Executar análise estática (SAST) na base de código à procura do padrão inseguro no fluxo de dados.
CWE-322 Base Rascunho
Key Exchange without Entity Authentication
This vulnerability occurs when a system establishes a cryptographic key with another party without first confirming that party's true identity.
Definição
What is CWE-322?
This vulnerability occurs when a system establishes a cryptographic key with another party without first confirming that party's true identity.
While a key exchange can encrypt the communication channel between two systems, it does not automatically verify who is on the other end. If you skip the authentication step, you might be securely talking to an imposter. This is like having a perfectly sealed, private conversation with someone who is pretending to be your bank—the privacy is intact, but you've trusted the wrong entity.
In a typical attack, a client application mistakenly connects to a malicious server masquerading as a trusted one. If the client proceeds without checking the server's credentials, the fake server can steal user login details, intercept sensitive data, or relay information to the real server while monitoring the entire session. The attacker essentially sits in the middle, with both parties unaware their secure channel has been compromised from the start.
Impacto no mundo real
Real-world CVEs caused by CWE-322
Ainda não há referências CVE públicas associadas a este CWE no catálogo da MITRE.
Como os atacantes a exploram
Trajeto do atacante passo a passo
- 1
Identificar um caminho de código que trata input não confiável sem validação.
- 2
Criar um payload que explora o comportamento inseguro — injeção, traversal, overflow ou abuso de lógica.
- 3
Entregar o payload através de um pedido normal e observar a reação da aplicação.
- 4
Iterar até que a resposta exponha dados, execute código do atacante ou escale privilégios.
Exemplo de código vulnerável
Vulnerable pseudo
A MITRE não publicou um exemplo de código para este CWE. O padrão abaixo é ilustrativo — consulte os Recursos para referências canónicas.
// Example pattern — see MITRE for the canonical references.
function handleRequest(input) {
// Untrusted input flows directly into the sensitive sink.
return executeUnsafe(input);
} Exemplo de código seguro
Secure pseudo
// Validate, sanitize, or use a safe API before reaching the sink.
function handleRequest(input) {
const safe = validateAndEscape(input);
return executeWithGuards(safe);
} What changed: the unsafe sink is replaced (or the input is validated/escaped) so the same payload no longer triggers the weakness.
Lista de verificação de prevenção
How to prevent CWE-322
- Architecture and Design Ensure that proper authentication is included in the system design.
- Implementation Understand and properly implement all checks necessary to ensure the identity of entities involved in encrypted communications.
Sinais de deteção
How to detect CWE-322
Executar testes dinâmicos de segurança de aplicações (DAST) contra o endpoint em execução.
Monitorizar os registos em tempo de execução para traços de exceção invulgares, input malformado ou tentativas de contornar a autorização.
Revisão de código: sinalizar qualquer novo código que trate input desta superfície sem usar os ajudantes validados do framework.
O Plexicus deteta automaticamente o CWE-322 e abre um PR de correção em menos de 60 segundos.
O Codex Remedium analisa cada commit, identifica esta fraqueza exata e entrega um pull request pronto para revisão com o patch. Sem tickets. Sem transferências.
Perguntas frequentes O que é o CWE-322?
Qual a gravidade do CWE-322?
Que linguagens ou plataformas são afetadas pelo CWE-322?
Como posso prevenir o CWE-322?
Como é que o Plexicus deteta e corrige o CWE-322?
Onde posso saber mais sobre o CWE-322?
Frequently asked questions
O que é o CWE-322?
This vulnerability occurs when a system establishes a cryptographic key with another party without first confirming that party's true identity.
Qual a gravidade do CWE-322?
A MITRE classifica a probabilidade de exploração como Alta — esta fraqueza é ativamente explorada em campo e deve ser priorizada para remediação.
Que linguagens ou plataformas são afetadas pelo CWE-322?
A MITRE não especificou as plataformas afetadas por este CWE — pode aplicar-se à maioria das stacks de aplicações.
Como posso prevenir o CWE-322?
Ensure that proper authentication is included in the system design. Understand and properly implement all checks necessary to ensure the identity of entities involved in encrypted communications.
Como é que o Plexicus deteta e corrige o CWE-322?
O motor SAST do Plexicus correlaciona a assinatura de fluxo de dados do CWE-322 em cada commit. Quando é encontrada uma correspondência, o nosso agente Codex Remedium abre um PR de correção com o código corrigido, testes e um resumo de uma linha para o revisor.
Onde posso saber mais sobre o CWE-322?
A MITRE publica a definição canónica em https://cwe.mitre.org/data/definitions/322.html. Pode também consultar a documentação da OWASP e do NIST para orientações adjacentes.
Fraquezas relacionadas
Weaknesses related to CWE-322
CWE-306 Pai
Missing Authentication for Critical Function
This vulnerability occurs when a software feature that performs a sensitive action or uses significant system resources does not verify…
CWE-288 Irmão
Authentication Bypass Using an Alternate Path or Channel
This vulnerability occurs when a system has a primary login requirement, but attackers can find an unprotected backdoor or alternative…
CWE-923 Pode preceder
Improper Restriction of Communication Channel to Intended Endpoints
This vulnerability occurs when a system opens a communication channel for a sensitive task but fails to properly verify that it's actually…
CWE-295 Par
Improper Certificate Validation
This vulnerability occurs when an application fails to properly verify the authenticity of a digital certificate, or performs the…
Pronto quando você estiver
Pare de pagar por desenvolvedor.
Comece a fechar o ciclo.
O Plexicus é o ASPM nativo de IA que verifica, filtra, corrige, pentesta e explica — de forma autónoma. Programadores ilimitados, repos ilimitados, ações de IA de utilização justa. Nível gratuito real, €269/mo anual quando estiver pronto.