• CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')

Das Produkt konstruiert einen oder einen Teil eines Befehls unter Verwendung von extern beeinflusstem Input von einer vorgelagerten Komponente, neutralisiert jedoch keine oder neutralisiert diese fehlerhaft, sodass spezielle Elemente die beabsichtigte Funktionalität des Befehls ändern können, wenn er an eine nachgelagerte Komponente gesendet wird.

CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')

CWE ID: 77
Name: Improper Neutralization of Special Elements used in a Command (‘Command Injection’)

Beschreibung

Das Produkt konstruiert einen oder einen Teil eines Befehls unter Verwendung von extern beeinflusstem Input von einer vorgelagerten Komponente, neutralisiert jedoch keine oder neutralisiert diese fehlerhaft, sodass spezielle Elemente die beabsichtigte Funktionalität des Befehls ändern können, wenn er an eine nachgelagerte Komponente gesendet wird.

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Soweit möglich, sollten Library Calls anstelle von externen Prozessen verwendet werden, um die gewünschte Funktionalität zu replizieren.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Soweit möglich, sollte sichergestellt werden, dass alle von dem Programm aufgerufenen externen Commands statisch erstellt werden.

Maßnahme (Operation)

Effektivität: Unknown
Beschreibung: Laufzeitumgebung: Die Durchsetzung von Laufzeitrichtlinien kann in einer Allowlist-Manier eingesetzt werden, um die Verwendung von nicht genehmigten Commands zu verhindern.

Maßnahme (System Configuration)

Effektivität: Unknown
Beschreibung: Weisen Sie Berechtigungen zu, die den Benutzer daran hindern, privilegierte Dateien zu öffnen/zugreifen.