Mises à jour des règles
Mises à jour récentes des règles dans ASoC.
10 février 2026
- Nouvelle règle.
| Langage | CWE | Description |
|---|---|---|
| C# | CWE-215 | Vérifiez les appels de journalisation pour détecter les variables suspectes contenant des informations sensibles.1 |
| CWE-397 | Recherchez les lancers génériques, potentiellement dangereux, tels que new Exception ou new SystemException. | |
| Dart | CWE-943 | Vérifiez la présence d'injection forNoSQL.1 |
| CWE-338 | Recherchez les nombres pseudo-aléatoires.1 | |
| CWE-116 | Recherchez les appels de style File.writeAs.1 | |
| CWE-79 | Examinez l'utilisation potentiellement non sécurisée de Response.ok et d'appels similaires.1 | |
| CWE-348 | Recherchez la liste des répertoires potentiellement dangereux.1 | |
| CWE-78 | Recherchez l'utilisation dangereuse de Process.run.1 | |
| CWE-89 | Couvrez les appels de style requête/exécution/préparation pour le potentiel d'injection SQL.1 | |
| Java | CWE-215 | Vérifiez les appels de journalisation pour détecter les variables suspectes contenant des informations sensibles.1 |
| CWE-397 | Recherchez les lancers génériques, potentiellement dangereux, tels que Exception ou Throwable. | |
| CWE-396 | Recherchez les blocs de capture génériques tels que catch (Exception e) ou catch (Throwable t).1 | |
| JavaScript | CWE-397 | Recherchez les lancers génériques, potentiellement dangereux, tels que « message ». |
| CWE-80 | Correction d'un défaut où le modèle @if est utilisé et n'est pas un modèle handlebars. | |
| Perl | CWE-732 | Couverture plus complète des appels IO::File::open. |
| PHP | CWE-397 | Recherchez les lancers génériques, potentiellement dangereux, tels que Error("foo"). |
| Python | CWE-397 | Recherchez les lancers génériques, potentiellement dangereux, tels que BaseException. |
| Secrets | CWE-798 | Ajoutez une vérification de privateKey pour les secrets codés en dur. |
De plus, il y a une mise à jour générale pour CWE-319. Nous avons supprimé les règles à la recherche de chaînes de style http non sécurisées dans le code, car elles sont trop bruyantes. Nous recherchons toujours des instances spécifiques de communications ouvertes utilisées dans notre scanner hybride où cela semble logique, par exemple pour les appels de récupération dans JavaScript.
Ce changement vers CWE-319 a un impact sur les langues suivantes :
- ASP
- Golang
- Groovy
- Kotlin
- Objective-C
- PHP
- Scala
- Swift
- C#
- Dart
- RPG
- VB
- Xamarin
18 décembre 2025
| Langage | CWE | Description |
|---|---|---|
| Android Java | CWE-319 | Nouvelle couverture : Vérifie si usesCleartextTraffic ou cleartextTrafficPermitted est défini sur True dans le fichier AndroidManifest.xml, ce qui est une pratique non sécurisée. |
| C# | CWE-89 | Nouvelle couverture : Ajout d'une vérification d'injection SQL pour prendre en compte le modèle += ainsi que certains modèles de procédure enregistrés. |
| CWE-89 | Nouvelle couverture : Contrôle plus limité pour garantir la réduction du bruit. | |
| CWE-1004 | Réduction du bruit : Vérifiez la présence de la valeur http=true et, si elle est définie pour éviter une constatation. | |
| Dart : Flutter(prise en charge d'une nouvelle structure, nouvelle couverture) | CWE-35 | Vérifie si MethodChannel utilise un argument de chemin potentiellement contrôlé par l'utilisateur. |
