• CWE-56: Path Equivalence: 'filedir*' (Wildcard)

Das Produkt akzeptiert Pfadeingaben in der Form von Platzhaltern (Wildcards) wie ‘filedir*’, ohne eine angemessene Validierung. Dies kann zu mehrdeutigen Pfadauflösungen führen und einem Angreifer ermöglichen, das Dateisystem zu durchlaufen, um auf unbeabsichtigte Orte zu gelangen oder willkürliche Dateien zu kompromittieren.

CWE-56: Path Equivalence: 'filedir*' (Wildcard)

CWE ID: 56
Name: Path Equivalence: ‘filedir*’ (Wildcard)

Beschreibung

Das Produkt akzeptiert Pfadeingaben in der Form von Platzhaltern (Wildcards) wie ‘filedir*’, ohne eine angemessene Validierung. Dies kann zu mehrdeutigen Pfadauflösungen führen und einem Angreifer ermöglichen, das Dateisystem zu durchlaufen, um auf unbeabsichtigte Orte zu gelangen oder willkürliche Dateien zu kompromittieren.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingegebene Daten sollten dekodiert und in die aktuelle interne Repräsentation der Anwendung kanonisiert werden, bevor eine Validierung durchgeführt wird (CWE-180). Stellen Sie sicher, dass die Anwendung dieselben Eingaben nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.