CWE-1024 Base Incompleto

Comparison of Incompatible Types

This vulnerability occurs when code directly compares two values of fundamentally different data types, which can lead to unreliable or incorrect results because the comparison logic doesn't handle…

Definición

What is CWE-1024?

In strictly-typed languages like C or C++, developers might try to force a comparison by casting one value to match the other's type. However, this manual conversion doesn't guarantee a semantically correct or safe comparison, as the underlying meaning or representation of the data may be distorted during the cast, leading to logic errors. In loosely-typed languages like JavaScript or PHP, the problem often happens implicitly. The language's internal type coercion rules automatically convert values during comparison, which can produce surprising outcomes—like a string "123" being treated as the number 123, or "0" being evaluated as false. Developers must explicitly validate and convert types before comparing to ensure the logic behaves as intended.

Impacto en el mundo real

Real-world CVEs caused by CWE-1024

Todavía no hay CVEs públicos enlazados a esta CWE en el catálogo de MITRE.

Cómo lo explotan los atacantes

Ruta del atacante paso a paso

1
Identifica una ruta de código que maneje entrada no confiable sin validación.
2
Crea un payload que ejercite el comportamiento inseguro — inyección, traversal, overflow o abuso de lógica.
3
Envía el payload a través de una solicitud normal y observa la reacción de la aplicación.
4
Itera hasta que la respuesta filtre datos, ejecute código del atacante o escale privilegios.

Ejemplo de código vulnerable

Vulnerable pseudo

MITRE no ha publicado un ejemplo de código para esta CWE. El patrón siguiente es ilustrativo — consulta Recursos para referencias canónicas.

Vulnerable pseudo

// Example pattern — see MITRE for the canonical references.
function handleRequest(input) {
  // Untrusted input flows directly into the sensitive sink.
  return executeUnsafe(input);
}

Ejemplo de código seguro

Secure pseudo

Seguro pseudo

// Validate, sanitize, or use a safe API before reaching the sink.
function handleRequest(input) {
  const safe = validateAndEscape(input);
  return executeWithGuards(safe);
}

What changed: the unsafe sink is replaced (or the input is validated/escaped) so the same payload no longer triggers the weakness.

Lista de prevención

How to prevent CWE-1024

Testing Thoroughly test the comparison scheme before deploying code into production. Perform positive testing as well as negative testing.

Señales de detección

How to detect CWE-1024

SAST High

Ejecuta análisis estático (SAST) sobre el código buscando el patrón inseguro en el flujo de datos.

DAST Moderate

Ejecuta pruebas dinámicas de seguridad de aplicaciones (DAST) contra el endpoint en vivo.

Runtime Moderate

Vigila los logs en tiempo de ejecución para detectar trazas de excepción inusuales, entradas malformadas o intentos de bypass de autorización.

Code review Moderate

Revisión de código: marca cualquier código nuevo que maneje entrada desde esta superficie sin usar los helpers validados del framework.

Auto-corrección de Plexicus

Plexicus detecta automáticamente CWE-1024 y abre un PR de corrección en menos de 60 segundos.

Codex Remedium escanea cada commit, identifica esta debilidad concreta y entrega un pull request listo para revisión con el parche. Sin tickets. Sin traspasos.

Solicitar demo Probar Plexicus gratis

Preguntas frecuentes

Frequently asked questions

¿Qué es CWE-1024?

¿Qué gravedad tiene CWE-1024?

MITRE no ha publicado una calificación de probabilidad de explotación para esta debilidad. Trátala como de impacto medio hasta que tu modelo de amenazas demuestre lo contrario.

¿Qué lenguajes o plataformas se ven afectados por CWE-1024?

MITRE lists the following affected platforms: JavaScript, PHP.

¿Cómo puedo prevenir CWE-1024?

Thoroughly test the comparison scheme before deploying code into production. Perform positive testing as well as negative testing.

¿Cómo detecta y corrige Plexicus CWE-1024?

El motor SAST de Plexicus detecta la firma de flujo de datos para CWE-1024 en cada commit. Cuando hay coincidencia, nuestro agente Codex Remedium abre un PR de corrección con el código corregido, las pruebas y un resumen de una línea para el revisor.

¿Dónde puedo aprender más sobre CWE-1024?

MITRE publica la definición canónica en https://cwe.mitre.org/data/definitions/1024.html. También puedes consultar la documentación de OWASP y NIST para guías relacionadas.

Debilidades relacionadas

Weaknesses related to CWE-1024

CWE-697 Padre

Incorrect Comparison

This weakness occurs when a security-critical decision relies on a flawed comparison between two pieces of data. The incorrect logic can…

CWE-1023 Hermano

Incomplete Comparison with Missing Factors

This weakness occurs when a program compares two items but fails to check all the necessary attributes that define their true…

CWE-1025 Hermano

Comparison Using Wrong Factors

This weakness occurs when a program compares two items but checks the wrong properties or attributes. This flawed comparison leads to…

CWE-1039 Hermano

Inadequate Detection or Handling of Adversarial Input Perturbations in Automated Recognition Mechanism

This vulnerability occurs when a system uses automated AI or machine learning to classify complex inputs like images, audio, or text, but…

CWE-1077 Hermano

Floating Point Comparison with Incorrect Operator

This vulnerability occurs when code compares two floating-point numbers using direct equality operators (like == or !=) without accounting…

CWE-1254 Hermano

Incorrect Comparison Logic Granularity

This vulnerability occurs when a system compares sensitive data, like passwords or authentication tokens, piece-by-piece instead of as a…

CWE-183 Hermano

Permissive List of Allowed Inputs

This vulnerability occurs when an application's security filter uses an allowlist that is too broad, mistakenly permitting dangerous…

CWE-185 Hermano

Incorrect Regular Expression

This vulnerability occurs when a regular expression is written incorrectly, causing it to match or validate data in unintended and…

CWE-581 Hermano

Object Model Violation: Just One of Equals and Hashcode Defined

This vulnerability occurs when a Java class defines either the equals() method or the hashCode() method, but not both, breaking a…

Recursos

Deja de pagar por desarrollador.
Empieza a cerrar el bucle.

Plexicus es el ASPM nativo de IA que escanea, filtra, corrige, pentestea y explica — de forma autónoma. Desarrolladores ilimitados, repos ilimitados, acciones de IA de uso justo. Nivel gratuito real, €269/mo anual cuando estés listo.

Comenzar gratis Reservar una demo

Comparison of Incompatible Types

What is CWE-1024?

Real-world CVEs caused by CWE-1024

Ruta del atacante paso a paso

Vulnerable pseudo

Secure pseudo

How to prevent CWE-1024

How to detect CWE-1024

Plexicus detecta automáticamente CWE-1024 y abre un PR de corrección en menos de 60 segundos.

Frequently asked questions

Weaknesses related to CWE-1024

Incorrect Comparison

Incomplete Comparison with Missing Factors

Comparison Using Wrong Factors

Inadequate Detection or Handling of Adversarial Input Perturbations in Automated Recognition Mechanism

Floating Point Comparison with Incorrect Operator

Incorrect Comparison Logic Granularity

Permissive List of Allowed Inputs

Incorrect Regular Expression

Object Model Violation: Just One of Equals and Hashcode Defined

Further reading

Deja de pagar por desarrollador.Empieza a cerrar el bucle.

Deja de pagar por desarrollador.
Empieza a cerrar el bucle.