| CWE-78 | Recherche une injection potentielle de système d'exploitation dans les appels MethodChannel. |
|
| CWE-80 | Vérifie WebView ou InAppWebView pour voir si JavaScript n'est pas restreint, ce qui est une pratique dangereuse. |
|
| CWE-89 | Prise en charge de l'API DB spécifique au flutter sqflite | |
| CWE-117 | Permet d'afficher les instructions d'impression et similaires qui ne sont pas encapsulées dans des contrôles de débogage. Ces appels ne doivent généralement pas se trouver dans le code de production en dehors d'une branche de débogage. | |
| CWE-312 | La règle vérifie si FlutterSecureStorage stocke des informations confidentielles suspectées, telles que des mots de passe ou d'autres informations de session. |
|
| CWE-598 | Vérifie l'objet navigateur pour détecter les utilisations potentiellement dangereuses des paramètres de requête. | |
| CWE-918 | Recherche les URL contrôlées par l'utilisateur dans MethodChannel.invokeMethod en tant que vecteur d'attaque SSRF. |
|
| JavaScript : Angular | CWE-80 | Réduction du bruit : Vérifiez que nous ne sommes pas dans un modèle @if |
| Secrets | CWE-798 | Nouvelle couverture : Ajout de la prise en charge de Tuleap. |
| CWE-798 | Nouvelle couverture : Vérifiez les mots de passe codés en dur dans les appels equalsIgnoreCase. |
|
| CWE-798 | Réduction du bruit : Évitez d'ajouter une recherche pour le code C\C++ commenté pour le lecteur de codes secrets. | |
| Swift | CWE-1188 | Nouvelle couverture : Fichier de vérification info.plist pour UIFileSharingEnabled ou LSSupportsOpeningDocumentsInPlace défini sur True qui n'est pas sécurisé. |
6 novembre 2025
- Nouvelle règle.
| Langage | CWE | Description |
|---|---|---|
| NodeJS | CWE-78 | Vérification supplémentaire pour les appels child_process.exec dangereux. |
| Perl | CWE-89 | Réduire le bruit dans la règle d'injection SQL qui a produit de manière erronée des résultats pour les instructions paramétrées. |
| CWE-732 | Réduisez le bruit pour les appels ouverts en utilisant l'entrée STDIN. | |
| PHP | CWE-213 | Ajout d'une vérification pour les appels phpInfo persistants dans le code PHP. 1 |
| CWE-89 | Nouvelle vérification pour valider les conclusions à l'aide de sqlite_escape_string. |
|
| TypeScript | CWE-94 | Vérification supplémentaire de la version d'évaluation contenant une variable potentiellement contrôlée par l'utilisateur. |
7 octobre 2025
- Nouvelle règle.
| Langage | CWE | Description |
|---|---|---|
| C# | CWE-89 | Réduction du bruit en détection SQLi. |
| Java | CWE-209 | Vérification de l'utilisation de System.out et System.err dans le code (appels de débogage qui devraient être supprimés du code de production). 1 |
| Secrets | CWE-1051 | Réduction du bruit : la vérification des adresses IP codées en dur permet d'éviter les numéros de version probables |
| CWE-798 | Réduction du bruit dans la détection des secrets Atlassian. | |
| CWE-798 | Réduction du bruit dans les paires clé/valeur des secrets. | |
| CWE-798 | Couverture supplémentaire pour rechercher les mots de passe contenant 1234 dans la chaîne en tant que partie intégrante du mot de passe codé en dur. |
10 septembre 2025
- Nouvelle règle.
