CWE-624: Executable Regular Expression Error
CWE ID: 624
Name: Executable Regular Expression Error
Beschreibung
Das Produkt verwendet einen regulären Ausdruck, der entweder (1) eine ausführbare Komponente mit benutzergesteuerten Eingaben enthält, oder (2) einem Benutzer erlaubt, die Ausführung durch das Einfügen von Pattern Modifiers zu aktivieren.
Erweiterte Beschreibung
Fall (2) ist in der PHP preg_replace() Funktion möglich und potenziell auch in anderen Programmiersprachen, wenn eine benutzergesteuerte Eingabe in einen String eingefügt wird, der später als regulärer Ausdruck geparst wird.
Risikominderungsmaßnahmen
Maßnahme (Implementation)
Effektivität: Unknown
Beschreibung: Die Regular Expression Funktionalität in einigen Programmiersprachen erlaubt es, Eingaben zu zitieren oder zu escapen, bevor sie eingefügt werden, wie beispielsweise \Q und \E in Perl.
Ist Ihre IT-Infrastruktur betroffen?
Schwachstellen wie CWE-624: Executable Regular Expression Error können von Angreifern ausgenutzt werden. Unsere IT-Sicherheitsexperten in Salzburg helfen Ihnen, Verwundbarkeiten in Ihrer Infrastruktur zu identifizieren und zu beheben.
Schwachstellen-Scan anfragen Kostenlos beraten lassen