• CWE-39: Path Traversal: 'C:dirname'

Das Produkt akzeptiert Eingaben, die einen Laufwerksbuchstaben oder einen Windows-Volumenbuchstaben (‘C:dirname’) enthalten, was potenziell zu einer Weiterleitung des Zugriffs auf einen ungewollten Speicherort oder eine beliebige Datei führen kann.

CWE-39: Path Traversal: 'C:dirname'

CWE ID: 39
Name: Path Traversal: ‘C:dirname’

Beschreibung

Das Produkt akzeptiert Eingaben, die einen Laufwerksbuchstaben oder einen Windows-Volumenbuchstaben (‘C:dirname’) enthalten, was potenziell zu einer Weiterleitung des Zugriffs auf einen ungewollten Speicherort oder eine beliebige Datei führen kann.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.