| Langage | CWE | Description |
|---|---|---|
| CSS | CWE-79 | Réduction du bruit détecté lors de la vérification des variables codées en dur dans les fichiers .css. |
| Go | CWE-79 | Réduction du bruit produit lors de la vérification fprintf. |
| Docker IaC | CWE-22 | Vérifiez l'ajout de chemins sensibles dans DockerFile.1 |
| Kubernetes IaC | CWE-209 | Ajout d'une vérification du code de trace de pile laissé dans les fichiers de configuration .yaml. 1 |
| Java | CWE-78 | Recherche les appels en ligne de Runtime.getRunTime(). |
| CWE-757 | Amélioration de la liste des éléments considérés comme non sécurisés et défectueux. | |
| CWE-916 | Vérification du nombre d'itérations faibles pour PBEKeySpec et PBEParameterSpec. 1 |
|
| CWE-1188 | Vérification du déni de service avec le constructeur StringBuilder à l'aide de valeurs importantes ou contrôlées par l'utilisateur. 1 |
|
| PHP | CWE-89 | Ajout d'une vérification de validation pour sqlite_escape_string. |
| Secrets | CWE-798 | Certains schémas erronés ont été supprimés en tant que constatation. |
| CWE-798 | Recherche des informations d'identification codées en dur dans les fichiers web.config. |
|
| CWE-1051 | Vérification des adresses IP codées en dur ajustée pour éviter les chaînes qui semblent être des adresses IP, mais qui ne le sont pas. |
14 juillet 2025
- Nouvelle règle.
| Langage | CWE | Description |
|---|---|---|
| Python | CWE-78 | Vérifie l'absence d'utilisation dangereuse de os.system. 1 |
| CWE-79 | Amélioration de la clarté de la règle pour Python Django. | |
| Secrets | CWE-1051 | Suppression des schémas erronés pour la vérification des adresses IP codées en dur. |
| CWE-798 | Suppression des schémas erronés pour les informations d'identification codées en dur :
|
13 juin 2025
Ajouts de marquage pour Java :
- 68 nouvelles sources
- 10 nouveaux collecteurs
| Langage | CWE | Description |
|---|---|---|
| Secrets | Certains schémas erronés ont été supprimés en tant que constatation. | |
| Code source Java | CWE-111 | Ajout d'une vérification de l'absence d'utilisations dangereuses de DllImport. |
| CWE-918 | Ajout d'une vérification de l'URL openStream avec des données potentielles contrôlées par l'utilisateur. |
7 mai 2025
Toutes les mises à jour de règles dans cette version sont de nouvelles règles.
| Langage | CWE | Description |
|---|---|---|
| Examen de code source C# | CWE-94 | Vérification de CSharpScript.EvaluateAsync. |
| CWE-532 | Vérification de l'enregistrement des informations personnelles identifiables (PII), telles que les noms d'utilisateur ou les mots de passe. | |
| CWE-111 | Vérification de l'absence d'utilisations dangereuses de DllImport. |
|
| Examen de code source Java | CWE-532 | Vérification de l'enregistrement des informations personnelles identifiables (PII), telles que les noms d'utilisateur ou les mots de passe. |
| CWE-102 | Recherche des noms de formulaires en double dans les fichiers XML de validation Struts. | |
| CWE-104 | Recherche d'une classe qui étend un ActionForm sans validation. |
|
| PHP | CWE-111 | Vérification des utilisations de FFI::cdef contenant des appels dangereux. |
| Python | CWE-111 | Vérification des utilisations de ctypes.DLL n'utilisant pas un chemin complet pour l'argument. |
1 avril 2025
- Nouvelles règles
| Langue | CWE | Description |
|---|---|---|
| Tous les langages | CWE-798 | Réduction du bruit améliorée |
