• CWE-27: Path Traversal: 'dir/../../filename'

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es neutralisiert jedoch nicht ordnungsgemäß mehrere interne “../” Sequenzen, die zu einem Speicherort außerhalb dieses Verzeichnisses aufgelöst werden können. Dies stellt ein potentielles Path Traversal Vulnerability dar und könnte es Angreifern ermöglichen, auf sensible Daten oder Systeme zuzugreifen. Eine robuste Input Validation und Sanitization sind hier essentiell.

CWE-27: Path Traversal: 'dir/../../filename'

CWE ID: 27
Name: Path Traversal: ‘dir/../../filename’

Beschreibung

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es neutralisiert jedoch nicht ordnungsgemäß mehrere interne “../” Sequenzen, die zu einem Speicherort außerhalb dieses Verzeichnisses aufgelöst werden können. Dies stellt ein potentielles Path Traversal Vulnerability dar und könnte es Angreifern ermöglichen, auf sensible Daten oder Systeme zuzugreifen. Eine robuste Input Validation und Sanitization sind hier essentiell.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden. Dies könnte zu einer Kompromittierung der Systemintegrität führen. Eine sorgfältige Implementierung der Input Processing Pipeline ist hier entscheidend.