Executar análise estática (SAST) na base de código à procura do padrão inseguro no fluxo de dados.
CWE-515 Base Incompleto
Covert Storage Channel
A covert storage channel is a type of security flaw where one process secretly encodes data into a shared system resource (like a file, memory bit, or status flag), and another unauthorized process…
Definição
What is CWE-515?
A covert storage channel is a type of security flaw where one process secretly encodes data into a shared system resource (like a file, memory bit, or status flag), and another unauthorized process later reads that resource to extract the hidden information.
This vulnerability exploits the normal reuse of system memory or resources to create a hidden communication path. Instead of using a dedicated data channel, an attacker manipulates observable system properties—such as file names, registry values, or even the presence of temporary files—to store and transmit encoded messages. This turns everyday operations into a secret data pipeline that bypasses standard security controls.
In practice, covert storage channels are a form of information leakage often linked to steganography or side-channel attacks. For example, a process with high privileges might write a user's password into a log file field meant only for timestamps, and a less-privileged process could then read that file. Developers must be aware that any system state readable by multiple actors can be misused in this way, requiring careful design to isolate sensitive data and audit all shared resource interactions.
Impacto no mundo real
Real-world CVEs caused by CWE-515
Ainda não há referências CVE públicas associadas a este CWE no catálogo da MITRE.
Como os atacantes a exploram
Trajeto do atacante passo a passo
- 1
Identificar um caminho de código que trata input não confiável sem validação.
- 2
Criar um payload que explora o comportamento inseguro — injeção, traversal, overflow ou abuso de lógica.
- 3
Entregar o payload através de um pedido normal e observar a reação da aplicação.
- 4
Iterar até que a resposta exponha dados, execute código do atacante ou escale privilégios.
Exemplo de código vulnerável
Vulnerable pseudo
A MITRE não publicou um exemplo de código para este CWE. O padrão abaixo é ilustrativo — consulte os Recursos para referências canónicas.
// Example pattern — see MITRE for the canonical references.
function handleRequest(input) {
// Untrusted input flows directly into the sensitive sink.
return executeUnsafe(input);
} Exemplo de código seguro
Secure pseudo
// Validate, sanitize, or use a safe API before reaching the sink.
function handleRequest(input) {
const safe = validateAndEscape(input);
return executeWithGuards(safe);
} What changed: the unsafe sink is replaced (or the input is validated/escaped) so the same payload no longer triggers the weakness.
Lista de verificação de prevenção
How to prevent CWE-515
- Implementation Ensure that all reserved fields are set to zero before messages are sent and that no unnecessary information is included.
Sinais de deteção
How to detect CWE-515
Executar testes dinâmicos de segurança de aplicações (DAST) contra o endpoint em execução.
Monitorizar os registos em tempo de execução para traços de exceção invulgares, input malformado ou tentativas de contornar a autorização.
Revisão de código: sinalizar qualquer novo código que trate input desta superfície sem usar os ajudantes validados do framework.
O Plexicus deteta automaticamente o CWE-515 e abre um PR de correção em menos de 60 segundos.
O Codex Remedium analisa cada commit, identifica esta fraqueza exata e entrega um pull request pronto para revisão com o patch. Sem tickets. Sem transferências.
Perguntas frequentes O que é o CWE-515?
Qual a gravidade do CWE-515?
Que linguagens ou plataformas são afetadas pelo CWE-515?
Como posso prevenir o CWE-515?
Como é que o Plexicus deteta e corrige o CWE-515?
Onde posso saber mais sobre o CWE-515?
Frequently asked questions
O que é o CWE-515?
A covert storage channel is a type of security flaw where one process secretly encodes data into a shared system resource (like a file, memory bit, or status flag), and another unauthorized process later reads that resource to extract the hidden information.
Qual a gravidade do CWE-515?
A MITRE classifica a probabilidade de exploração como Alta — esta fraqueza é ativamente explorada em campo e deve ser priorizada para remediação.
Que linguagens ou plataformas são afetadas pelo CWE-515?
A MITRE não especificou as plataformas afetadas por este CWE — pode aplicar-se à maioria das stacks de aplicações.
Como posso prevenir o CWE-515?
Ensure that all reserved fields are set to zero before messages are sent and that no unnecessary information is included.
Como é que o Plexicus deteta e corrige o CWE-515?
O motor SAST do Plexicus correlaciona a assinatura de fluxo de dados do CWE-515 em cada commit. Quando é encontrada uma correspondência, o nosso agente Codex Remedium abre um PR de correção com o código corrigido, testes e um resumo de uma linha para o revisor.
Onde posso saber mais sobre o CWE-515?
A MITRE publica a definição canónica em https://cwe.mitre.org/data/definitions/515.html. Pode também consultar a documentação da OWASP e do NIST para orientações adjacentes.
Fraquezas relacionadas
Weaknesses related to CWE-515
CWE-514 Pai
Covert Channel
A covert channel is a hidden communication path that allows data to be transmitted in a way that bypasses the system's intended security…
CWE-385 Irmão
Covert Timing Channel
A covert timing channel is a security flaw where an attacker can deduce secret information by observing how long certain operations take…
Pronto quando você estiver
Pare de pagar por desenvolvedor.
Comece a fechar o ciclo.
O Plexicus é o ASPM nativo de IA que verifica, filtra, corrige, pentesta e explica — de forma autónoma. Programadores ilimitados, repos ilimitados, ações de IA de utilização justa. Nível gratuito real, €269/mo anual quando estiver pronto.