• CWE-28: Path Traversal: '.. iledir'

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es werden jedoch die “..” Sequenzen nicht ordnungsgemäß neutralisiert, was zu einer Auflösung auf einen Speicherort außerhalb dieses Verzeichnisses führen kann.

CWE-28: Path Traversal: '.. iledir'

CWE ID: 28
Name: Path Traversal: ‘..\filedir’

Beschreibung

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es werden jedoch die “..” Sequenzen nicht ordnungsgemäß neutralisiert, was zu einer Auflösung auf einen Speicherort außerhalb dieses Verzeichnisses führen kann.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.