| C# | CWE-328 | La correction automatique applique des appels de fonction plus modernes |
| CWE-1333 | Vérification des délais appliqués aux objets RegEx1 | |
| CWE-89 | Nouvelles captures de SQLi via la création de la requête String.Append |
|
Informations de sécurité mises à jour pour Microsoft.CodeAnalysis.CSharp.Scripting et Microsoft.AspNetCore.Mvc.ViewFeatures |
||
| ColdFusion | CWE-328 | Réglage de la vérification pour améliorer les performances |
| HTML | CWE-319 | Éviter le bruit de type localhost dans l'URL |
| IaC | CWE-770 | Deux nouveaux correctifs automatiques |
| CWE-311 | Vérification supplémentaire des paramètres TLS appropriés dans Amazon Load Balancer | |
| Java | CWE-479 | Correction automatique mise à jour |
| JavaScript | CWE-598 | Recherche de défauts URLSearchParams dans les fichiers JavaScript.1 |
| Python | CWE-502 | Recherche d'une réflexion dangereuse dans Java1 |
11 décembre 2024
| Langage | CWE | Description |
|---|---|---|
| C# | CWE-78 | Ajusté pour réduire les constatations erronées pour l'injection OS. |
| IaC | CWE-798 | Ajusté pour réduire les constatations erronées pour les constructions de code TypeScript. |
| CWE-1051 | Ajusté pour réduire les constatations erronées pour les schémas IP dans des fichiers HTML. | |
| CWE-1328 | Ajusté pour réduire les constatations erronées pour les références d'image Docker. | |
| HTML | CWE-79 | Nouvelles règles pour les extensions de fichier :
|
| CWE-319 | ||
| CWE-524 | ||
| CWE-525 | ||
| CWE-598 | ||
| CWE-1021 | ||
| CWE-1022 | ||
| JavaScript | CWE-209 | Ajusté pour réduire les résultats pollués. |
| CWE-359 | Ajusté pour réduire les résultats pollués. | |
| CWE-1022 | Ajusté pour réduire les constatations erronées pour les constatations window.open. |
|
| Secrets | CWE-798 | Recherche de mots de passe codés en dur trouvés dans les chaînes de requête d'URL. |
| CWE-284 | Ajusté pour réduire les constatations erronées dans les constatations d'exposition de jeton des signatures d'accès partagé Azure. | |
| Visual Basic | CWE-78 | Ajusté pour réduire les résultats pollués. |
| CWE-328 | Ajusté pour réduire les résultats pollués. |
3 décembre 2024
Remarque :
- Nouvelles règles
- Réduction du bruit dans la règle
| Langue | CWE | Description |
|---|---|---|
| ASP.NET | CWE-1188 | Etat de session sans cookie activé dans la configuration de projet. 2 |
| CWE-79 | Eventuelle attaque XSS pour l'expression en ligne dans le code. 2 | |
| C# | CWE-601 | Redirection de demande avec des données contrôlées par l'utilisateur potentielles dans des variables. 2 |
| CWE-185 | Injection d'expression régulière.2 | |
| IaC Terraform | CWE-410 | Configuration de l'équilibrage de charge non sécurisée.1 |
| Java | CWE-337 | Seed prévisible pour l'instance SecureRandom dans le code Java.2 |
| CWE-918 | Server-Side Request Forgery dans RestTemplate().exchange. 2 |
|
| CWE-185 | Injection d'expression régulière dans le code Java.2 | |
| CWE-244 | Mot de passe stocké dans l'objet de chaîne Java.2 | |
| JavaScript | CWE-79 | Utilisation non sécurisée de document.referrer.2 |
| PHP | CWE-79 | Données contrôlées par l'utilisateur dans PHP converties en HTML.2 |
| Python Django | CWE-79 |
|
| CWE-89 | ||
| CWE-200 | ||
| CWE-201 | ||
| CWE-212 | ||
| CWE-352 | ||
| CWE-497 | ||
| CWE-522 | ||
| CWE-523 | ||
| CWE-795 | ||
| CWE-918 | ||
| CWE-1021 | ||
| CWE-1188 | ||
| CWE-1295 | ||
