CWE-57 · Эквивалентность путей: 'fakedir/../realdir/filename'

CWE-57ВариантНеполный

Абстракция: Вариант

Статус: Неполный

Эквивалентность путей: 'fakedir/../realdir/filename'

Продукт содержит механизмы защиты, ограничивающие доступ к 'realdir/filename', однако формирует пути с использованием внешних входных данных в виде 'fakedir/../realdir/filename', которые не обрабатываются этими механизмами. Это позволяет злоумышленникам выполнять несанкционированные действия с целевым файлом.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2024-34995svnWebUI версии 1.8.3 была обнаружена уязвимость к произвольному удалению файлов через параметр dirTemps под com.cym.controller.UserController#importOver. Эта уязвимость позволяет злоумышленникам удалять произвольные файлы через подготовленный POST-запрос.