• CWE-33: Path Traversal: '....' (Multiple Dot)

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der sich innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es neutralisiert jedoch nicht ordnungsgemäß ‘….’ (mehrfache Punkt-)Sequenzen, die zu einem Speicherort außerhalb dieses Verzeichnisses auflösen können.

CWE-33: Path Traversal: '....' (Multiple Dot)

CWE ID: 33
Name: Path Traversal: ‘….’ (Multiple Dot)

Beschreibung

Das Produkt verwendet externe Eingaben zur Konstruktion eines Pfades, der sich innerhalb eines eingeschränkten Verzeichnisses liegen sollte. Es neutralisiert jedoch nicht ordnungsgemäß ‘….’ (mehrfache Punkt-)Sequenzen, die zu einem Speicherort außerhalb dieses Verzeichnisses auflösen können.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.