| Secrets | CWE-798 | Informations d'authentification de base codées en dur.1 |
| VB.NET | CWE-502 | Désérialisation possible.2 |
17 septembre 2024
Remarque :
- Nouvelles règles
- Règles de correction automatique nouvelles ou étendues
| Langage | CWE | Modification |
|---|---|---|
| Infrastructure en tant que code (IaC) | CWE-250 | Utilisation non sécurisée de la commande apt-get détectée dans Dockerfile. 1 |
| CWE-1328 | Utilisation non sécurisée de la version de l'image de base détectée dans Dockerfile. 1 | |
| CWE-276 | Le profil de sécurité par défaut est désactivé. 2 | |
| JavaScript | CWE-1022 | Fuite d'informations de référent. 2 |
| Kotlin | CWE-922 | Accès incorrect au stockage des données détecté dans le code Kotlin. 2 |
| PHP | CWE-98 | L'instruction allow_url_fopen est activée. 2 |
| CWE-98 | L'instruction allow_url_include est activée. 2 |
|
| CWE-94 | L'instruction cgi.force_redirect a été désactivée. 2 |
|
| CWE-614 | Cookie sensible dans la session HTTPS sans attribut Secure. 2 |
|
| Python | CWE-732 | Utilisation non sécurisée de ALLOWED_HOSTS dans les paramètres Django. 1 |
| CWE-539 | Paramètres CSRF ou de cookie de session non sécurisés dans Django. 1 | |
| CWE-1021 | Attaque par détournement de clic (clickjacking) potentielle via X_FRAME_OPTIONS. 1 |
|
| CWE-79 | Vulnérabilité XSS potentielle due à l'utilisation de filtres safe ou safeseq dans les modèles Django. 1 |
|
| CWE-79 | Vulnérabilité XSS potentielle dans Django HttpResponse. 1 | |
| CWE-150 | Extension de la couverture pour les objets d'environnement autoescape false. 2 | |
| CWE-539 | Paramètres CSRF ou de cookie de session non sécurisés dans Django. 2 | |
| Ruby | CWE-78 | Utilisation non sécurisée de guillemets simples inversés. 2 |
| CWE-78 | Utilisation non sécurisée d'une méthode system. 2 | |
| Rouille | CWE-295 | Eventuel déchiffrement des messages CMS sans vérification de certificat détectée. 2 |
| CWE-327 | Eventuelle utilisation d'une cryptographie sur les courbes elliptiques faibles détectée. 2 | |
| CWE-326 | Eventuelle longueur de clé RSA faible détectée. 2 |
4 septembre 2024
Mises à jour générales :
-
L'examen permet désormais d'éviter tous les fichiers minifiés.
- Prise en charge des flux de données .NET pour
System.Data.SQLite.
Remarque :
- Nouvelles règles
- Nouvelles règles de correction automatique
- Corrections de règles
| Langue | CWE | Modification | |
|---|---|---|---|
| .NET | ASP.NET | CWE-1188 | Etat de session sans cookie activé dans la configuration de projet ASP.NET.2 |
| C# | CWE-319 | Schéma de communications ouvertes détecté.2 | |
| CWE-328 | Algorithme de chiffrement faible détecté.2 | ||
| CWE-327 | Le générateur JWT sans vérification de signature est détecté.2 | ||
| VB.NET | CWE-1173 | La validation de la requête HTTP est désactivée dans le code VB.2 | |
| CWE-328 | Utilisation d'un algorithme cryptographique faible dans le code VB.2 | ||
| Angular | CWE-94 | Vulnérabilité potentielle d'injection de code dans une machine virtuelle sandbox.1 | |
| AngularJS | CWE-477 | Appel obsolète détecté : (ng-bind-html-unsafe).2 |
|
| Sommet | CWE-943 | Injection SOQL.2 | |
| CWE-943 | Injection SOSL.2 | ||
| CWE-328 | Algorithme de hachage faible choisi.2 | ||
| CWE-79 | Attaque par script intersite (XSS) de script ou style.2 | ||
| ASP | CWE-319 | Schéma de communications ouvertes détecté dans le code ASP.2 | |
