• CWE-57: Path Equivalence: 'fakedir/../realdir/filename'

Das Produkt enthält Schutzmechanismen, um den Zugriff auf ‘realdir/filename’ zu beschränken, jedoch werden Pfadnamen mithilfe externer Eingaben in der Form von ‘fakedir/../realdir/filename’ konstruiert, die nicht von diesen Mechanismen abgedeckt werden. Dies ermöglicht es Angreifern, unautorisierte Aktionen gegen die angepeilte Datei durchzuführen.

CWE-57: Path Equivalence: 'fakedir/../realdir/filename'

CWE ID: 57
Name: Path Equivalence: ‘fakedir/../realdir/filename’

Beschreibung

Das Produkt enthält Schutzmechanismen, um den Zugriff auf ‘realdir/filename’ zu beschränken, jedoch werden Pfadnamen mithilfe externer Eingaben in der Form von ‘fakedir/../realdir/filename’ konstruiert, die nicht von diesen Mechanismen abgedeckt werden. Dies ermöglicht es Angreifern, unautorisierte Aktionen gegen die angepeilte Datei durchzuführen.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingaben sollten dekodiert und in die aktuelle interne Repräsentation der Anwendung kanonisiert werden, bevor sie validiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.