Mises à jour des règles

Remarque :
  1. Nouvelles règles
  2. Nouvelles règles de correction automatique
  3. Corrections de règles

Langue CWE Modification
Informations générales CWE-319 Une meilleure gestion des règles de communication ouvertes pour toutes les langues permet d'éviter les constatations erronées.
.NET ASP.NET CWE-1188 Etat de session sans cookie activé dans la configuration de projet ASP.NET.2
C# CWE-319 Schéma de communications ouvertes détecté.2
CWE-328 Algorithme de chiffrement faible détecté.2
CWE-327 Le générateur JWT sans vérification de signature est détecté.2
VB.NET CWE-1173 La validation de la requête HTTP est désactivée dans le code VB.2
CWE-328 Utilisation d'un algorithme cryptographique faible dans le code VB.2
Angular CWE-94 Vulnérabilité potentielle d'injection de code dans une machine virtuelle sandbox.1
CWE-312 Le stockage local évite les appels setItem liés à l'ordre de tri.
AngularJS CWE-477 Appel obsolète détecté : (ng-bind-html-unsafe).2
Sommet CWE-943 Injection SOQL.2
CWE-943 Injection SOSL.2
CWE-328 Algorithme de hachage faible choisi.2
CWE-79 Attaque par script intersite (XSS) de script ou style.2
ASP CWE-319 Schéma de communications ouvertes détecté dans le code ASP.2
CWE-79 Vérifie que la validation est correcte à l'aide de Server.HTMLEncode.
C/C++ CWE-367 Utilisation potentiellement dangereuse de la fonction de nom de fichier temporaire. Contexte corrigé et correction automatique activée.3
CWE-78 Injection potentielle de commande détectée. Couverture étendue.3
CWE-250 Appel CreateFile qui semble enfreindre le principe du moindre privilège.2
CWE-250 L'indicateur FILE_FLAG_FIRST_PIPE_INSTANCE est manquant dans CreateNamedPipe.2
CWE-757 Utilisation non sécurisée du protocole (SSL/TLS) détectée.2
CWE-295 Utilisation potentiellement dangereuse de la configuration Curl découverte (sept règles différentes dans cette catégorie).2
CWE-427 Manipulation potentielle du registre du principe du moindre privilège détectée.2
CWE-611 Traitement d'entité externe non sécurisé activé.2
ColdFusion CWE-524 Pages sécurisées avec mise en cache cfCache.2
CWE-502 Validation WDDX manquante cfWddx.2
CWE-862 Client non vérifié dans cfFunction.2
CWE-319 Communications non sécurisées.2
CWE-307 Validation de soumissions multiples.2
CWE-327 Algorithme non sécurisé utilisé dans la fonction de chiffrement.2
CSS CWE-79 Adapté pour éviter les constatations erronées.
Dart CWE-522 AutoComplete activé pour les champs potentiellement sensibles.2
CWE-319 Schéma de communications ouvertes détecté avec HttpServer.2
CWE-319 Communications par socket ouvertes détectées.2
CWE-319 Schéma de communication ouvert avec Uri détecté.2
CWE-79 Utilisation non sécurisée de fenêtre ouverte dans le code Dart.2
CWE-319 Schéma de communications ouvertes détecté dans la chaîne.2
CWE-79 Mot clé de stratégie de sécurité du contenu non sécurisé trouvé.2
CWE-328 Plus sélectif lors de la présentation des résultats et évite les résultats pollués plus évidents.
CWE-319 Adapté pour éviter les constatations erronées.
Docker CWE-770 Limitez le CPU pour empêcher une attaque par déni de service (DoS).2
CWE-770 Limitez le nombre de redémarrages en cas d'échec pour éviter un déni de service (DoS).2
Go CWE-489 Débogage du package pprop pour HTTP détecté.2
CWE-1004 Code Golang contenant un http.Cookie non sécurisé.2
CWE-319 Schéma de communications ouvertes détecté dans le code Golang.2
Groovy CWE-319 Schéma de communications ouvertes détecté dans le code Groovy.2
CWE-79 Une vulnérabilité potentielle d'attaque par script intersite détectée dans le code source Groovy a ajouté des corrections automatiques supplémentaires pour toutes les instances.2
Java CWE-489 L'activation du débogage dans la sécurité Web révèle des données dans Spring.2
CWE-1390 Ignorer les commentaires dans SAML entraîne une violation de l'authentification.2
CWE-548 Liste de répertoires non sécurisés pour le servlet par défaut dans la configuration tomcat.2
CWE-276 Utilisation non sécurisée d'autorisation de fichier dans Java.2
CWE-489 Une impression de trace de pile est détectée dans le code Java.2
CWE-489 L'indicateur de débogage est défini sur true dans l'application Android.2
CWE-1188 Mode de préférences partagées incorrect détecté dans le code Android.2
JavaScript CWE-359 Politique de transmission d'événements non sécurisés : contexte corrigé et correction automatique activée.3
CWE-79 Vulnérabilité XSS potentielle détectée dans jQuery.append. Des performances plus rapides dès maintenant.3
CWE-79 Il est dangereux de contourner la méthode d'échappement Mustache.2
CWE-319 Politique non sécurisée de transmission d'événements.2
CWE-200 Ajout d'une vérification pour détecter les origines de cibles dangereuses lors des appels window.postMessage.
CWE-913 Modifié pour éviter les constatations erronées.
Examen de code source Java CWE-918 Recherche de SSRF lors des appels RestTemplate().exchange.
CWE-303 Recherche d'appels dangereux NoOpPasswordEncoder.getInstance.
CWE-89 Recherche de cas supplémentaires pour SQLi.
