CWE-32ВариантНеполный
Выход за пределы каталога: '...' (тройная точка)
Продукт использует внешние входные данные для формирования пути, который должен находиться внутри ограниченного каталога, однако не нейтрализует должным образом последовательности '...' (тройная точка), способные разрешиться в местоположение за пределами этого каталога.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2024-6049Веб-сервер Lawo AG vsm LTC Time Sync (vTimeSync) подвержен уязвимости обхода пути "..." (тройная точка). Отправив специально созданный HTTP-запрос, не прошедший проверку подлинности удаленный злоумышленник может загрузить произвольные файлы из операционной системы. Ограничением является то, что эксплуатация возможна только в том случае, если у запрошенного файла есть какое-либо расширение, например, .exe или .txt.
CVE-2024-41784IBM Sterling Secure Proxy 6.0.0.0, 6.0.0.1, 6.0.0.2, 6.0.0.3 и 6.1.0.0 может позволить удаленному злоумышленнику перемещаться по каталогам в системе. Злоумышленник может отправить специально созданный URL-запрос, содержащий последовательности "dot dot dot" (/.../), для просмотра произвольных файлов в системе.