• CWE-30: Path Traversal: '\dir\..\filename'

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es werden jedoch ‘\dir..\filename’ (führende Backslash-Punkt-Punkt)-Sequenzen nicht ordnungsgemäß neutralisiert, was dazu führen kann, dass ein Pfad aufgelöst wird, der sich außerhalb dieses Verzeichnisses befindet.

CWE-30: Path Traversal: '\dir\..\filename'

CWE ID: 30
Name: Path Traversal: ‘\dir..\filename’

Beschreibung

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es werden jedoch ‘\dir..\filename’ (führende Backslash-Punkt-Punkt)-Sequenzen nicht ordnungsgemäß neutralisiert, was dazu führen kann, dass ein Pfad aufgelöst wird, der sich außerhalb dieses Verzeichnisses befindet.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingaben sollten dekodiert und in die aktuelle interne Repräsentation der Anwendung kanonisiert werden, bevor sie validiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.