• CWE-54: Path Equivalence: 'filedir' (Trailing Backslash)

Das Produkt akzeptiert Pfadeingaben in der Form eines abschließenden Backslash (‘filedir’) ohne angemessene Validierung. Dies kann zu mehrdeutiger Pfadauflösung führen und einem Angreifer ermöglichen, das Dateisystem zu durchlaufen, um auf unbeabsichtigte Orte zu gelangen oder beliebige Dateien zu kompromittieren.

CWE-54: Path Equivalence: 'filedir' (Trailing Backslash)

CWE ID: 54
Name: Path Equivalence: ‘filedir' (Trailing Backslash)

Beschreibung

Das Produkt akzeptiert Pfadeingaben in der Form eines abschließenden Backslash (‘filedir') ohne angemessene Validierung. Dies kann zu mehrdeutiger Pfadauflösung führen und einem Angreifer ermöglichen, das Dateisystem zu durchlaufen, um auf unbeabsichtigte Orte zu gelangen oder beliebige Dateien zu kompromittieren.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingegebene Daten sollten dekodiert und in die aktuelle interne Repräsentation der Anwendung kanonisiert werden, bevor sie validiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselben Eingaben nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.