ブログ IP住所検索
CWE一覧に戻る
CWE-52

パスの等価性:'/multiple/trailing/slash//'

Path Equivalence: '/multiple/trailing/slash//'
脆弱性 作成中
日本語説明
JA

本製品は、適切な検証を行わずに複数の末尾スラッシュ ('/multiple/trailing/slash//') 形式のパス入力を受け付けます。このため、パスの解決が曖昧になり、攻撃者がファイルシステムを意図しない場所に移動したり、任意のファイルにアクセスしたりする可能性があります。

原文 (English)
EN

The product accepts path input in the form of multiple trailing slash ('/multiple/trailing/slash//') without appropriate validation, which can lead to ambiguous path resolution and allow an attacker to traverse the file system to unintended locations or access arbitrary files.

関連する脆弱性
CWE-41 パス等価性の不適切な解決 CWE-163 複数の後続特殊要素の不適切な中和 CWE-289 別名による認証バイパス
想定される影響
Scope: Confidentiality, Integrity / Impact: Read Files or Directories; Modify Files or Directories
対策・緩和策
Inputs should be decoded and canonicalized to the application's current internal representation before being validated (CWE-180). Make sure that the application does not decode the same input twice (CWE-174). Such errors could be used to bypass allowlist validation schemes by introducing dangerous inputs after they have been checked.
外部リンク
MITRE公式ページ — CWE-52