Executar análise estática (SAST) na base de código à procura do padrão inseguro no fluxo de dados.
CWE-1088 Base Incompleto
Synchronous Access of Remote Resource without Timeout
This vulnerability occurs when an application makes a synchronous call to a remote service or resource but does not set a timeout, or sets an infinite one. This leaves the application waiting…
Definição
What is CWE-1088?
This vulnerability occurs when an application makes a synchronous call to a remote service or resource but does not set a timeout, or sets an infinite one. This leaves the application waiting indefinitely for a response.
When a synchronous remote call lacks a timeout, a simple slowdown or outage of the external resource can cause your application to hang. This directly undermines reliability, as a single unresponsive dependency can freeze a critical thread or process, leading to denial of service for legitimate users.
From a security perspective, if an attacker can trigger this flawed code path, they can exploit the reliability weakness to create a vulnerability. By intentionally making the remote resource slow or unresponsive, they can cause resource exhaustion, application stalls, or complete service unavailability, turning an operational flaw into a security incident.
Impacto no mundo real
Real-world CVEs caused by CWE-1088
Ainda não há referências CVE públicas associadas a este CWE no catálogo da MITRE.
Como os atacantes a exploram
Trajeto do atacante passo a passo
- 1
Identificar um caminho de código que trata input não confiável sem validação.
- 2
Criar um payload que explora o comportamento inseguro — injeção, traversal, overflow ou abuso de lógica.
- 3
Entregar o payload através de um pedido normal e observar a reação da aplicação.
- 4
Iterar até que a resposta exponha dados, execute código do atacante ou escale privilégios.
Exemplo de código vulnerável
Vulnerable pseudo
A MITRE não publicou um exemplo de código para este CWE. O padrão abaixo é ilustrativo — consulte os Recursos para referências canónicas.
// Example pattern — see MITRE for the canonical references.
function handleRequest(input) {
// Untrusted input flows directly into the sensitive sink.
return executeUnsafe(input);
} Exemplo de código seguro
Secure pseudo
// Validate, sanitize, or use a safe API before reaching the sink.
function handleRequest(input) {
const safe = validateAndEscape(input);
return executeWithGuards(safe);
} What changed: the unsafe sink is replaced (or the input is validated/escaped) so the same payload no longer triggers the weakness.
Lista de verificação de prevenção
How to prevent CWE-1088
- Architecture Use safe-by-default frameworks and APIs that prevent the unsafe pattern from being expressible.
- Implementation Validate input at trust boundaries; use allowlists, not denylists.
- Implementation Apply the principle of least privilege to credentials, file paths, and runtime permissions.
- Testing Cover this weakness in CI: SAST rules + targeted unit tests for the data flow.
- Operation Monitor logs for the runtime signals listed in the next section.
Sinais de deteção
How to detect CWE-1088
Executar testes dinâmicos de segurança de aplicações (DAST) contra o endpoint em execução.
Monitorizar os registos em tempo de execução para traços de exceção invulgares, input malformado ou tentativas de contornar a autorização.
Revisão de código: sinalizar qualquer novo código que trate input desta superfície sem usar os ajudantes validados do framework.
O Plexicus deteta automaticamente o CWE-1088 e abre um PR de correção em menos de 60 segundos.
O Codex Remedium analisa cada commit, identifica esta fraqueza exata e entrega um pull request pronto para revisão com o patch. Sem tickets. Sem transferências.
Perguntas frequentes O que é o CWE-1088?
Qual a gravidade do CWE-1088?
Que linguagens ou plataformas são afetadas pelo CWE-1088?
Como posso prevenir o CWE-1088?
Como é que o Plexicus deteta e corrige o CWE-1088?
Onde posso saber mais sobre o CWE-1088?
Frequently asked questions
O que é o CWE-1088?
This vulnerability occurs when an application makes a synchronous call to a remote service or resource but does not set a timeout, or sets an infinite one. This leaves the application waiting indefinitely for a response.
Qual a gravidade do CWE-1088?
A MITRE não publicou uma classificação de probabilidade de exploração para esta fraqueza. Trate-a como impacto médio até o seu modelo de ameaças provar o contrário.
Que linguagens ou plataformas são afetadas pelo CWE-1088?
A MITRE não especificou as plataformas afetadas por este CWE — pode aplicar-se à maioria das stacks de aplicações.
Como posso prevenir o CWE-1088?
Use safe-by-default frameworks, validate untrusted input at trust boundaries, and apply the principle of least privilege. Cover the data-flow signature in CI with SAST.
Como é que o Plexicus deteta e corrige o CWE-1088?
O motor SAST do Plexicus correlaciona a assinatura de fluxo de dados do CWE-1088 em cada commit. Quando é encontrada uma correspondência, o nosso agente Codex Remedium abre um PR de correção com o código corrigido, testes e um resumo de uma linha para o revisor.
Onde posso saber mais sobre o CWE-1088?
A MITRE publica a definição canónica em https://cwe.mitre.org/data/definitions/1088.html. Pode também consultar a documentação da OWASP e do NIST para orientações adjacentes.
Fraquezas relacionadas
Weaknesses related to CWE-1088
CWE-821 Pai
Incorrect Synchronization
This vulnerability occurs when multiple parts of a program, such as threads or processes, access a shared resource like a variable, file,…
CWE-1264 Irmão
Hardware Logic with Insecure De-Synchronization between Control and Data Channels
This vulnerability occurs when a hardware design incorrectly forwards data before its security or permission checks have finished…
CWE-572 Irmão
Call to Thread run() instead of start()
This vulnerability occurs when a program incorrectly calls a thread's `run()` method directly, instead of using the `start()` method. This…
CWE-574 Irmão
EJB Bad Practices: Use of Synchronization Primitives
This vulnerability occurs when an Enterprise JavaBeans (EJB) component improperly uses thread synchronization primitives, violating the…
Pronto quando você estiver
Pare de pagar por desenvolvedor.
Comece a fechar o ciclo.
O Plexicus é o ASPM nativo de IA que verifica, filtra, corrige, pentesta e explica — de forma autónoma. Programadores ilimitados, repos ilimitados, ações de IA de utilização justa. Nível gratuito real, €269/mo anual quando estiver pronto.