ルールの更新

言語	CWE	変更
全般	CWE-319	全言語のオープン・コミュニケーション・ルールの処理を改善して、ノイズの多い検出結果を回避します。
.NET	ASP.NET	CWE-1188	ASP.NET プロジェクト設定で cookieless セッション状態が有効になっています。^2.
C#	CWE-319	オープン通信スキームを検出しました。²
CWE-328	脆弱な暗号アルゴリズムを検出しました。²
CWE-327	署名検証のない JWT ビルダーを検出しました。²
VB.NET	CWE-1173	VB コードで HTTP 要求の検証が無効になっています。^2.
CWE-328	VB コードで脆弱な暗号化アルゴリズムが使用されています。^2.
Angular	CWE-94	サンドボックス VM に潜在的なコード・インジェクションの脆弱性があります。^1.
CWE-312	ローカル・ストレージがソートの方向に関連する `setItem` 呼び出しを回避しています。
Angular.js	CWE-477	見つかった非推奨の呼び出し: (ng-bind-html-unsafe)。²
Apex	CWE-943	SOQL インジェクションです。^2.
CWE-943	SOSL インジェクションです。^2.
CWE-328	脆弱なハッシュ・アルゴリズムが選択されました。²
CWE-79	スクリプトまたはスタイルのクロスサイト・スクリプティング (XSS)です。²
ASP	CWE-319	ASP コードでオープン通信スキームを検出しました。²
CWE-79	`Server.HTMLEncode` を使用して適切な検証をチェックします。
C/C++	CWE-367	一時ファイル名関数の潜在的に危険な使用です。コンテキストが修正され、自動修正が有効になりました。^3.
CWE-78	潜在的なコマンド・インジェクションを検出しました。カバー範囲を拡大しました。^3.
CWE-250	最小特権の原則に違反していると思われる `CreateFile` 呼び出しです。^2.
CWE-250	`CreateNamedPipe` に `FILE_FLAG_FIRST_PIPE_INSTANCE` フラグがありません。^2.
CWE-757	(SSL/TLS) プロトコルの安全ではない使用を検出しました。^2.
CWE-295	Curl 設定の危険な使用を検出しました (このカテゴリーには異なる 7 種類のルールがあります)。^2.
CWE-427	最小権限レジストリー操作の潜在的な潜在的な原則を検出しました。^2.
CWE-611	安全でない外部エンティティー処理が有効になっています。^2.
ColdFusion	CWE-524	`cfCache` によるセキュア・ページのキャッシングです。²
CWE-502	`cfWddx` に WDDX 検証がありません。²
CWE-862	`cfFunction` でクライアントが検証されていません。²
CWE-319	安全ではない通信です。^2.
CWE-307	複数の送信の検証です。²
CWE-327	暗号化関数での安全でないアルゴリズムが使用されています。^2.
CSS	CWE-79	ノイズの多い検出結果を開始するように変更しました。
Dart	CWE-522	潜在的に機密性の高いフィールドに対して `AutoComplete` がオンになりました。^2.
CWE-319	`HttpServer` で検出されたオープン通信スキーム ^2.
CWE-319	オープン・ソケット通信を検出しました。^2.
CWE-319	Uri で検出されたオープン通信スキーム ^2.
CWE-79	DART コードで安全ではないウィンドウのオープンが行われています。^2.
CWE-319	ストリングでオープン通信スキームを検出しました。²
CWE-79	安全でないコンテンツ・セキュリティー・ポリシー・キーワードが見つかりました。^2.
CWE-328	検出結果をより選択的に表示して、明らかにノイズが多い検出結果を回避します。
CWE-319	ノイズの多い検出結果を開始するように変更しました。
Docker	CWE-770	サービス拒否 (DoS) 攻撃防止のために CPU を制限します。^2.
CWE-770	サービス拒否 (DoS) 攻撃防止のために失敗時の再起動回数を制限します。²
Go	CWE-489	HTTP 用のデバッグ・パッケージ pprof を検出しました。²
CWE-1004	Golang コードに安全ではない `http.Cookie` があります。²
CWE-319	Golang コードでオープン通信スキームを検出しました。²
