Exécuter une analyse statique (SAST) sur le code source à la recherche du motif non sécurisé dans le flux de données.
CWE-1235 Base Incomplet
Incorrect Use of Autoboxing and Unboxing for Performance Critical Operations
This weakness occurs when a program relies on automatic boxing and unboxing of primitive types within performance-sensitive code sections, causing unnecessary computational overhead and potential…
Définition
What is CWE-1235?
This weakness occurs when a program relies on automatic boxing and unboxing of primitive types within performance-sensitive code sections, causing unnecessary computational overhead and potential resource strain.
Languages like Java and C# provide autoboxing (converting a primitive like `int` to an object like `Integer`) and unboxing (the reverse) to simplify code by handling conversions automatically. While convenient for general use, these operations secretly create new objects and add processing steps that degrade execution speed, especially inside tight loops or high-frequency operations.
Using boxed primitives within generic collections or performance-critical areas—such as scientific computing, real-time processing, or low-latency systems—can lead to excessive memory allocation, increased garbage collection, and even resource exhaustion. This practice is best reserved only for bridging the gap between primitive APIs and object-based libraries, not for core computational logic where efficiency is paramount.
Impact réel
Real-world CVEs caused by CWE-1235
Aucune référence CVE publique n'est liée à ce CWE dans le catalogue MITRE pour le moment.
Comment les attaquants l'exploitent
Parcours de l'attaquant étape par étape
- 1
Java has a boxed primitive for each primitive type. A long can be represented with the boxed primitive Long. Issues arise where boxed primitives are used when not strictly necessary.
- 2
In the above loop, we see that the count variable is declared as a boxed primitive. This causes autoboxing on the line that increments. This causes execution to be magnitudes less performant (time and possibly space) than if the "long" primitive was used to declare the count variable, which can impact availability of a resource.
- 3
This code uses primitive long which fixes the issue.
Exemple de code vulnérable
Vulnerable Java
Java has a boxed primitive for each primitive type. A long can be represented with the boxed primitive Long. Issues arise where boxed primitives are used when not strictly necessary.
Long count = 0L;
for (long i = 0; i < Integer.MAX_VALUE; i++) {
count += i;
} Exemple de code sécurisé
Secure Java
This code uses primitive long which fixes the issue.
long count = 0L;
for (long i = 0; i < Integer.MAX_VALUE; i++) {
count += i;
} What changed: the unsafe sink is replaced (or the input is validated/escaped) so the same payload no longer triggers the weakness.
Liste de contrôle de prévention
How to prevent CWE-1235
- Implementation Use of boxed primitives should be limited to certain situations such as when calling methods with typed parameters. Examine the use of boxed primitives prior to use. Use SparseArrays or ArrayMap instead of HashMap to avoid performance overhead.
Signaux de détection
How to detect CWE-1235
Exécuter des tests de sécurité applicative dynamique (DAST) contre le point de terminaison en ligne.
Surveiller les journaux runtime pour détecter des traces d'exception inhabituelles, des entrées malformées ou des tentatives de contournement d'autorisation.
Revue de code : signaler tout nouveau code qui traite les entrées de cette surface sans utiliser les helpers du framework validés.
Plexicus détecte automatiquement CWE-1235 et ouvre une PR de correction en moins de 60 secondes.
Codex Remedium analyse chaque commit, identifie cette faiblesse précise et livre une pull request prête à être relue avec le correctif. Pas de tickets. Pas de transferts.
Questions fréquentes Qu'est-ce que CWE-1235 ?
Quelle est la gravité de CWE-1235 ?
Quels langages ou plateformes sont affectés par CWE-1235 ?
Comment puis-je prévenir CWE-1235 ?
Comment Plexicus détecte et corrige CWE-1235 ?
Où puis-je en savoir plus sur CWE-1235 ?
Frequently asked questions
Qu'est-ce que CWE-1235 ?
This weakness occurs when a program relies on automatic boxing and unboxing of primitive types within performance-sensitive code sections, causing unnecessary computational overhead and potential resource strain.
Quelle est la gravité de CWE-1235 ?
MITRE n'a pas publié de note de probabilité d'exploitation pour cette faiblesse. Traitez-la comme un impact moyen jusqu'à ce que votre modèle de menace prouve le contraire.
Quels langages ou plateformes sont affectés par CWE-1235 ?
MITRE lists the following affected platforms: Java, C#, Not OS-Specific, Not Architecture-Specific, Not Technology-Specific.
Comment puis-je prévenir CWE-1235 ?
Use of boxed primitives should be limited to certain situations such as when calling methods with typed parameters. Examine the use of boxed primitives prior to use. Use SparseArrays or ArrayMap instead of HashMap to avoid performance overhead.
Comment Plexicus détecte et corrige CWE-1235 ?
Le moteur SAST de Plexicus reconnaît la signature de flux de données de CWE-1235 à chaque commit. Lorsqu'une correspondance est trouvée, notre agent Codex Remedium ouvre une PR de correction avec le code corrigé, les tests et un résumé d'une ligne pour le relecteur.
Où puis-je en savoir plus sur CWE-1235 ?
MITRE publie la définition canonique à https://cwe.mitre.org/data/definitions/1235.html. Vous pouvez également consulter la documentation OWASP et NIST pour des conseils adjacents.
Faiblesses associées
Weaknesses related to CWE-1235
CWE-400 Parent
Uncontrolled Resource Consumption
This vulnerability occurs when an application fails to properly manage a finite resource, allowing an attacker to exhaust it and cause a…
CWE-1246 Frère
Improper Write Handling in Limited-write Non-Volatile Memories
This vulnerability occurs when a system fails to properly manage write operations on memory hardware that has a limited lifespan, such as…
CWE-405 Frère
Asymmetric Resource Consumption (Amplification)
This vulnerability occurs when a system allows an attacker to trigger a disproportionate amount of resource consumption—like CPU, memory,…
CWE-770 Frère
Allocation of Resources Without Limits or Throttling
This vulnerability occurs when a system allows users or processes to request resources without any built-in caps or rate limits. Think of…
CWE-771 Frère
Missing Reference to Active Allocated Resource
This vulnerability occurs when software loses track of a resource it has allocated, like memory or a file handle, preventing the system…
CWE-779 Frère
Logging of Excessive Data
This vulnerability occurs when an application records more information than necessary in its logs, making log files difficult to analyze…
CWE-920 Frère
Improper Restriction of Power Consumption
This vulnerability occurs when software running on a power-constrained device, like a battery-powered mobile or embedded system, fails to…
Ressources
Further reading
- MITRE — CWE-1235 officiel https://cwe.mitre.org/data/definitions/1235.html
- Oracle Java Documentation https://docs.oracle.com/javase/1.5.0/docs/guide/language/autoboxing.html
- SEI CERT Oracle Coding Standard for Java : Rule 02. Expressions (EXP) https://wiki.sei.cmu.edu/confluence/display/java/EXP04-J.+Do+not+pass+arguments+to+certain+Java+Collections+Framework+methods+that+are+a+different+type+than+the+collection+parameter+type
Prêt quand vous l'êtes
Arrêtez de payer par développeur.
Commencez à fermer la boucle.
Plexicus est l'ASPM natif IA qui scanne, filtre, corrige, penteste et explique — de façon autonome. Développeurs illimités, dépôts illimités, actions IA à usage équitable. Vrai niveau gratuit, €269/mo annuel quand vous êtes prêt.