本製品は、ファイルやディレクトリを開く際に、そのファイルがシンボリックリンクであり、意図した制御範囲外のターゲットに解決される場合を十分に考慮していません。このため、攻撃者が製品を不正なファイル上で動作させる可能性があります。
内部コードであれユーザー入力であれ、パスの一部としてUNIXシンボリックリンク(シンボリックリンク)を許可している製品では、攻撃者がシンボリックリンクを偽装し、ファイルシステムを意図しない場所までトラバースしたり、任意のファイルにアクセスしたりする可能性がある。シンボリックリンクにより、攻撃者は本来アクセス権限のないファイルを読み書きしたり、破壊したりすることができる。
The product, when opening a file or directory, does not sufficiently account for when the file is a symbolic link that resolves to a target outside of the intended control sphere. This could allow an attacker to cause the product to operate on unauthorized files.
A product that allows UNIX symbolic links (symlink) as part of paths whether in internal code or through user input can allow an attacker to spoof the symbolic link and traverse the file system to unintended locations or access arbitrary files. The symbolic link can permit an attacker to read/write/corrupt a file that they originally did not have permissions to access.