Groovy	CWE-319	Groovy コードでオープン通信スキームを検出しました。²
CWE-79	Groovy ソース・コードで検出された潜在的なクロスサイト・スクリプティングの脆弱性により、全インスタンスに追加の自動修正を追加しました。^2.
Java	CWE-489	Web セキュリティーでデバッグを有効にすると、Spring のデータが表示されます。^2.
CWE-1390	SAML のコメントを無視すると、認証に失敗します。^2.
CWE-548	tomcat 設定のデフォルト・サーブレットのディレクトリー一覧が安全ではありません。^2.
CWE-276	Java で安全ではないファイル権限の使用を検出しました。²
CWE-489	Java コードで printStackTrace を検出しました。^2.
CWE-489	Android アプリケーションでデバッグ可能フラグが true に設定されています。²
CWE-1188	Android コードで不適切な共用プリファレンス・モードを検出しました。²
JavaScript	CWE-359	安全ではないイベント送信ポリシーです。コンテキストが修正され、自動修正が有効になりました。^3.
CWE-79	`jQuery.append` で XSS の潜在的な脆弱性を検出しました。今すぐパフォーマンスを向上します。^3.
CWE-79	Mustache のエスケープ・メソッドを上書きするのは危険です。^2.
CWE-319	安全ではないイベント送信ポリシーです。²
CWE-200	`window.postMessage` 呼び出しに、危険なターゲット・オリジン・チェックのチェックを追加しました。
CWE-913	ノイズの多い検出結果を回避する修正を行いました。
Java ソース・コード・スキャナー	CWE-918	`RestTemplate().exchange` 呼び出しで SSRF を探しています。
CWE-303	`NoOpPasswordEncoder.getInstance` の危険な呼び出しを探しています。
CWE-89	SQLi の追加ケースを探しています。
CWE-22	パス・トラバーサルの問題が発生する可能性がある場所を探しています。
CWE-798	`HashMap.Put` の呼び出しおよびセッターでハードコードされた資格情報を探しています。
Jquery	CWE-79	ノイズの多い検出結果を回避する修正を行いました。
Kotlin	CWE-319	Kotlin コードでオープン通信を検出しました。²
NodeJS	CWE-614	Cookie にセキュリティー・フラグがないか、フラグにセキュアではない値が設定されています。²
CWE-328	暗号の `createCipheriv` に安全ではないアルゴリズムが使用されています。^2.
CWE-295	Node-curl を使用不可にするための SSL 証明書の検証の設定がセキュアではありません。²
CWE-78	Exec シェルで spawn を検出しました。^2.
CWE-1004	`HTTPOnly` Cookie 属性がないセキュアではない設定です。²
Objective-C	CWE-319	Objective-C コードでオープン通信スキームを検出しました。²
CWE-798	ノイズの多い検出結果をさらに回避する修正を行いました。
PHP	CWE-1004¹	機密 cookie に `HttpOnly` フラグがありません。²
CWE-614¹	HTTPS セッションの機密 cookie に `Secure` 属性がありません。^2.
CWE-79¹	組み込み PHP 変数を検出しました。²
CWE-98¹	PHP コードで潜在的なファイル・インクルード脆弱性を検出しました。^2.
CWE-611¹	PHP コードで潜在的な XML 外部エンティティー・インジェクションを検出しました。²
CWE-78	ユーザー提供データを使用する可能性のある PHP コマンドの実行です。カバー範囲を拡大しました。^3.
CWE-644	潜在的なヘッダー・インジェクションを検出しました。カバー範囲を拡大しました。^3.
CWE-327	安全ではないアルゴリズムの使用を検出しました。チェック範囲を拡大しました。カバー範囲を拡大しました。^3.
CWE-319	PHP Symfony フレームワークでオープン通信を検出しました。²
CWE-1004	`setcookie` に `HTTPOnly` フラグがないか、安全ではありません。²
CWE-319	オープン通信スキームを検出しました。²
