CWE-563 Base Rascunho

Assignment to Variable without Use

This vulnerability occurs when a value is stored in a variable, but that variable is never read or used in subsequent code, creating a 'dead store.'

Definição

What is CWE-563?

This vulnerability occurs when a value is stored in a variable, but that variable is never read or used in subsequent code, creating a 'dead store.'

A dead store happens when a variable is assigned a value, only to be immediately overwritten by another assignment or to fall out of scope without being referenced. This often indicates leftover code from a previous implementation or refactoring, but it can also be a subtle sign of a logic error—perhaps a critical calculation was meant to be used but was accidentally omitted. While these issues can seem minor, they clutter code, harm performance, and may mask deeper bugs. Managing this at scale is difficult; an ASPM like Plexicus can help you track and remediate these flaws across your entire stack by identifying dead stores and using AI to suggest precise clean-up actions, turning security hygiene into an automated process.

Impacto no mundo real

Real-world CVEs caused by CWE-563

Ainda não há referências CVE públicas associadas a este CWE no catálogo da MITRE.

Como os atacantes a exploram

Trajeto do atacante passo a passo

1
Identificar um caminho de código que trata input não confiável sem validação.
2
Criar um payload que explora o comportamento inseguro — injeção, traversal, overflow ou abuso de lógica.
3
Entregar o payload através de um pedido normal e observar a reação da aplicação.
4
Iterar até que a resposta exponha dados, execute código do atacante ou escale privilégios.

Exemplo de código vulnerável

Vulnerable C

The following code excerpt assigns to the variable r and then overwrites the value without using it.

Vulnerável C

r = getName();
  r = getNewBuffer(buf);

Exemplo de código seguro

Secure pseudo

Seguro pseudo

// Validate, sanitize, or use a safe API before reaching the sink.
function handleRequest(input) {
  const safe = validateAndEscape(input);
  return executeWithGuards(safe);
}

What changed: the unsafe sink is replaced (or the input is validated/escaped) so the same payload no longer triggers the weakness.

Lista de verificação de prevenção

How to prevent CWE-563

Implementation Remove unused variables from the code.

Sinais de deteção

How to detect CWE-563

Automated Static Analysis High

Automated static analysis, commonly referred to as Static Application Security Testing (SAST), can find some instances of this weakness by analyzing source code (or binary/compiled code) without having to execute it. Typically, this is done by building a model of data flow and control flow, then searching for potentially-vulnerable patterns that connect "sources" (origins of input) with "sinks" (destinations where the data interacts with external components, a lower layer such as the OS, etc.)

Correção automática do Plexicus

O Plexicus deteta automaticamente o CWE-563 e abre um PR de correção em menos de 60 segundos.

O Codex Remedium analisa cada commit, identifica esta fraqueza exata e entrega um pull request pronto para revisão com o patch. Sem tickets. Sem transferências.

Obter uma demonstração Experimente o Plexicus gratuitamente

Perguntas frequentes

Frequently asked questions

O que é o CWE-563?

This vulnerability occurs when a value is stored in a variable, but that variable is never read or used in subsequent code, creating a 'dead store.'

Qual a gravidade do CWE-563?

A MITRE não publicou uma classificação de probabilidade de exploração para esta fraqueza. Trate-a como impacto médio até o seu modelo de ameaças provar o contrário.

Que linguagens ou plataformas são afetadas pelo CWE-563?

A MITRE não especificou as plataformas afetadas por este CWE — pode aplicar-se à maioria das stacks de aplicações.

Como posso prevenir o CWE-563?

Remove unused variables from the code.

Como é que o Plexicus deteta e corrige o CWE-563?

O motor SAST do Plexicus correlaciona a assinatura de fluxo de dados do CWE-563 em cada commit. Quando é encontrada uma correspondência, o nosso agente Codex Remedium abre um PR de correção com o código corrigido, testes e um resumo de uma linha para o revisor.

Onde posso saber mais sobre o CWE-563?

A MITRE publica a definição canónica em https://cwe.mitre.org/data/definitions/563.html. Pode também consultar a documentação da OWASP e do NIST para orientações adjacentes.

Fraquezas relacionadas

Weaknesses related to CWE-563

CWE-1164 Pai

Irrelevant Code

Irrelevant code refers to sections of a program that have no impact on its execution, data, or logic. Removing this code would not change…

CWE-107 Irmão

Struts: Unused Validation Form

This vulnerability occurs when a Struts application contains validation form definitions that are no longer linked to any active form or…

CWE-1071 Irmão

Empty Code Block

An empty code block occurs when a section of source code, such as a conditional statement or function body, contains no executable…

CWE-110 Irmão

Struts: Validator Without Form Field

This vulnerability occurs when a Struts application's validation configuration file references form fields that no longer exist in the…

CWE-561 Irmão

Dead Code

Dead code refers to sections of a program that can never run during normal execution, effectively making them inactive and unreachable.

Recursos

Pare de pagar por desenvolvedor.
Comece a fechar o ciclo.

O Plexicus é o ASPM nativo de IA que verifica, filtra, corrige, pentesta e explica — de forma autónoma. Programadores ilimitados, repos ilimitados, ações de IA de utilização justa. Nível gratuito real, €269/mo anual quando estiver pronto.

Começar grátis Reservar uma demo

Assignment to Variable without Use

What is CWE-563?

Real-world CVEs caused by CWE-563

Trajeto do atacante passo a passo

Vulnerable C

Secure pseudo

How to prevent CWE-563

How to detect CWE-563

O Plexicus deteta automaticamente o CWE-563 e abre um PR de correção em menos de 60 segundos.

Frequently asked questions

Weaknesses related to CWE-563

Irrelevant Code

Struts: Unused Validation Form

Empty Code Block

Struts: Validator Without Form Field

Dead Code

Further reading

Pare de pagar por desenvolvedor.Comece a fechar o ciclo.

Pare de pagar por desenvolvedor.
Comece a fechar o ciclo.