• CWE-52: Path Equivalence: '/multiple/trailing/slash//'

Das Produkt akzeptiert Pfadeingaben in der Form mehrerer abschließender Schrägstriche (’/multiple/trailing/slash//’) ohne angemessene Validierung. Dies kann zu mehrdeutiger Pfadauflösung führen und einem Angreifer ermöglichen, das Dateisystem zu durchlaufen und auf ungewollte Orte zu gelangen oder willkürliche Dateien zu kompromittieren.

CWE-52: Path Equivalence: '/multiple/trailing/slash//'

CWE ID: 52
Name: Path Equivalence: ‘/multiple/trailing/slash//’

Beschreibung

Das Produkt akzeptiert Pfadeingaben in der Form mehrerer abschließender Schrägstriche (’/multiple/trailing/slash//’) ohne angemessene Validierung. Dies kann zu mehrdeutiger Pfadauflösung führen und einem Angreifer ermöglichen, das Dateisystem zu durchlaufen und auf ungewollte Orte zu gelangen oder willkürliche Dateien zu kompromittieren.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingegebene Daten sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselben Eingaben nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.