Mises à jour des règles
Remarque :
- Nouvelles règles
- Nouvelles règles de correction automatique
- Corrections de règles
Langue | CWE | Modification | |
---|---|---|---|
Informations générales | CWE-319 | Une meilleure gestion des règles de communication ouvertes pour toutes les langues permet d'éviter les constatations erronées. | |
.NET | ASP.NET | CWE-1188 | Etat de session sans cookie activé dans la configuration de projet ASP.NET.2 |
C# | CWE-319 | Schéma de communications ouvertes détecté.2 | |
CWE-328 | Algorithme de chiffrement faible détecté.2 | ||
CWE-327 | Le générateur JWT sans vérification de signature est détecté.2 | ||
VB.NET | CWE-1173 | La validation de la requête HTTP est désactivée dans le code VB.2 | |
CWE-328 | Utilisation d'un algorithme cryptographique faible dans le code VB.2 | ||
Angular | CWE-94 | Vulnérabilité potentielle d'injection de code dans une machine virtuelle sandbox.1 | |
CWE-312 | Le stockage local évite les appels setItem liés à l'ordre de tri. |
||
AngularJS | CWE-477 | Appel obsolète détecté : (ng-bind-html-unsafe).2 | |
Sommet | CWE-943 | Injection SOQL.2 | |
CWE-943 | Injection SOSL.2 | ||
CWE-328 | Algorithme de hachage faible choisi.2 | ||
CWE-79 | Attaque par script intersite (XSS) de script ou style.2 | ||
ASP | CWE-319 | Schéma de communications ouvertes détecté dans le code ASP.2 | |
CWE-79 | Vérifie que la validation est correcte à l'aide de Server.HTMLEncode . |
||
C/C++ | CWE-367 | Utilisation potentiellement dangereuse de la fonction de nom de fichier temporaire. Contexte corrigé et correction automatique activée.3 | |
CWE-78 | Injection potentielle de commande détectée. Couverture étendue.3 | ||
CWE-250 | Appel CreateFile qui semble enfreindre le principe du moindre privilège.2 |
||
CWE-250 | L'indicateur FILE_FLAG_FIRST_PIPE_INSTANCE est manquant dans CreateNamedPipe .2 |
||
CWE-757 | Utilisation non sécurisée du protocole (SSL/TLS) détectée.2 | ||
CWE-295 | Utilisation potentiellement dangereuse de la configuration Curl découverte (sept règles différentes dans cette catégorie).2 | ||
CWE-427 | Manipulation potentielle du registre du principe du moindre privilège détectée.2 | ||
CWE-611 | Traitement d'entité externe non sécurisé activé.2 | ||
ColdFusion | CWE-524 | Pages sécurisées avec mise en cache cfCache .2 |
|
CWE-502 | Validation WDDX manquante cfWddx .2 |
||
CWE-862 | Client non vérifié dans cfFunction .2 |
||
CWE-319 | Communications non sécurisées.2 | ||
CWE-307 | Validation de soumissions multiples.2 | ||
CWE-327 | Algorithme non sécurisé utilisé dans la fonction de chiffrement.2 | ||
CSS | CWE-79 | Adapté pour éviter les constatations erronées. | |
Dart | CWE-522 | AutoComplete activé pour les champs potentiellement sensibles.2 |
|
CWE-319 | Schéma de communications ouvertes détecté avec HttpServer .2 |
||
CWE-319 | Communications par socket ouvertes détectées.2 | ||
CWE-319 | Schéma de communication ouvert avec Uri détecté.2 | ||
CWE-79 | Utilisation non sécurisée de fenêtre ouverte dans le code Dart.2 | ||
CWE-319 | Schéma de communications ouvertes détecté dans la chaîne.2 | ||
CWE-79 | Mot clé de stratégie de sécurité du contenu non sécurisé trouvé.2 | ||
CWE-328 | Plus sélectif lors de la présentation des résultats et évite les résultats pollués plus évidents. | ||
CWE-319 | Adapté pour éviter les constatations erronées. | ||
Docker | CWE-770 | Limitez le CPU pour empêcher une attaque par déni de service (DoS).2 | |
CWE-770 | Limitez le nombre de redémarrages en cas d'échec pour éviter un déni de service (DoS).2 | ||
Go | CWE-489 | Débogage du package pprop pour HTTP détecté.2 | |
CWE-1004 | Code Golang contenant un http.Cookie non sécurisé.2 |
||
