Executar análise estática (SAST) na base de código à procura do padrão inseguro no fluxo de dados.
CWE-577 Variante Rascunho
EJB Bad Practices: Use of Sockets
This vulnerability occurs when an Enterprise JavaBeans (EJB) component breaks the EJB specification by directly creating or using network sockets.
Definição
What is CWE-577?
This vulnerability occurs when an Enterprise JavaBeans (EJB) component breaks the EJB specification by directly creating or using network sockets.
The EJB specification sets clear rules to ensure components are portable and behave consistently across different application servers. One of these rules explicitly forbids EJB beans from acting as network servers—meaning they must not open sockets to listen for or accept incoming connections. This restriction preserves the server's ability to manage resources, control the bean's lifecycle, and maintain transactional integrity.
Allowing an EJB to become a socket server conflicts with its primary role as a managed component serving EJB clients. It can destabilize the container, interfere with clustering and load balancing, and create unpredictable security and performance issues. Instead, socket-based server functionality should be implemented outside the EJB container, in a managed service or a dedicated layer, keeping the bean's design aligned with its intended client-serving architecture.
Impacto no mundo real
Real-world CVEs caused by CWE-577
Ainda não há referências CVE públicas associadas a este CWE no catálogo da MITRE.
Como os atacantes a exploram
Trajeto do atacante passo a passo
- 1
The following Java example is a simple stateless Enterprise JavaBean that retrieves stock symbols and stock values. The Enterprise JavaBean creates a socket and listens for and accepts connections from clients on the socket.
- 2
And the following Java example is similar to the previous example but demonstrates the use of multicast socket connections within an Enterprise JavaBean.
- 3
The previous two examples within any type of Enterprise JavaBean violate the EJB specification by attempting to listen on a socket, accepting connections on a socket, or using a socket for multicast.
Exemplo de código vulnerável
Vulnerable Java
The following Java example is a simple stateless Enterprise JavaBean that retrieves stock symbols and stock values. The Enterprise JavaBean creates a socket and listens for and accepts connections from clients on the socket.
@Stateless
public class StockSymbolBean implements StockSymbolRemote {
ServerSocket serverSocket = null;
Socket clientSocket = null;
public StockSymbolBean() {
try {
serverSocket = new ServerSocket(Constants.SOCKET_PORT);
} catch (IOException ex) {...}
try {
clientSocket = serverSocket.accept();
} catch (IOException e) {...}
}
public String getStockSymbol(String name) {...}
public BigDecimal getStockValue(String symbol) {...}
private void processClientInputFromSocket() {...}
} Exemplo de código seguro
Secure pseudo
// Validate, sanitize, or use a safe API before reaching the sink.
function handleRequest(input) {
const safe = validateAndEscape(input);
return executeWithGuards(safe);
} What changed: the unsafe sink is replaced (or the input is validated/escaped) so the same payload no longer triggers the weakness.
Lista de verificação de prevenção
How to prevent CWE-577
- Architecture and Design / Implementation Do not use Sockets when writing EJBs.
Sinais de deteção
How to detect CWE-577
Executar testes dinâmicos de segurança de aplicações (DAST) contra o endpoint em execução.
Monitorizar os registos em tempo de execução para traços de exceção invulgares, input malformado ou tentativas de contornar a autorização.
Revisão de código: sinalizar qualquer novo código que trate input desta superfície sem usar os ajudantes validados do framework.
O Plexicus deteta automaticamente o CWE-577 e abre um PR de correção em menos de 60 segundos.
O Codex Remedium analisa cada commit, identifica esta fraqueza exata e entrega um pull request pronto para revisão com o patch. Sem tickets. Sem transferências.
Perguntas frequentes O que é o CWE-577?
Qual a gravidade do CWE-577?
Que linguagens ou plataformas são afetadas pelo CWE-577?
Como posso prevenir o CWE-577?
Como é que o Plexicus deteta e corrige o CWE-577?
Onde posso saber mais sobre o CWE-577?
Frequently asked questions
O que é o CWE-577?
This vulnerability occurs when an Enterprise JavaBeans (EJB) component breaks the EJB specification by directly creating or using network sockets.
Qual a gravidade do CWE-577?
A MITRE não publicou uma classificação de probabilidade de exploração para esta fraqueza. Trate-a como impacto médio até o seu modelo de ameaças provar o contrário.
Que linguagens ou plataformas são afetadas pelo CWE-577?
MITRE lists the following affected platforms: Java.
Como posso prevenir o CWE-577?
Do not use Sockets when writing EJBs.
Como é que o Plexicus deteta e corrige o CWE-577?
O motor SAST do Plexicus correlaciona a assinatura de fluxo de dados do CWE-577 em cada commit. Quando é encontrada uma correspondência, o nosso agente Codex Remedium abre um PR de correção com o código corrigido, testes e um resumo de uma linha para o revisor.
Onde posso saber mais sobre o CWE-577?
A MITRE publica a definição canónica em https://cwe.mitre.org/data/definitions/577.html. Pode também consultar a documentação da OWASP e do NIST para orientações adjacentes.
Fraquezas relacionadas
Weaknesses related to CWE-577
CWE-573 Pai
Improper Following of Specification by Caller
This weakness occurs when software fails to properly follow the documented rules, protocols, or requirements of an external component it…
CWE-103 Irmão
Struts: Incomplete validate() Method Definition
This vulnerability occurs in a Struts application when a validator form either completely omits a validate() method or includes one but…
CWE-104 Irmão
Struts: Form Bean Does Not Extend Validation Class
This vulnerability occurs in Apache Struts applications when a form bean class does not properly extend the framework's validation class.…
CWE-243 Irmão
Creation of chroot Jail Without Changing Working Directory
This vulnerability occurs when a program creates a chroot jail but fails to change its current working directory afterward. Because the…
CWE-253 Irmão
Incorrect Check of Function Return Value
This vulnerability occurs when a program misinterprets or improperly validates the return value from a function, causing it to miss…
CWE-296 Irmão
Improper Following of a Certificate's Chain of Trust
This vulnerability occurs when software fails to properly validate the entire certificate chain back to a trusted root authority. This…
CWE-304 Irmão
Missing Critical Step in Authentication
This vulnerability occurs when a software authentication process omits a required step, weakening its overall security.
CWE-325 Irmão
Missing Cryptographic Step
This vulnerability occurs when a software implementation skips a critical step in a cryptographic process, resulting in security that is…
CWE-329 Irmão
Generation of Predictable IV with CBC Mode
This vulnerability occurs when software uses a predictable or reused Initialization Vector (IV) with Cipher Block Chaining (CBC) mode…
Pronto quando você estiver
Pare de pagar por desenvolvedor.
Comece a fechar o ciclo.
O Plexicus é o ASPM nativo de IA que verifica, filtra, corrige, pentesta e explica — de forma autónoma. Programadores ilimitados, repos ilimitados, ações de IA de utilização justa. Nível gratuito real, €269/mo anual quando estiver pronto.