Mises à jour des règles

Mises à jour des règles dans AppScan® Source version 10.7.0

  1. Nouvelles règles
  2. Nouvelles règles de correction automatique
  3. Corrections de règles
Langue CWE Modification
Général CWE-319 Une meilleure gestion des règles de communication ouvertes pour toutes les langues permet d'éviter les constatations erronées.
.NET ASP.NET CWE-1188 L'état de session sans cookie est activé dans la configuration du projet ASP.NET.2
C# CWE-319 Schéma de communications ouvertes détecté.2
CWE-328 Algorithme de chiffrement faible détecté.2
CWE-327 Le générateur JWT sans vérification de signature est détecté.2
VB.NET CWE-1173 La validation de la requête HTTP est désactivée dans le code VB.2
CWE-328 Utilisation d'un algorithme cryptographique faible dans le code VB.2
Angular CWE-94 Vulnérabilité potentielle d'injection de code dans la machine virtuelle de sandbox.1
CWE-312 Le stockage local évite les appels setItem liés à l'ordre de tri.
AngularJS CWE-477 Appel obsolète détecté : (ng-bind-html-unsafe).2
Sommet CWE-943 Injection SOQL.2
CWE-943 Injection SOSL.2
CWE-328 Algorithme de hachage faible choisi.2
CWE-79 Attaque par script intersite (XSS) de script ou style.2
ASP CWE-319 Schéma de communications ouvertes détecté dans le code ASP.2
CWE-79 Vérifie que la validation est correcte à l'aide de Server.HTMLEncode.
C/C++ CWE-367 Utilisation potentiellement dangereuse de la fonctionnalité de nom de fichier temporaire. Contexte corrigé et correction automatique activée.3
CWE-78 Injection potentielle de commande détectée. Couverture étendue.3
CWE-250 Appel CreateFile qui semble enfreindre le principe du moindre privilège.2
CWE-250 CreateNamedPipe ne dispose pas de l'indicateur FILE_FLAG_FIRST_PIPE_INSTANCE.2
CWE-757 Utilisation non sécurisée du protocole (SSL/TLS) détectée.2
CWE-295 Utilisation potentiellement dangereuse de la configuration Curl découverte (sept règles différentes dans cette catégorie).2
CWE-427 Principe potentiel de manipulation du registre des privilèges minimaux détecté.2
CWE-611 Traitement d'entité externe non sécurisé activé.2
ColdFusion CWE-524 Mise en cache cfCache des pages sécurisées.2
CWE-502 cfWddx ne comporte pas de validation WDDX.2
CWE-862 Client non vérifié dans cfFunction.2
CWE-319 Communications non sécurisées.2
CWE-307 Validation de soumissions multiples.2
CWE-327 Algorithme non sécurisé utilisé dans la fonction de chiffrement.2
CSS CWE-79 Adapté pour éviter les constatations erronées.
Dart CWE-522 AutoComplete activé pour les champs potentiellement sensibles.2
CWE-319 Schéma de communications ouvertes détecté avec HttpServer.2
CWE-319 Communications à sockets ouvertes détectées.2
CWE-319 Schéma de communication ouverte avec Uri détecté.2
CWE-79 Utilisation non sécurisée de la fenêtre ouverte dans le code Dart.2
CWE-319 Schéma de communications ouvertes détecté dans une chaîne.2
CWE-79 Mot clé de stratégie de sécurité du contenu non sécurisé trouvé.2
CWE-328 Plus sélectif lors de la présentation des constatations et évite les constatations erronées plus évidentes.
CWE-319 Adapté pour éviter les constatations erronées.
Docker CWE-770 Limiter le CPU pour empêcher les attaques par déni de service (DoS).2
CWE-770 Limiter le nombre de redémarrages en cas d'échec pour éviter un déni de service (DoS).2
Go CWE-489 Débogage du package pprop pour HTTP détecté.2
CWE-1004 Code Golang contenant un http.Cookie non sécurisé.2
CWE-319 Schéma de communications ouvertes détecté dans le code Golang.2
Groovy CWE-319 Schéma de communications ouvertes détecté dans le code de Groovy.2
CWE-79 Une vulnérabilité potentielle de script intersite détectée dans le code source Groovy a ajouté des correctifs automatiques supplémentaires pour toutes les instances.2
Java CWE-489 L'activation du débogage dans la sécurité Web révèle des données dans Spring.2
CWE-1390 Ignorer les commentaires dans SAML entraîne une rupture de l'authentification.2
CWE-548 Liste de répertoires non sécurisés pour le servlet par défaut dans la configuration tomcat.2
CWE-276 Utilisation non sécurisée d'autorisation de fichier dans Java.2
CWE-489 Trace de pile d'impression détectée dans le code Java.2
CWE-489 L'indicateur de débogage est défini sur "true" dans l'application Android.2
CWE-1188 Mode de préférences partagées incorrect détecté dans le code Android.2
JavaScript CWE-359 Politique de transmission d'événements non sécurisés : contexte corrigé et correction automatique activée.3
CWE-79 Vulnérabilité XSS potentielle détectée dans jQuery.append. Des performances plus rapides dès maintenant.3
CWE-79 Contourner la méthode d'évasion Mustache peut être dangereux.2
CWE-319 Politique non sécurisée de transmission d'événements.2
CWE-200 Nous avons ajouté une vérification pour détecter les origines de cibles potentiellement dangereuses lors des appels window.postMessage.
CWE-913 Modifié pour éviter les constatations erronées.
Scanner de code source Java CWE-918 Recherche de SSRF dans les appels RestTemplate().exchange.
CWE-303 Recherche d'appel dangereux NoOpPasswordEncoder.getInstance.
CWE-89 Recherche de cas supplémentaires pour SQLi.