CWE-319 | Schéma de communications ouvertes détecté dans le code Golang.2 | ||
Groovy | CWE-319 | Schéma de communications ouvertes détecté dans le code Groovy.2 | |
CWE-79 | Une vulnérabilité potentielle d'attaque par script intersite détectée dans le code source Groovy a ajouté des corrections automatiques supplémentaires pour toutes les instances.2 | ||
Java | CWE-489 | L'activation du débogage dans la sécurité Web révèle des données dans Spring.2 | |
CWE-1390 | Ignorer les commentaires dans SAML entraîne une violation de l'authentification.2 | ||
CWE-548 | Liste de répertoires non sécurisés pour le servlet par défaut dans la configuration tomcat.2 | ||
CWE-276 | Utilisation non sécurisée d'autorisation de fichier dans Java.2 | ||
CWE-489 | Une impression de trace de pile est détectée dans le code Java.2 | ||
CWE-489 | L'indicateur de débogage est défini sur true dans l'application Android.2 | ||
CWE-1188 | Mode de préférences partagées incorrect détecté dans le code Android.2 | ||
JavaScript | CWE-359 | Politique de transmission d'événements non sécurisés : contexte corrigé et correction automatique activée.3 | |
CWE-79 | Vulnérabilité XSS potentielle détectée dans jQuery.append . Des performances plus rapides dès maintenant.3 |
||
CWE-79 | Il est dangereux de contourner la méthode d'échappement Mustache.2 | ||
CWE-319 | Politique non sécurisée de transmission d'événements.2 | ||
CWE-200 | Ajout d'une vérification pour détecter les origines de cibles dangereuses lors des appels window.postMessage . |
||
CWE-913 | Modifié pour éviter les constatations erronées. | ||
Examen de code source Java | CWE-918 | Recherche de SSRF lors des appels RestTemplate().exchange . |
|
CWE-303 | Recherche d'appels dangereux NoOpPasswordEncoder.getInstance . |
||
CWE-89 | Recherche de cas supplémentaires pour SQLi. | ||
CWE-22 | Recherche d'autres endroits pour des problèmes potentiels de traversée du répertoire | ||
CWE-798 | Recherche d'informations d'identification codées en dur dans les appels HashMap.put et les setters. |
||
Jquery | CWE-79 | Modifié pour éviter les constatations erronées. | |
Kotlin | CWE-319 | Communication ouverte détectée dans le code Kotlin.2 | |
NodeJS | CWE-614 | Cookie disposant d'un indicateur défini sur une valeur non sécurisée ou indicateur de sécurité manquant.2 | |
CWE-328 | Algorithme non sécurisé utilisé dans le chiffrement createCipheriv .2 |
||
CWE-295 | Configuration non sécurisée de la vérification des certificats SSL pour la désactivation de node-curl.2 | ||
CWE-78 | Génération de shell d'exécution détecté.2 | ||
CWE-1004 | Configuration non sécurisée de l'attribut de cookie HTTPOnly manquant.2 |
||
Objective-C | CWE-319 | Schéma de communications ouvertes détecté dans le code Objective-C.2 | |
CWE-798 | Modifié pour éviter des constatations erronées supplémentaires. | ||
PHP | CWE-10041 | Cookie sensible sans l'indicateur HttpOnly .2 |
|
CWE-6141 | Cookie sensible dans la session HTTPS sans attribut secure .2 |
||
CWE-791 | Variable PHP intégrée détectée.2 | ||
CWE-981 | Vulnérabilité potentielle d'inclusion de fichiers détectée dans le code PHP.2 | ||
CWE-6111 | Injection d'entité externe XML détectée dans le code PHP.2 | ||
CWE-78 | Exécution de commande PHP utilisant potentiellement des données fournies par l'utilisateur. Couverture étendue.3 | ||
CWE-644 | Injection d'en-tête potentielle détectée. Couverture étendue.3 | ||
CWE-327 | Utilisation d'algorithme non sécurisé détectée. Vérifications et couverture étendues.3 | ||
CWE-319 | Communication ouverte détectée dans le framework PHP Symfony.2 | ||
CWE-1004 | Indicateur HTTPOnly manquant ou non sécurisé dans setcookie .2 |
||
CWE-319 | Schéma de communications ouvertes détecté.2 | ||