CWE-544	`error_reporting` ディレクティブがエラー・レポートの可能な最高レベルを許可するように設定されていません。²
CWE-798	値をチェックして、コードに格納されているプレーン・テキストの可能性のあるパスワードを表す文字列リテラルであるかどうかを確認します。
PL/SQL	CWE-331	`DBMS_RANDOM` の安全ではない使用です。²
Python	CWE-311	`http` を使用する URL です。カバー範囲を拡大しました。^3.
CWE-311	TOCTTOU 競合状態の一時ファイルです。カバー範囲を固定して、自動修正を有効にしました。^3.
CWE-367	TOCTTOU 競合状態の一時ファイルです。²
CWE-319	`http` を使用する URLです。²
CWE-78	Python OS インジェクションです。²
CWE-319	セキュアではない FTP の使用です。²
CWE-78	Popen コマンド・インジェクションです。²
CWE-276	777 を umask とともに使用しています。²
CWE-319	状況によっては誤った入れ替えに対応するように自動修正を修正しました。
ReactNative	CWE-319	オープン通信を検出しました。コンテキストが修正され、自動修正が有効になりました。^3.
CWE-319	オープン通信を検出しました。²
CWE-295	SSL Pinning の使用不可処理を検出しました。²
RPG	CWE-319	コードでオープン通信を検出しました。²
Ruby	CWE-78	backticks regex の安全ではない使用の改善が必要です。カバー範囲を拡大しました。^3.
CWE-78	バックチックの安全でない使用です。カバー範囲を拡大しました。^3.
CWE-425	Ruby の一括割り当てです。²
CWE-359	Ruby の情報開示です。²
Scala	CWE-319	Scala コードでオープン通信スキームを検出しました。²
CWE-79	Cookie アクセス経由の潜在的なクライアント・サイド・スクリプティング脆弱性を Scala ソース・コードで検出しました。²
シークレット	CWE-1051	ハードコードされた IP アドレスを検出しました。カバー範囲を拡大しました。^3.
CWE-798	ハードコードされた資格情報を検出しました。カバー範囲を拡大しました。^3.
CWE-798	最小化された JS ファイルを回避します。
CWE-798	翻訳ファイルの分析を回避してノイズを減らします。
Swift	CWE-319	Swift コードでオープン通信スキームを検出しました。²
CWE-79	iOS `UIWebView` での `loadRequest()` 使用時の潜在的なクロスサイト・スクリプティング脆弱性です。²
Terraform	CWE-359	ユーザー・データ・シークレットを公開する AWS インスタンスを検出しました。^2.
CWE-778	Azure ログ監視プロファイルでは、すべての必須カテゴリーを定義する必要があります。^2.
CWE-732	デフォルトのサービス・アカウントは、フォルダー、プロジェクト、組織レベルで使用されます。^2.
CWE-671	メール・サービスと共同管理者が SQL サーバーで有効になっていません。^2.
CWE-923	Azure ストレージ・アカウントのデフォルト・ネット・ワークアクセスを「拒否」に設定するようにしてください。^2.
CWE-923	GCP ファイアウォール・ルールでアクセスを無制限に許可しないようにしてください。^2.
CWE-732	Google Compute インスタンスがパブリックにアクセス可能です。^2.
CWE-732	Google ストレージ・バケットがパブリックにアクセス可能です。^2.
CWE-732	Amazon S3 バケットの安全ではないアクセス権限です。^2.
CWE-1220	出力セキュリティー・グループの `cidr_blocks` が過度に許可されているかどうかをチェックする新しいルールです。
TypeScript	CWE-943	TypeScript ファイルで NoSQL MongoDB インジェクションを探します。
CWE-943	SQLi の追加ケースを探します。
Visual Basic	CWE-319	VB コードでオープン通信スキームを検出しました。²
VueJS	CWE-79	メソッド宣言で見つかった場合に、検出結果が生成されないように変更しました。
Xamarin	CWE-319	Xamarin でオープン通信を検出しました。²

