本製品は、基数10(10進数)の値を想定して数値入力を解析するが、異なる基数(基数)を使用する入力については考慮しない。
頻繁に、"0 "で始まる数値入力は8進数として扱われ、"0x "は16進数として扱われる(例: inet_addr()関数)。例えば、"023"(8進数)は35進数であり、"0x31 "は49進数である。他の基数を使うこともできる。開発者が10進数のみの入力を想定している場合、入力が異なる基数で解析されると、コードが正しくない数値を生成する可能性がある。これは予期しない、あるいは危険な動作につながる可能性がある。例えば、"0127.0.0.1 "というIPアドレスは、先頭の "0 "のために8進数として解析され、その数値は87.0.0.1(10進数)と同じになる。
この弱点が発生する周囲のコードによって結果は異なりますが、予期しないIPアドレスやネットマスクを使用したネットワークベースのアクセス制御のバイパスや、明らかに記号的な識別子があたかも数字であるかのように処理されることがあります。ウェブ・アプリケーションでは、これはSSRFの制限をバイパスすることを可能にします。
The product parses numeric input assuming base 10 (decimal) values, but it does not account for inputs that use a different base number (radix).
Frequently, a numeric input that begins with "0" is treated as octal, or "0x" causes it to be treated as hexadecimal, e.g. by the inet_addr() function. For example, "023" (octal) is 35 decimal, or "0x31" is 49 decimal. Other bases may be used as well. If the developer assumes decimal-only inputs, the code could produce incorrect numbers when the inputs are parsed using a different base. This can result in unexpected and/or dangerous behavior. For example, a "0127.0.0.1" IP address is parsed as octal due to the leading "0", whose numeric value would be the same as 87.0.0.1 (decimal), where the developer likely expected to use 127.0.0.1.
The consequences vary depending on the surrounding code in which this weakness occurs, but they can include bypassing network-based access control using unexpected IP addresses or netmasks, or causing apparently-symbolic identifiers to be processed as if they are numbers. In web applications, this can enable bypassing of SSRF restrictions.