforcement of a Single, Unique Action | 単一、固有のアクションの不適切な実施 |
| CWE-838 | Inappropriate Encoding for Output Context | 出力コンテキストの不適切なエンコード |
| CWE-839 | Numeric Range Comparison Without Minimum Check | 最小値チェックのない数値範囲の比較 |
| CWE-840 | Business Logic Errors | ビジネスロジックのエラー |
| CWE-841 | Improper Enforcement of Behavioral Workflow | Behavioral Workflowの不適切な実施 |
| CWE-842 | Placement of User into Incorrect Group | 誤ったグループへのユーザの配置 |
| CWE-843 | Access of Resource Using Incompatible Type ('Type Confusion') | 型の取り違え |
| CWE-862 | Missing Authorization | 認証の欠如 |
| CWE-863 | Incorrect Authorization | 不正な認証 |
| JUMP |
|---|
■900-999
| CWE No |
解説 |
邦訳 |
|---|---|---|
| CWE-908 | Use of Uninitialized Resource | 初期化されていないリソースの使用 |
| CWE-909 | Missing Initialization of Resource | リソースの初期化の不備 |
| CWE-910 | Use of Expired File Descriptor | 期限切れファイルディスクリプタの使用 |
| CWE-911 | Improper Update of Reference Count | 参照カウントの不適切な更新 |
| CWE-912 | Hidden Functionality | 非公開の機能 |
| CWE-913 | Improper Control of Dynamically-Managed Code Resources | 動的に操作されるコードリソースの不適切な制御 |
| CWE-914 | Improper Control of Dynamically-Identified Variables | 動的に識別される変数の不適切な制御 |
| CWE-915 | Improperly Controlled Modification of Dynamically-Determined Object Attributes | 動的に決定されたオブジェクト属性の不適切に制御された変更 |
| CWE-916 | Use of Password Hash With Insufficient Computational Effort | 強度が不十分なパスワードハッシュの使用 |
| CWE-917 | Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection') | 言語構文の表現に使用される特殊な要素の不適切な無効化 |
| CWE-918 | Server-Side Request Forgery (SSRF) | サーバサイドのリクエストフォージェリ |
| CWE-920 | Improper Restriction of Power Consumption | 動的に識別される変数の不適切な制御 |
| CWE-921 | Storage of Sensitive Data in a Mechanism without Access Control | アクセス制御のないメカニズムでの重要データの保存 |
| CWE-922 | Insecure Storage of Sensitive Information | 重要な情報のセキュアでない格納 |
| CWE-923 | Improper Restriction of Communication Channel to Intended Endpoints | 意図するエンドポイントとの通信チャネルの不適切な制限 |
| CWE-924 | Improper Enforcement of Message Integrity During Transmission in a Communication Channel | 通信チャネルで送信中のメッセージの整合性への不適切な強制 |
| CWE-925 | Improper Verification of Intent by Broadcast Receiver | 放送受信者による不適切な意思確認 |
| CWE-926 | Improper Export of Android Application Components | Androidアプリケーションコンポーネントの不適切なエクスポート |
| CWE-927 | Use of Implicit Intent for Sensitive Communication | デリケートなコミュニケーションにおける暗黙の意図の使用 |
| CWE-939 | Improper Authorization in Handler for Custom URL Scheme | カスタムURLスキームのハンドラにおける不適切な認証 |
| CWE-940 | Improper Verification of Source of a Communication Channel | 通信チャネルのソースの不適切な検証 |
| CWE-941 | Incorrectly Specified Destination in a Communication Channel | 通信チャネルの不適切な宛名の指定 |
| CWE-942 | Permissive Cross-domain Policy with Untrusted Domains | 過度に許容されるクロスドメインホワイトリスト |
| CWE-943 | Improper Neutralization of Special Elements in Data Query Logic | データクエリロジックの特殊要素の不適切な中立化 |
| JUMP |
|---|
■1000-1999
| CWE No |
解説 |
邦訳 |
|---|---|---|
| CWE-1004 | Sensitive Cookie Without 'HttpOnly' Flag | HttpOnly 属性のない重要な Cookie |
| CWE-1021 | Improper Restriction of Rendered UI Layers or Frames | レンダリングされたユーザインターフェースレイヤまたはフレームの不適切な制限 |
| CWE-1032 | OWASP Top Ten 2017 Category A6 - Security Misconfiguration | |
| CWE-1035 | OWASP Top Ten 2017 Category A9 - Using Components with Known Vulnerabilities | |
