ブログ IP住所検索
CWE一覧に戻る
CWE-64

以下のWindowsショートカット(.LNK)

Windows Shortcut Following (.LNK)
脆弱性 作成中
日本語説明
JA

本製品は、ファイルやディレクトリを開く際に、そのファイルが Windows のショートカット (.LNK) であり、その対象が意図した制御範囲外にある場合の処理が不十分です。このため、攻撃者に不正なファイルを操作される可能性があります。

原文 (English)
EN

The product, when opening a file or directory, does not sufficiently handle when the file is a Windows shortcut (.LNK) whose target is outside of the intended control sphere. This could allow an attacker to cause the product to operate on unauthorized files.

関連する脆弱性
CWE-59 ファイルアクセス前の不適切なリンク解決(「リンクフォロー)
想定される影響
Scope: Confidentiality, Integrity / Impact: Read Files or Directories; Modify Files or Directories
対策・緩和策
Follow the principle of least privilege when assigning access rights to entities in a software system.

Denying access to a file can prevent an attacker from replacing that file with a link to a sensitive file. Ensure good compartmentalization in the system to provide protected areas that can be trusted.
外部リンク
MITRE公式ページ — CWE-64