この製品は、整形式であることが期待される入力、すなわち特定の構文に準拠する入力を受け取るが、その入力が構文に準拠しているかどうかを検証しないか、誤って検証する。
多くの場合、複雑な入力は特定の構文に従うことが期待され、それは入力自体が想定しているか、ヘッダーなどのメタデータの中で宣言されている。その構文とは、データ交換フォーマット、マークアップ言語、あるいはプログラミング言語などである。 信頼されない入力が期待される構文に対して適切に検証されない場合、攻撃者は解析の失敗を引き起こしたり、予期しないエラーを引き起こしたり、入力が構文に適合していれば直接悪用できないかもしれない潜在的な脆弱性を露呈させたりする可能性がある。
The product receives input that is expected to be well-formed - i.e., to comply with a certain syntax - but it does not validate or incorrectly validates that the input complies with the syntax.
Often, complex inputs are expected to follow a particular syntax, which is either assumed by the input itself, or declared within metadata such as headers. The syntax could be for data exchange formats, markup languages, or even programming languages. When untrusted input is not properly validated for the expected syntax, attackers could cause parsing failures, trigger unexpected errors, or expose latent vulnerabilities that might not be directly exploitable if the input had conformed to the syntax.