全般

CWE-319

全言語のオープン・コミュニケーション・ルールの処理を改善して、ノイズの多い検出結果を回避します。

.NET

ASP.NET

CWE-1188

ASP.NET プロジェクト設定で cookieless セッション状態が有効になっています。^2.

C#

CWE-319

オープン通信スキームを検出しました。²

CWE-328

脆弱な暗号アルゴリズムを検出しました。²

CWE-327

署名検証のない JWT ビルダーを検出しました。²

VB.NET

CWE-1173

VB コードで HTTP 要求の検証が無効になっています。^2.

CWE-328

VB コードで脆弱な暗号化アルゴリズムが使用されています。^2.

Angular

CWE-94

サンドボックス VM に潜在的なコード・インジェクションの脆弱性があります。^1.

CWE-312

ローカル・ストレージがソートの方向に関連する setItem 呼び出しを回避しています。

Angular.js

CWE-477

見つかった非推奨の呼び出し: (ng-bind-html-unsafe)。²

Apex

CWE-943

SOQL インジェクションです。^2.

CWE-943

SOSL インジェクションです。^2.

CWE-328

脆弱なハッシュ・アルゴリズムが選択されました。²

CWE-79

スクリプトまたはスタイルのクロスサイト・スクリプティング (XSS)です。²

ASP

CWE-319

ASP コードでオープン通信スキームを検出しました。²

CWE-79

Server.HTMLEncode を使用して適切な検証をチェックします。

C/C++

CWE-367

一時ファイル名関数の潜在的に危険な使用です。コンテキストが修正され、自動修正が有効になりました。^3.

CWE-78

潜在的なコマンド・インジェクションを検出しました。カバー範囲を拡大しました。^3.

CWE-250

最小特権の原則に違反していると思われる CreateFile 呼び出しです。^2.

CWE-250

CreateNamedPipe に FILE_FLAG_FIRST_PIPE_INSTANCE フラグがありません。^2.

CWE-757

(SSL/TLS) プロトコルの安全ではない使用を検出しました。^2.

CWE-295

Curl 設定の危険な使用を検出しました (このカテゴリーには異なる 7 種類のルールがあります)。^2.

CWE-427

最小権限レジストリー操作の潜在的な潜在的な原則を検出しました。^2.

CWE-611

安全でない外部エンティティー処理が有効になっています。^2.

ColdFusion

CWE-524

cfCache によるセキュア・ページのキャッシングです。²

CWE-502

cfWddx に WDDX 検証がありません。²

CWE-862

cfFunction でクライアントが検証されていません。²

CWE-319

安全ではない通信です。^2.

CWE-307

複数の送信の検証です。²

CWE-327

暗号化関数での安全でないアルゴリズムが使用されています。^2.

CSS

CWE-79

ノイズの多い検出結果を開始するように変更しました。

Dart

CWE-522

潜在的に機密性の高いフィールドに対して AutoComplete がオンになりました。^2.

CWE-319

HttpServer で検出されたオープン通信スキーム ^2.

CWE-319

オープン・ソケット通信を検出しました。^2.

CWE-319

Uri で検出されたオープン通信スキーム ^2.

CWE-79

DART コードで安全ではないウィンドウのオープンが行われています。^2.

CWE-319

ストリングでオープン通信スキームを検出しました。²

CWE-79

安全でないコンテンツ・セキュリティー・ポリシー・キーワードが見つかりました。^2.

CWE-328

検出結果をより選択的に表示して、明らかにノイズが多い検出結果を回避します。

CWE-319

ノイズの多い検出結果を開始するように変更しました。

Docker

CWE-770

サービス拒否 (DoS) 攻撃防止のために CPU を制限します。^2.

