• CWE-32: Path Traversal: '...' (Triple Dot)

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es werden jedoch die “…” (Triple-Dot)-Sequenzen nicht ordnungsgemäß neutralisiert, was dazu führen kann, dass auf einen Speicherort außerhalb dieses Verzeichnisses aufgelöst wird.

CWE-32: Path Traversal: '...' (Triple Dot)

CWE ID: 32
Name: Path Traversal: ‘…’ (Triple Dot)

Beschreibung

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es werden jedoch die “…” (Triple-Dot)-Sequenzen nicht ordnungsgemäß neutralisiert, was dazu führen kann, dass auf einen Speicherort außerhalb dieses Verzeichnisses aufgelöst wird.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingehende Daten sollten dekodiert und in die aktuelle interne Repräsentation der Anwendung kanonisiert werden, bevor sie validiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselben Eingaben nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.