| C/C++ | CWE-367 | Utilisation potentiellement dangereuse de la fonction de nom de fichier temporaire. Contexte corrigé et correction automatique activée.3 | |
| CWE-78 | Injection potentielle de commande détectée. Couverture étendue.3 | ||
| CWE-250 | Appel CreateFile qui semble enfreindre le principe du moindre privilège.2 |
||
| CWE-250 | CreateNamedPipe ne dispose pas de l'indicateur FILE_FLAG_FIRST_PIPE_INSTANCE.2 |
||
| CWE-757 | Utilisation non sécurisée du protocole (SSL/TLS) détectée.2 | ||
| CWE-295 | Utilisation potentiellement dangereuse de la configuration Curl découverte (sept règles différentes dans cette catégorie).2 | ||
| CWE-427 | Manipulation potentielle du registre du principe du moindre privilège détectée.2 | ||
| CWE-611 | Traitement d'entité externe non sécurisé activé.2 | ||
| ColdFusion | CWE-524 | Mise en cache cfCache des pages sécurisées.2 |
|
| CWE-502 | cfWddx ne comporte pas de validation WDDX.2 |
||
| CWE-862 | Client non vérifié dans cfFunction.2 |
||
| CWE-319 | Communications non sécurisées.2 | ||
| CWE-307 | Validation de soumissions multiples.2 | ||
| CWE-327 | Algorithme non sécurisé utilisé dans la fonction de chiffrement.2 | ||
| Dart | CWE-522 | AutoComplete activé pour les champs potentiellement sensibles.2 |
|
| CWE-319 | Schéma de communications ouvertes détecté avec HttpServer.2 |
||
| CWE-319 | Communications par socket ouvertes détectées.2 | ||
| CWE-319 | Schéma de communication ouverte avec URI détecté.2 | ||
| CWE-79 | Utilisation non sécurisée de fenêtre ouverte dans le code Dart.2 | ||
| CWE-319 | Schéma de communications ouvertes détecté dans la chaîne.2 | ||
| CWE-79 | Mot clé de stratégie de sécurité du contenu non sécurisé trouvé.2 | ||
| Docker | CWE-770 | Limitez l'UC pour éviter une attaque par refus de service (DoS).2 | |
| CWE-770 | Limitez le nombre de redémarrages en cas d'échec pour éviter un refus de service (DoS).2 | ||
| Go | CWE-489 | Débogage du package pprof pour HTTP détecté.2 |
|
| CWE-1004 | Code Golang contenant un http.Cookie non sécurisé.2 |
||
| CWE-319 | Schéma de communications ouvertes détecté dans le code Golang.2 | ||
| Groovy | CWE-319 | Schéma de communications ouvertes détecté dans le code Groovy.2 | |
| CWE-79 | Une vulnérabilité potentielle d'attaque par script intersite détectée dans le code source Groovy a ajouté des corrections automatiques supplémentaires pour toutes les instances.2 | ||
| Java | CWE-489 | L'activation du débogage dans la sécurité Web révèle des données dans Spring.2 | |
| CWE-1390 | Ignorer les commentaires dans SAML entraîne une violation de l'authentification.2 | ||
| CWE-548 | Liste de répertoires non sécurisés pour le servlet par défaut dans la configuration tomcat.2 | ||
| CWE-276 | Utilisation non sécurisée d'autorisation de fichier dans Java.2 | ||
| CWE-489 | Une impression de trace de pile est détectée dans le code Java.2 | ||
| CWE-489 | L'indicateur de débogage est défini sur true dans l'application Android.2 | ||
| CWE-1188 | Mode de préférences partagées incorrect détecté dans le code Android.2 | ||
| JavaScript | CWE-359 | Politique de transmission d'événements non sécurisés : contexte corrigé et correction automatique activée.3 | |
| CWE-79 | Vulnérabilité XSS potentielle détectée dans jQuery.append. Des performances plus rapides dès maintenant.3 |
||
| CWE-79 | Il est dangereux de contourner la méthode d'échappement Mustache.2 | ||
| CWE-319 | Politique non sécurisée de transmission d'événements.2 | ||