CWE-770

サービス拒否 (DoS) 攻撃防止のために失敗時の再起動回数を制限します。²

Go

CWE-489

HTTP 用のデバッグ・パッケージ pprof を検出しました。²

CWE-1004

Golang コードに安全ではない http.Cookie があります。²

CWE-319

Golang コードでオープン通信スキームを検出しました。²

Groovy

CWE-319

Groovy コードでオープン通信スキームを検出しました。²

CWE-79

Groovy ソース・コードで検出された潜在的なクロスサイト・スクリプティングの脆弱性により、全インスタンスに追加の自動修正を追加しました。^2.

Java

CWE-489

Web セキュリティーでデバッグを有効にすると、Spring のデータが表示されます。^2.

CWE-1390

SAML のコメントを無視すると、認証に失敗します。^2.

CWE-548

tomcat 設定のデフォルト・サーブレットのディレクトリー一覧が安全ではありません。^2.

CWE-276

Java で安全ではないファイル権限の使用を検出しました。²

CWE-489

Java コードで printStackTrace を検出しました。^2.

CWE-489

Android アプリケーションでデバッグ可能フラグが true に設定されています。²

CWE-1188

Android コードで不適切な共用プリファレンス・モードを検出しました。²

JavaScript

CWE-359

安全ではないイベント送信ポリシーです。コンテキストが修正され、自動修正が有効になりました。^3.

CWE-79

jQuery.append で XSS の潜在的な脆弱性を検出しました。今すぐパフォーマンスを向上します。^3.

CWE-79

Mustache のエスケープ・メソッドを上書きするのは危険です。^2.

CWE-319

安全ではないイベント送信ポリシーです。²

CWE-200

window.postMessage 呼び出しに、危険なターゲット・オリジン・チェックのチェックを追加しました。

CWE-913

ノイズの多い検出結果を回避する修正を行いました。

Java ソース・コード・スキャナー

CWE-918

RestTemplate().exchange 呼び出しで SSRF を探しています。

CWE-303

NoOpPasswordEncoder.getInstance の危険な呼び出しを探しています。

CWE-89

SQLi の追加ケースを探しています。

CWE-22

パス・トラバーサルの問題が発生する可能性がある場所を探しています。

CWE-798

HashMap.Put の呼び出しおよびセッターでハードコードされた資格情報を探しています。

Jquery

CWE-79

ノイズの多い検出結果を回避する修正を行いました。

Kotlin

CWE-319

Kotlin コードでオープン通信を検出しました。²

NodeJS

CWE-614

Cookie にセキュリティー・フラグがないか、フラグにセキュアではない値が設定されています。²

CWE-328

暗号の createCipheriv に安全ではないアルゴリズムが使用されています。^2.

CWE-295

Node-curl を使用不可にするための SSL 証明書の検証の設定がセキュアではありません。²

CWE-78

Exec シェルで spawn を検出しました。^2.

CWE-1004

HTTPOnly Cookie 属性がないセキュアではない設定です。²

Objective-C

CWE-319

Objective-C コードでオープン通信スキームを検出しました。²

CWE-798

ノイズの多い検出結果をさらに回避する修正を行いました。

PHP

CWE-1004¹

機密 cookie に HttpOnly フラグがありません。²

CWE-614¹

HTTPS セッションの機密 cookie に Secure 属性がありません。^2.

CWE-79¹

組み込み PHP 変数を検出しました。²

CWE-98¹

PHP コードで潜在的なファイル・インクルード脆弱性を検出しました。^2.

CWE-611¹

PHP コードで潜在的な XML 外部エンティティー・インジェクションを検出しました。²

CWE-78

ユーザー提供データを使用する可能性のある PHP コマンドの実行です。カバー範囲を拡大しました。^3.

CWE-644

潜在的なヘッダー・インジェクションを検出しました。カバー範囲を拡大しました。^3.

CWE-327

安全ではないアルゴリズムの使用を検出しました。チェック範囲を拡大しました。カバー範囲を拡大しました。^3.

