CWE ID: 917
Name: Improper Neutralization of Special Elements used in an Expression Language Statement (‘Expression Language Injection’)
Das Produkt konstruiert einen Teil oder das gesamte Expression Language (EL) Statement innerhalb eines Frameworks, beispielsweise einer Java Server Page (JSP), unter Verwendung von extern beeinflusstem Input von einer vorgelagerten Komponente. Dabei werden spezielle Elemente, die das beabsichtigte EL Statement vor der Ausführung modifizieren könnten, entweder nicht neutralisiert oder fehlerhaft neutralisiert.
Frameworks wie Java Server Page (JSP) ermöglichen es einem Entwickler, ausführbare Ausdrücke in ansonsten statischen Inhalten einzubetten. Wenn der Entwickler sich der ausführbaren Natur dieser Ausdrücke nicht bewusst ist und/oder diese nicht deaktiviert, kann ein Angreifer, der in der Lage ist, Ausdrücke einzuschleusen, zu Codeausführung oder anderen unerwarteten Verhaltensweisen führen.
Effektivität: Unknown
Beschreibung: Vermeiden Sie nach Möglichkeit das Einfügen von benutzergesteuerten Daten in einen Expression Interpreter.
Effektivität: Unknown
Beschreibung: Das Framework oder die verwendeten Tools können dem Entwickler die Möglichkeit bieten, die Verarbeitung von EL-Expressions zu deaktivieren oder zu deaktivieren, beispielsweise durch das Setzen des Attributs isELIgnored für eine JSP-Seite auf “true”.