| Kotlin | CWE-319 | Communication ouverte détectée dans le code Kotlin.2 | |
| NodeJS | CWE-614 | Cookie disposant d'un indicateur défini sur une valeur non sécurisée ou indicateur de sécurité manquant.2 | |
| CWE-328 | Algorithme non sécurisé utilisé dans le chiffrement createCipheriv.2 |
||
| CWE-295 | Configuration non sécurisée de la vérification des certificats SSL pour la désactivation de node-curl.2 | ||
| CWE-78 | Génération de shell d'exécution détecté.2 | ||
| CWE-1004 | Configuration non sécurisée de l'attribut de cookie HTTPOnly manquant.2 |
||
| Objective-C | CWE-319 | Schéma de communications ouvertes détecté dans le code Objective-C.2 | |
| PHP | CWE-10041 | Cookie sensible sans indicateur HttpOnly.2 |
|
| CWE-6141 | Cookie sensible dans la session HTTPS sans attribut secure.2 |
||
| CWE-791 | Variable PHP intégrée détectée.2 | ||
| CWE-981 | Vulnérabilité potentielle d'inclusion de fichiers détectée dans le code PHP.2 | ||
| CWE-6111 | Injection d'entité externe XML détectée dans le code PHP.2 | ||
| CWE-78 | Exécution de commande PHP utilisant potentiellement des données fournies par l'utilisateur. Couverture étendue.3 | ||
| CWE-644 | Injection d'en-tête potentielle détectée. Couverture étendue.3 | ||
| CWE-327 | Utilisation d'algorithme non sécurisé détectée. Contrôles et couverture étendus.3 | ||
| CWE-319 | Communication ouverte détectée dans la structure PHP Symfony.2 | ||
| CWE-1004 | Indicateur HTTPOnly manquant ou non sécurisé dans setcookie.2 |
||
| CWE-319 | Schéma de communications ouvertes détecté.2 | ||
| CWE-544 | L'instruction error_reporting n'a pas été configurée pour permettre le niveau de rapport d'erreurs le plus élevé possible.2 |
||
| PL/SQL | CWE-331 | Utilisation non sécurisée de DBMS_RANDOM.2 |
|
| Python | CWE-311 | URL utilisant http. Couverture étendue.3 |
|
| CWE-311 | Fichier temporaire de condition d'indétermination TOCTTOU. Couverture fixe et correction automatique activée.3 | ||
| CWE-367 | Fichier temporaire de condition d'indétermination TOCTTOU.2 | ||
| CWE-319 | URL utilisant http.2 |
||
| CWE-78 | Injection de système d'exploitation Python.2 | ||
| CWE-319 | Utilisation FTP non sécurisée.2 | ||
| CWE-78 | Injection de commande popen.2 | ||
| CWE-276 | Utilisation de 777 avec umask.2 | ||
| ReactNative | CWE-319 | Communication ouverte détectée. Contexte corrigé et correction automatique activée.3 | |
| CWE-319 | Communication ouverte détectée.2 | ||
| CWE-295 | Désactivation de l'épinglage SSL détecté.2 | ||
| RPG | CWE-319 | Communication ouverte détectée dans le code.2 | |
| Ruby | CWE-78 | Utilisation non sécurisée de guillemets simples inversés regex devant être améliorée. Couverture étendue.3 | |
| CWE-78 | Utilisation non sécurisée de guillemets simples inversés. Couverture étendue.3 | ||
| CWE-425 | Affectation de masse Ruby.2 | ||
| CWE-359 | Divulgation d'informations Ruby.2 | ||
| Scala | CWE-319 | Schéma de communications ouvertes détecté dans le code Scala.2 | |
| CWE-79 | Eventuelle vulnérabilité de script côté client via l'accès aux cookies détectée dans le code source Scala.2 | ||
| Secrets | CWE-1051 | Adresse IP codée en dur détectée. Couverture étendue.3 | |
| CWE-798 | Identifiants codés en dur détectés. Couverture étendue.3 | ||
| Swift | CWE-319 | Schéma de communications ouvertes détecté dans le code Swift.2 | |
