ブログ IP住所検索
CWE一覧に戻る
CWE-59

ファイルアクセス前の不適切なリンク解決(「リンクフォロー)

Improper Link Resolution Before File Access ('Link Following')
脆弱性 レビュー中
日本語説明
JA

この製品は、ファイル名に基づいてファイルへのアクセスを試みますが、そのファイル名が、意図しないリソースに解決するリンクやショートカットを特定することを適切に防止していません。

原文 (English)
EN

The product attempts to access a file based on the filename, but it does not properly prevent that filename from identifying a link or shortcut that resolves to an unintended resource.

関連する脆弱性
CWE-706 誤って解決された名前や参考文献の使用 CWE-706 誤って解決された名前や参考文献の使用
想定される影響
Scope: Confidentiality, Integrity, Access Control / Impact: Read Files or Directories; Modify Files or Directories; Bypass Protection Mechanism
Scope: Other / Impact: Execute Unauthorized Code or Commands
対策・緩和策
Follow the principle of least privilege when assigning access rights to entities in a software system.

Denying access to a file can prevent an attacker from replacing that file with a link to a sensitive file. Ensure good compartmentalization in the system to provide protected areas that can be trusted.
外部リンク
MITRE公式ページ — CWE-59