CWE-319

PHP Symfony フレームワークでオープン通信を検出しました。²

CWE-1004

setcookie に HTTPOnly フラグがないか、安全ではありません。²

CWE-319

オープン通信スキームを検出しました。²

CWE-544

error_reporting ディレクティブがエラー・レポートの可能な最高レベルを許可するように設定されていません。²

CWE-798

値をチェックして、コードに格納されているプレーン・テキストの可能性のあるパスワードを表す文字列リテラルであるかどうかを確認します。

PL/SQL

CWE-331

DBMS_RANDOM の安全ではない使用です。²

Python

CWE-311

http を使用する URL です。カバー範囲を拡大しました。^3.

CWE-311

TOCTTOU 競合状態の一時ファイルです。カバー範囲を固定して、自動修正を有効にしました。^3.

CWE-367

TOCTTOU 競合状態の一時ファイルです。²

CWE-319

http を使用する URLです。²

CWE-78

Python OS インジェクションです。²

CWE-319

セキュアではない FTP の使用です。²

CWE-78

Popen コマンド・インジェクションです。²

CWE-276

777 を umask とともに使用しています。²

CWE-319

状況によっては誤った入れ替えに対応するように自動修正を修正しました。

ReactNative

CWE-319

オープン通信を検出しました。コンテキストが修正され、自動修正が有効になりました。^3.

CWE-319

オープン通信を検出しました。²

CWE-295

SSL Pinning の使用不可処理を検出しました。²

RPG

CWE-319

コードでオープン通信を検出しました。²

Ruby

CWE-78

backticks regex の安全ではない使用の改善が必要です。カバー範囲を拡大しました。^3.

CWE-78

バックチックの安全でない使用です。カバー範囲を拡大しました。^3.

CWE-425

Ruby の一括割り当てです。²

CWE-359

Ruby の情報開示です。²

Scala

CWE-319

Scala コードでオープン通信スキームを検出しました。²

CWE-79

Cookie アクセス経由の潜在的なクライアント・サイド・スクリプティング脆弱性を Scala ソース・コードで検出しました。²

シークレット

CWE-1051

ハードコードされた IP アドレスを検出しました。カバー範囲を拡大しました。^3.

CWE-798

ハードコードされた資格情報を検出しました。カバー範囲を拡大しました。^3.

CWE-798

最小化された JS ファイルを回避します。

CWE-798

翻訳ファイルの分析を回避してノイズを減らします。

Swift

CWE-319

Swift コードでオープン通信スキームを検出しました。²

CWE-79

iOS UIWebView での loadRequest() 使用時の潜在的なクロスサイト・スクリプティング脆弱性です。²

Terraform

CWE-359

ユーザー・データ・シークレットを公開する AWS インスタンスを検出しました。^2.

CWE-778

Azure ログ監視プロファイルでは、すべての必須カテゴリーを定義する必要があります。^2.

CWE-732

デフォルトのサービス・アカウントは、フォルダー、プロジェクト、組織レベルで使用されます。^2.

CWE-671

メール・サービスと共同管理者が SQL サーバーで有効になっていません。^2.

CWE-923

Azure ストレージ・アカウントのデフォルト・ネット・ワークアクセスを「拒否」に設定するようにしてください。^2.

CWE-923

GCP ファイアウォール・ルールでアクセスを無制限に許可しないようにしてください。^2.

CWE-732

Google Compute インスタンスがパブリックにアクセス可能です。^2.

CWE-732

Google ストレージ・バケットがパブリックにアクセス可能です。^2.

CWE-732

Amazon S3 バケットの安全ではないアクセス権限です。^2.

CWE-1220

出力セキュリティー・グループの cidr_blocks が過度に許可されているかどうかをチェックする新しいルールです。

TypeScript

CWE-943

TypeScript ファイルで NoSQL MongoDB インジェクションを探します。

CWE-943

SQLi の追加ケースを探します。

Visual Basic

CWE-319

VB コードでオープン通信スキームを検出しました。²

VueJS

CWE-79

メソッド宣言で見つかった場合に、検出結果が生成されないように変更しました。

Xamarin

CWE-319

Xamarin でオープン通信を検出しました。²