| CWE-1104 | Use of Unmaintained Third Party Components | メンテナンスされていないサードパーティ製コンポーネントの使用 |
| CWE-1173 | Improper Use of Validation Framework | |
| CWE-1174 | ASP.NET Misconfiguration: Improper Model Validation | |
| CWE-1188 | Initialization of a Resource with an Insecure Default | リソースの安全ではないデフォルト値への初期化 |
| CWE-1189 | Improper Isolation of Shared Resources on System-on-a-Chip (SoC) | |
| CWE-1191 | On-Chip Debug and Test Interface With Improper Access Control | |
| CWE-1201 | Core and Compute Issues | |
| CWE-1216 | Lockout Mechanism Errors | |
| CWE-1231 | Improper Prevention of Lock Bit Modification | |
| CWE-1233 | Security-Sensitive Hardware Controls with Missing Lock Bit Protection | |
| CWE-1239 | Improper Zeroization of Hardware Register | |
| CWE-1240 | Use of a Cryptographic Primitive with a Risky Implementation | |
| CWE-1244 | Internal Asset Exposed to Unsafe Debug Access Level or State | |
| CWE-1247 | Improper Protection Against Voltage and Clock Glitches | |
| CWE-1253 | Incorrect Selection of Fuse Values | |
| CWE-1255 | Comparison Logic is Vulnerable to Power Side-Channel Attacks | |
| CWE-1256 | Improper Restriction of Software Interfaces to Hardware Features | |
| CWE-1259 | Improper Restriction of Security Token Assignment | |
| CWE-1260 | Improper Handling of Overlap Between Protected Memory Ranges | |
| CWE-1262 | Improper Access Control for Register Interface | |
| CWE-1263 | Improper Physical Access Control | 不適切な物理的アクセス制御 |
| CWE-1272 | Sensitive Information Uncleared Before Debug/Power State Transition | |
| CWE-1273 | Device Unlock Credential Sharing | |
| CWE-1274 | Improper Access Control for Volatile Memory Containing Boot Code | ブートコードを含む揮発性メモリの不適切なアクセス制御 |
| CWE-1275 | Sensitive Cookie with Improper SameSite Attribute | |
| CWE-1277 | Firmware Not Updateable | |
| CWE-1289 | Improper Validation of Unsafe Equivalence in Input | |
| CWE-1300 | Improper Protection of Physical Side Channels | |
| CWE-1301 | Insufficient or Incomplete Data Removal within Hardware Component | |
| CWE-1302 | Missing Security Identifier | |
| CWE-1321 | Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') | オブジェクトプロトタイプ属性の不適切に制御された変更 (プロトタイプの汚染) |
| CWE-1331 | Improper Isolation of Shared Resources in Network On Chip (NoC) | |
| CWE-1332 | Improper Handling of Faults that Lead to Instruction Skips | |
| CWE-1333 | Inefficient Regular Expression Complexity | 非効率的な正規表現の複雑さ |
| CWE-1334 | Unauthorized Error Injection Can Degrade Hardware Redundancy | 不正なエラー・インジェクションはハードウェアの冗長性を低下させる可能性がある |
| CWE-1335 | Incorrect Bitwise Shift of Integer | 整数の不正なビットシフト |
| JUMP |
|---|
【検索】
google:news: CWE
google:news: CWE番号
google: site:virustotal.com CWE
google: site:virustotal.com CWE番号
google: site:github.com CWE
google: site:github.com CWE番号
■Bing
https://www.bing.com/search?q=CWE
https://www.bing.com/search?q=CWE番号
https://www.bing.com/news/search?q=CWE
https://www.bing.com/news/search?q=CWE番号
https://twitter.com/search?q=%23CWE
https://twitter.com/search?q=%23CWE番号
https://twitter.com/hashtag/CWE
https://twitter.com/hashtag/CWE番号
■Exploit Code / PoC
https://www.exploit-db.com/search?q=CWE
https://www.exploit-db.com/search?q=CWE番号
https://attackerkb.com/search?q=CWE
https://attackerkb.com/search?q=CWE番号
