Cwe 22

🧬 CWE Related 96
slug: cwe-22

Explanation

CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。 ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。 対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。
📌 Example
CVE-2024-57726 (SimpleHelp): zipファイル展開時のZip Slip攻撃で、サーバー上の任意の場所にファイル書き込みされる脆弱性。CISA KEV入り。

🔖 Related tags

🛡 Vulnerabilities tagged with this 1,035

ID Title
CVE-2024-51127 Path Traversal in redhat (CVE-2024-51127)
CVE-2024-48735 Path Traversal in path-traversal (CVE-2024-48735)
CVE-2024-47742 Path Traversal in path-traversal (CVE-2024-47742)
CVE-2024-9675 Path Traversal in buildah-project (CVE-2024-9675)
CVE-2024-46446 Path Traversal in path-traversal (CVE-2024-46446)
CVE-2024-33109 Path Traversal in path-traversal (CVE-2024-33109)
CVE-2024-8963 KEV [KEV] Path Traversal in Ivanti cloud-services-appliance-csa (CVE-2024-8963)
CVE-2024-7609 Path Traversal in path-traversal (CVE-2024-7609)
CVE-2024-6445 Path Traversal in path-traversal (CVE-2024-6445)
CVE-2024-7262 KEV [KEV] Path Traversal in Kingsoft wps-office (CVE-2024-7262)
CVE-2021-20124 KEV [KEV] Path Traversal in Draytek vigorconnect (CVE-2021-20124)
CVE-2021-20123 KEV [KEV] Path Traversal in Draytek vigorconnect (CVE-2021-20123)
CVE-2024-32113 KEV [KEV] Path Traversal in Apache ofbiz (CVE-2024-32113)
CVE-2024-41628 Path Traversal in path-traversal (CVE-2024-41628)
CVE-2024-28995 KEV [KEV] Path Traversal in Solarwinds serv-u (CVE-2024-28995)
CVE-2024-39171 Path Traversal in phpvibe (CVE-2024-39171)
CVE-2024-24398 Path Traversal in path-traversal (CVE-2024-24398)
CVE-2023-47890 pyLoad 0.5.0 is vulnerable to Unrestricted File Upload.
CVE-2023-6190 Path Traversal in path-traversal (CVE-2023-6190)
CVE-2023-33411 Path Traversal in path-traversal (CVE-2023-33411)
CVE-2023-6118 Path Traversal in path-traversal (CVE-2023-6118)
CVE-2023-47246 KEV [KEV] Path Traversal in sysaid (CVE-2023-47246)
CVE-2023-42456 Path Traversal in sudo-rs (CVE-2023-42456)
CVE-2023-39810 An issue in the CPIO command of Busybox v1.33.2 allows attackers to execute a directory traversal.
CVE-2023-32315 KEV [KEV] Path Traversal in Ignite realtime ignite-realtime (CVE-2023-32315)
CVE-2020-26037 Path Traversal in path-traversal (CVE-2020-26037)
CVE-2023-37646 Path Traversal in path-traversal (CVE-2023-37646)
CVE-2023-38956 Path Traversal in path-traversal (CVE-2023-38956)
CVE-2023-35081 KEV [KEV] Path Traversal in Ivanti endpoint-manager-mobile-epmm (CVE-2023-35081)
CVE-2020-22623 Path Traversal in path-traversal (CVE-2020-22623)

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →