• CWE-38: Path Traversal: '\absolute\pathname\here'

Das Produkt akzeptiert Eingaben in Form eines Backslash-absoluten Pfades (’\absolute\pathname\here’) ohne angemessene Validierung. Dies kann einem Angreifer die Möglichkeit geben, das Dateisystem in unbeabsichtigte Bereiche zu durchsuchen oder auf beliebige Dateien zuzugreifen.

CWE-38: Path Traversal: '\absolute\pathname\here'

CWE ID: 38
Name: Path Traversal: ‘\absolute\pathname\here’

Beschreibung

Das Produkt akzeptiert Eingaben in Form eines Backslash-absoluten Pfades (’\absolute\pathname\here’) ohne angemessene Validierung. Dies kann einem Angreifer die Möglichkeit geben, das Dateisystem in unbeabsichtigte Bereiche zu durchsuchen oder auf beliebige Dateien zuzugreifen.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.