CWE-22 Recherche d'autres endroits pour des problèmes potentiels de traversée du répertoire
CWE-798 Recherche d'informations d'identification codées en dur dans les appels HashMap.put et les setters.
Jquery CWE-79 Modifié pour éviter les constatations erronées.
Kotlin CWE-319 Communication ouverte détectée dans le code Kotlin.2
NodeJS CWE-614 Cookie disposant d'un indicateur défini sur une valeur non sécurisée ou indicateur de sécurité manquant.2
CWE-328 Algorithme non sécurisé utilisé dans le chiffrement createCipheriv.2
CWE-295 Configuration non sécurisée de la vérification des certificats SSL pour la désactivation de node-curl.2
CWE-78 Génération de shell d'exécution détecté.2
CWE-1004 Configuration non sécurisée de l'attribut de cookie HTTPOnly manquant.2
Objective-C CWE-319 Schéma de communications ouvertes détecté dans le code Objective-C.2
CWE-798 Modifié pour éviter des constatations erronées supplémentaires.
PHP CWE-10041 Cookie sensible sans l'indicateur HttpOnly.2
CWE-6141 Cookie sensible dans la session HTTPS sans attribut secure.2
CWE-791 Variable PHP intégrée détectée.2
CWE-981 Vulnérabilité potentielle d'inclusion de fichiers détectée dans le code PHP.2
CWE-6111 Injection d'entité externe XML détectée dans le code PHP.2
CWE-78 Exécution de commande PHP utilisant potentiellement des données fournies par l'utilisateur. Couverture étendue.3
CWE-644 Injection d'en-tête potentielle détectée. Couverture étendue.3
CWE-327 Utilisation d'algorithme non sécurisé détectée. Vérifications et couverture étendues.3
CWE-319 Communication ouverte détectée dans le framework PHP Symfony.2
CWE-1004 Indicateur HTTPOnly manquant ou non sécurisé dans setcookie.2
CWE-319 Schéma de communications ouvertes détecté.2
CWE-544 L'instruction error_reporting n'a pas été définie pour permettre le niveau de rapport d'erreurs le plus élevé possible.2
CWE-798 Vérifie la valeur et s'assure qu'il s'agit bien d'une chaîne littérale représentant un mot de passe probable en texte clair stocké dans le code.
PL/SQL CWE-331 Utilisation non sécurisée de DBMS_RANDOM.2
Python CWE-311 URL utilisant http. Couverture étendue.3
CWE-311 Fichier temporaire de condition d'indétermination TOCTTOU. Couverture fixe et correction automatique activée.3
CWE-367 Fichier temporaire de condition d'indétermination TOCTTOU.2
CWE-319 URL utilisant http.2
CWE-78 Injection de système d'exploitation Python.2
CWE-319 Utilisation FTP non sécurisée.2
CWE-78 Injection de commande popen.2
CWE-276 Utilisation de 777 avec umask.2
CWE-319 Correction automatique pour résoudre un remplacement erroné dans certaines circonstances.
ReactNative CWE-319 Communication ouverte détectée. Contexte corrigé et correction automatique activée.3
CWE-319 Communication ouverte détectée.2
CWE-295 Désactivation de l'épinglage SSL détecté.2
RPG CWE-319 Communication ouverte détectée dans le code.2
Ruby CWE-78 Utilisation non sécurisée de guillemets simples inversés regex devant être améliorée. Couverture étendue.3
CWE-78 Utilisation non sécurisée de guillemets simples inversés. Couverture étendue.3
CWE-425 Affectation de masse Ruby.2
CWE-359 Divulgation d'informations Ruby.2
Scala CWE-319 Schéma de communications ouvertes détecté dans le code Scala.2
CWE-79 Eventuelle vulnérabilité de script côté client via l'accès aux cookies détectée dans le code source Scala.2
Secrets CWE-1051 Adresse IP codée en dur détectée. Couverture étendue.3
CWE-798 Identifiants codés en dur détectés. Couverture étendue.3
CWE-798 Evite les fichiers JS minifiés.
CWE-798 Evite d'analyser les fichiers de traduction pour réduire les erreurs
Swift CWE-319 Schéma de communications ouvertes détecté dans le code Swift.2
CWE-79 Vulnérabilité potentielle d'attaque par script intersite lors de l'utilisation de loadRequest() dans iOS UIWebView.2
Terraform CWE-359 Instance AWS exposant lles secrets de données utilisateur détectée.2
CWE-778 Le profil de surveillance des journaux Azure devrait définir toutes les catégories obligatoires.2
CWE-732 Le compte de service par défaut est utilisé au niveau du dossier, du projet ou de l'organisation.2
CWE-671 Le service de messagerie et les co-administrateurs ne sont pas activés dans les serveurs SQL.2
CWE-923 Vérifiez que l'accès réseau par défaut du compte de stockage Azure est défini sur Refuser.2
CWE-923 Vérifiez que la règle de pare-feu GCP n'autorise pas un accès illimité.2
CWE-732 Instance Google Compute accessible au public.2
CWE-732 Compartiment de stockage Google accessible au public.2
CWE-732 Autorisations d'accès non sécurisées pour le compartiment Amazon S3.2
CWE-1220 Nouvelle règle de vérification du groupe de sécurité de sortie cidr_blocks définie de manière trop permissive.
TypeScript CWE-943 Recherche une éventuelle injection NoSQL MongoDB dans des fichiers TypeScript.
CWE-943 Recherche des cas supplémentaires pour SQLi.
Visual Basic CWE-319 Schéma de communications ouvertes détecté dans le code VB.2
VueJS CWE-79 Réglé pour ne pas produire de constatation si celle-ci est trouvée dans la déclaration d'une méthode.
Xamarin CWE-319 Communication ouverte détectée dans Xamarin.2