• CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')

Das Produkt empfängt Input von einer vorgelagerten Komponente, neutralisiert diesen jedoch nicht oder neutralisiert ihn fehlerhaft, bevor der Input in einem dynamischen Evaluation Call (z.B. “eval”) verwendet wird. Dies birgt ein erhebliches Security Vulnerability.

CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')

CWE ID: 95
Name: Improper Neutralization of Directives in Dynamically Evaluated Code (‘Eval Injection’)

Beschreibung

Das Produkt empfängt Input von einer vorgelagerten Komponente, neutralisiert diesen jedoch nicht oder neutralisiert ihn fehlerhaft, bevor der Input in einem dynamischen Evaluation Call (z.B. “eval”) verwendet wird. Dies birgt ein erhebliches Security Vulnerability.

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Versuchen Sie, Ihren Code so zu refaktorieren, dass die Verwendung von eval() vollständig vermieden wird.