CWE-544 | L'instruction error_reporting n'a pas été définie pour permettre le niveau de rapport d'erreurs le plus élevé possible.2 |
||
CWE-798 | Vérifie la valeur et s'assure qu'il s'agit bien d'une chaîne littérale représentant un mot de passe probable en texte clair stocké dans le code. | ||
PL/SQL | CWE-331 | Utilisation non sécurisée de DBMS_RANDOM .2 |
|
Python | CWE-311 | URL utilisant http . Couverture étendue.3 |
|
CWE-311 | Fichier temporaire de condition d'indétermination TOCTTOU. Couverture fixe et correction automatique activée.3 | ||
CWE-367 | Fichier temporaire de condition d'indétermination TOCTTOU.2 | ||
CWE-319 | URL utilisant http .2 |
||
CWE-78 | Injection de système d'exploitation Python.2 | ||
CWE-319 | Utilisation FTP non sécurisée.2 | ||
CWE-78 | Injection de commande popen.2 | ||
CWE-276 | Utilisation de 777 avec umask.2 | ||
CWE-319 | Correction automatique pour résoudre un remplacement erroné dans certaines circonstances. | ||
ReactNative | CWE-319 | Communication ouverte détectée. Contexte corrigé et correction automatique activée.3 | |
CWE-319 | Communication ouverte détectée.2 | ||
CWE-295 | Désactivation de l'épinglage SSL détecté.2 | ||
RPG | CWE-319 | Communication ouverte détectée dans le code.2 | |
Ruby | CWE-78 | Utilisation non sécurisée de guillemets simples inversés regex devant être améliorée. Couverture étendue.3 | |
CWE-78 | Utilisation non sécurisée de guillemets simples inversés. Couverture étendue.3 | ||
CWE-425 | Affectation de masse Ruby.2 | ||
CWE-359 | Divulgation d'informations Ruby.2 | ||
Scala | CWE-319 | Schéma de communications ouvertes détecté dans le code Scala.2 | |
CWE-79 | Eventuelle vulnérabilité de script côté client via l'accès aux cookies détectée dans le code source Scala.2 | ||
Secrets | CWE-1051 | Adresse IP codée en dur détectée. Couverture étendue.3 | |
CWE-798 | Identifiants codés en dur détectés. Couverture étendue.3 | ||
CWE-798 | Evite les fichiers JS minifiés. | ||
CWE-798 | Evite d'analyser les fichiers de traduction pour réduire les erreurs | ||
Swift | CWE-319 | Schéma de communications ouvertes détecté dans le code Swift.2 | |
CWE-79 | Vulnérabilité potentielle d'attaque par script intersite lors de l'utilisation de loadRequest() dans iOS UIWebView .2 |
||
Terraform | CWE-359 | Instance AWS exposant lles secrets de données utilisateur détectée.2 | |
CWE-778 | Le profil de surveillance des journaux Azure devrait définir toutes les catégories obligatoires.2 | ||
CWE-732 | Le compte de service par défaut est utilisé au niveau du dossier, du projet ou de l'organisation.2 | ||
CWE-671 | Le service de messagerie et les co-administrateurs ne sont pas activés dans les serveurs SQL.2 | ||
CWE-923 | Vérifiez que l'accès réseau par défaut du compte de stockage Azure est défini sur Refuser.2 | ||
CWE-923 | Vérifiez que la règle de pare-feu GCP n'autorise pas un accès illimité.2 | ||
CWE-732 | Instance Google Compute accessible au public.2 | ||
CWE-732 | Compartiment de stockage Google accessible au public.2 | ||
CWE-732 | Autorisations d'accès non sécurisées pour le compartiment Amazon S3.2 | ||
CWE-1220 | Nouvelle règle de vérification du groupe de sécurité de sortie cidr_blocks définie de manière trop permissive. |
||
TypeScript | CWE-943 | Recherche une éventuelle injection NoSQL MongoDB dans des fichiers TypeScript. | |
CWE-943 | Recherche des cas supplémentaires pour SQLi. | ||
Visual Basic | CWE-319 | Schéma de communications ouvertes détecté dans le code VB.2 | |
VueJS | CWE-79 | Réglé pour ne pas produire de constatation si celle-ci est trouvée dans la déclaration d'une méthode. | |
Xamarin | CWE-319 | Communication ouverte détectée dans Xamarin.2 |