CWE-22 Recherche d'autres endroits pour des problèmes potentiels de traversée du répertoire
CWE-798 Recherche d'informations d'identification codées en dur dans les appels HashMap.put et les setters.
Jquery CWE-79 Modifié pour éviter les constatations erronées.
Kotlin CWE-319 Communication ouverte détectée dans le code Kotlin.2
NodeJS CWE-614 Cookie disposant d'un indicateur défini sur une valeur non sécurisée ou indicateur de sécurité manquant.2
CWE-328 Algorithme non sécurisé utilisé dans le chiffrement createCipheriv.2
CWE-295 Configuration non sécurisée de la vérification des certificats SSL pour la désactivation de Node-curl.2
CWE-78 Génération de shell d'exécution détectée.2
CWE-1004 Configuration non sécurisée de l'attribut de cookie HTTPOnly manquant.2
Objective-C CWE-319 Schéma de communications ouvertes détecté dans le code Objective-C.2
CWE-798 Modifié pour éviter des constatations erronées supplémentaires.
PHP CWE-10041 Cookie sensible sans indicateur HttpOnly.2
CWE-6141 Cookie sensible dans la session HTTPS sans attribut secure.2
CWE-791 Variable PHP intégrée détectée2
CWE-981 Vulnérabilité potentielle d'inclusion de fichiers détectée dans le code PHP.2
CWE-6111 Injection d'entité externe XML détectée dans le code PHP.2
CWE-78 Exécution de commande PHP utilisant potentiellement des données fournies par l'utilisateur. Couverture étendue.3
CWE-644 Injection potentielle de l'en-tête détectée. Couverture étendue.3
CWE-327 Utilisation d'un algorithme non sécurisé détectée par les vérifications étendues. Couverture étendue.3
CWE-319 Communication ouverte détectée dans l'infrastructure PHP Symfony.2
CWE-1004 Indicateur HTTPOnly manquant ou non sécurisé dans setcookie.2
CWE-319 Schéma de communications ouvertes détecté.2
CWE-544 L'instruction error_reporting n'a pas été configurée pour permettre le niveau de rapport d'erreurs le plus élevé possible.2
CWE-798 Vérifie la valeur et s'assure qu'il s'agit bien d'une chaîne littérale représentant un mot de passe probable en texte clair stocké dans le code.
PL/SQL CWE-331 Utilisation non sécurisée de DBMS_RANDOM.2
Python CWE-311 URL utilisant http. Couverture étendue.3
CWE-311 Fichier temporaire de condition d'indétermination TOCTTOU. Couverture fixe et correction automatique activée.3
CWE-367 Fichier temporaire de condition d'indétermination TOCTTOU.2
CWE-319 URL utilisant http.2
CWE-78 Injection de système d'exploitation Python.2
CWE-319 Utilisation FTP non sécurisée.2
CWE-78 Injection de commande popen.2
CWE-276 Utilisation de 777 avec umask.2
CWE-319 Correction automatique pour résoudre un remplacement erroné dans certaines circonstances.
ReactNative CWE-319 Communication ouverte détectée. Contexte corrigé et correction automatique activée.3
CWE-319 Communication ouverte détectée.2
CWE-295 Désactivation de l'épinglage SSL détecté.2
RPG CWE-319 Communication ouverte détectée dans le code.2
Ruby CWE-78 Utilisation non sécurisée de guillemets simples inversés regex devant être améliorée. Couverture étendue.3
CWE-78 Utilisation non sécurisée de guillemets simples inversés. Couverture étendue.3
CWE-425 Affectation de masse Ruby.2
CWE-359 Divulgation d'informations Ruby.2
Scala CWE-319 Schéma de communications ouvertes détecté dans le code Scala.2
CWE-79 Éventuelle vulnérabilité de script côté client via l'accès aux cookies détectée dans le code source Scala.2
Secrets CWE-1051 Adresses IP codées en dur détectées. Couverture étendue.3
CWE-798 Identifiants codés en dur détectés. Couverture étendue.3
CWE-798 Évite les fichiers JS minifiés.
CWE-798 Évite d'analyser les fichiers de traduction pour réduire les erreurs.
Swift CWE-319 Schéma de communications ouvertes détecté dans le code Swift.2
CWE-79 Vulnérabilité potentielle d'attaque par script intersite lors de l'utilisation de loadRequest() dans iOS UIWebView.2
Terraform CWE-359 Instance AWS exposant les secrets de données utilisateur détectée.2
CWE-778 Le profil de surveillance des journaux Azure devrait définir toutes les catégories obligatoires.2
CWE-732 Compte de service par défaut utilisé au niveau du dossier, du projet ou de l'organisation.2
CWE-671 Service de messagerie et co-administrateurs désactivés dans les serveurs SQL.2
CWE-923 Vérifier que l'accès réseau par défaut du compte de stockage Azure est défini sur « Refuser ».2
CWE-923 Vérifier que la règle de pare-feu GCP n'autorise pas un accès illimité.2
CWE-732 Instance Google Compute accessible au public.2
CWE-732 Compartiment de stockage Google accessible au public.2
CWE-732 Autorisations d'accès non sécurisées pour le compartiment Amazon S3.2
CWE-1220 Nouvelle règle de vérification du groupe de sécurité de sortie cidr_blocks définie de manière trop permissive.
TypeScript CWE-943 Recherche les injections NoSQL MongoDB dans les fichiers TypeScript.
CWE-943 Recherche des cas supplémentaires pour SQLi.
Visual Basic CWE-319 Schéma de communications ouvertes détecté dans le code VB.2
VueJS CWE-79 Réglé pour ne pas produire de constatation si celle-ci est trouvée dans la déclaration d'une méthode.
Xamarin CWE-319 Communication ouverte détectée dans le code Xamarin.2