• CWE-51: Path Equivalence: '/multiple//internal/slash'

Das Produkt akzeptiert Pfadangaben in der Form mehrerer interner Slashes (’/multiple//internal/slash/’) ohne angemessene Validierung. Dies kann zu mehrdeutiger Path Resolution führen und einem Angreifer ermöglichen, das Dateisystem zu durchlaufen und auf unbeabsichtigte Orte zu gelangen oder willkürliche Files zu kompromittieren.

CWE-51: Path Equivalence: '/multiple//internal/slash'

CWE ID: 51
Name: Path Equivalence: ‘/multiple//internal/slash’

Beschreibung

Das Produkt akzeptiert Pfadangaben in der Form mehrerer interner Slashes (’/multiple//internal/slash/’) ohne angemessene Validierung. Dies kann zu mehrdeutiger Path Resolution führen und einem Angreifer ermöglichen, das Dateisystem zu durchlaufen und auf unbeabsichtigte Orte zu gelangen oder willkürliche Files zu kompromittieren.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingaben sollten dekodiert und in die aktuelle interne Repräsentation der Anwendung kanonisiert werden, bevor sie validiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.