• CWE-624: Executable Regular Expression Error

Das Produkt verwendet einen regulären Ausdruck, der entweder (1) eine ausführbare Komponente mit benutzergesteuerten Eingaben enthält, oder (2) einem Benutzer erlaubt, die Ausführung durch das Einfügen von Pattern Modifiers zu aktivieren.

CWE-624: Executable Regular Expression Error

CWE ID: 624
Name: Executable Regular Expression Error

Beschreibung

Das Produkt verwendet einen regulären Ausdruck, der entweder (1) eine ausführbare Komponente mit benutzergesteuerten Eingaben enthält, oder (2) einem Benutzer erlaubt, die Ausführung durch das Einfügen von Pattern Modifiers zu aktivieren.

Erweiterte Beschreibung

Fall (2) ist in der PHP preg_replace() Funktion möglich und potenziell auch in anderen Programmiersprachen, wenn eine benutzergesteuerte Eingabe in einen String eingefügt wird, der später als regulärer Ausdruck geparst wird.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Die Regular Expression Funktionalität in einigen Programmiersprachen erlaubt es, Eingaben zu zitieren oder zu escapen, bevor sie eingefügt werden, wie beispielsweise \Q und \E in Perl.