この製品は正規表現を使って中和を行うが、正規表現はアンカーされていないため、悪意のあるデータや不正なデータがすり抜ける可能性がある。
許可された入力のセット(allowlist)に照らして検証するようなタスクを実行するとき、データは、それが整形式であり、安全な値のリストに準拠していることを保証するために検査され、場合によっては修正される。正規表現がアンカーされていない場合、正規表現にマッチする文字列の前後に悪意のあるデータや不正なデータが含まれる可能性があります。許可される悪意のあるデータのタイプは、アプリケーションのコンテキストと、正規表現から省略されるアンカーに依存します。
The product uses a regular expression to perform neutralization, but the regular expression is not anchored and may allow malicious or malformed data to slip through.
When performing tasks such as validating against a set of allowed inputs (allowlist), data is examined and possibly modified to ensure that it is well-formed and adheres to a list of safe values. If the regular expression is not anchored, malicious or malformed data may be included before or after any string matching the regular expression. The type of malicious data that is allowed will depend on the context of the application and which anchors are omitted from the regular expression.