| CWE-79 | Vulnérabilité potentielle d'attaque par script intersite lors de l'utilisation de loadRequest() dans iOS UIWebView.2 |
||
| Terraform | CWE-359 | Instance AWS exposant les secrets de données utilisateur détectée.2 | |
| CWE-778 | Le profil de surveillance des journaux Azure devrait définir toutes les catégories obligatoires.2 | ||
| CWE-732 | Le compte de service par défaut est utilisé au niveau du dossier, du projet ou de l'organisation.2 | ||
| CWE-671 | Le service de messagerie et les co-administrateurs ne sont pas activés dans les serveurs SQL.2 | ||
| CWE-923 | Vérifiez que l'accès réseau par défaut du compte de stockage Azure est défini sur Refuser.2 | ||
| CWE-923 | Vérifiez que la règle de pare-feu GCP n'autorise pas un accès illimité.2 | ||
| CWE-732 | Instance Google Compute accessible au public.2 | ||
| CWE-732 | Compartiment de stockage Google accessible au public.2 | ||
| CWE-732 | Autorisations d'accès non sécurisées pour le compartiment Amazon S3.2 | ||
| Visual Basic | CWE-319 | Schéma de communications ouvertes détecté dans le code VB.2 | |
| Xamarin | CWE-319 | Communication ouverte détectée dans Xamarin.2 | |
6 août 2024
| Langage | CWE | Modification |
|---|---|---|
| Informations générales | CWE-319 | Meilleure gestion des règles de communication ouverte pour toutes les langues afin de réduire les résultats pollués. |
| Angular | CWE-312 | Le stockage local évite les appels setItem liés à l'ordre de tri. |
| ASP | CWE-79 | Vérifie que la validation est correcte à l'aide de Server.HTMLEncode. |
| CSS |
CWE-79 |
Ajusté pour réduire les résultats pollués. |
| Dart | CWE-328 | Plus sélectif lors de la présentation des constatations et évite les constatations erronées plus évidentes. |
| CWE-319 |
Ajusté pour réduire les résultats pollués. |
|
| Examen de code source Java | CWE-918 | Recherche de SSRF dans les appels RestTemplate().exchange. |
| CWE-303 | Recherche d'appels dangereux NoOpPasswordEncoder.getInstance. |
|
| CWE-89 | Trouvez des cas supplémentaires pour SQLi. | |
| CWE-22 | Recherche d'autres emplacements pour d'éventuels problèmes de traversée de chemin. | |
| CWE-798 | Recherche d'informations d'identification codées en dur dans les appels HashMap.put et les setters. |
|
| JavaScript | CWE-200 | Nous avons ajouté une vérification pour détecter les origines de cibles potentiellement dangereuses lors des appels window.postMessage. |
| CWE-913 | Modifié pour réduire les résultats pollués. | |
| JQuery | CWE-79 | Modifié pour réduire les résultats pollués. |
| Objective-C | CWE-798 | Modifié pour réduire certains résultats pollués supplémentaires. |
| PHP | CWE-798 | Vérifie la valeur et s'assure qu'il s'agit bien d'une chaîne littérale représentant un mot de passe probable en texte clair stocké dans le code. |
| Python | CWE-319 | Correction automatique pour résoudre un remplacement erroné dans certaines circonstances. |
| Analyse des secrets. | CWE-798 | Evite les fichiers JS minifiés. |
| Evite d'analyser les fichiers de traduction pour réduire les erreurs | ||
| TerraForm | CWE-1220 | Nouvelle règle de vérification du groupe de sécurité de sortie cidr_blocks définie de manière trop permissive. |
| TypeScript | CWE-943 | Recherche une éventuelle injection NoSQL MongoDB dans des fichiers TypeScript. |
| Recherche des cas supplémentaires pour SQLi. | ||
| VueJS | CWE-79 | Ajusté pour réduire la génération d'un résultat trouvé dans une déclaration de méthode. |