威胁类型:利用依赖成分设计缺陷

  • 威胁编号:T1-2-1
  • 威胁分类:漏洞利用-利用依赖成分漏洞
  • 威胁描述:攻击者利用依赖组件的设计缺陷,如依赖组件的版本不兼容、依赖组件的配置不当等,导致系统存在安全风险。

威胁案例

开源组件

  • Log4j2漏洞(CVE-2021-44228):2021年12月爆发的log4j2漏洞,由于设计了过于宽松的lookup机制,导致攻击者可以利用该机制执行任意代码,大量使用Log4j2的系统受到严重影响。

解决方案

  • 使用软件成分分析工具(SCA)识别依赖组件的代码缺陷,及时修复风险。

参考链接

Copyright © 2025 OSCS Group