• CWE-31: Path Traversal: 'dir\..\..\filename'

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der sich innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es neutralisiert jedoch nicht ordnungsgemäß Sequenzen wie ‘dir....\filename’ (mehrfache interne Backslash dot dot), die zu einem Speicherort außerhalb dieses Verzeichnisses aufgelöst werden können.

CWE-31: Path Traversal: 'dir\..\..\filename'

CWE ID: 31
Name: Path Traversal: ‘dir....\filename’

Beschreibung

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der sich innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es neutralisiert jedoch nicht ordnungsgemäß Sequenzen wie ‘dir....\filename’ (mehrfache interne Backslash dot dot), die zu einem Speicherort außerhalb dieses Verzeichnisses aufgelöst werden können.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingehende Daten sollten dekodiert und in die aktuelle interne Repräsentation der Anwendung kanonisiert werden, bevor sie validiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselben Eingaben nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.