Cwe 22

🧬 CWE Related 96

slug: cwe-22

Explanation

CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。

📌 Example

CVE-2024-57726 (SimpleHelp): zipファイル展開時のZip Slip攻撃で、サーバー上の任意の場所にファイル書き込みされる脆弱性。CISA KEV入り。

🔗 Related links

MITRE CWE-22 公式ページ ↗

🔖 Related tags

Cwe 20125 Cwe 78120 Cwe 787105 Cwe 41699 Cwe 11990 Cwe 9484 Cwe 50270 Cwe 7966 Cwe 8954 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 Vulnerabilities tagged with this 100

ID	Title	Severity	Detected
CVE-2016-3976 KEV	[KEV] Path Traversal in Sap netweaver (CVE-2016-3976)	High	4 years ago
CVE-2021-20023 KEV	[KEV] Path Traversal in sonicwall (CVE-2021-20023)	High	4 years ago
CVE-2019-18187 KEV	[KEV] Path Traversal in Trend micro trend-micro (CVE-2019-18187)	High	4 years ago
CVE-2021-36741 KEV	[KEV] Path Traversal in Trend micro trend-micro (CVE-2021-36741)	High	4 years ago
CVE-2019-20085 KEV	[KEV] Path Traversal in Tvt nvms-1000 (CVE-2019-20085)	High	4 years ago
CVE-2020-11738 KEV	[KEV] Path Traversal in Wordpress snap-creek-duplicator-plugin (CVE-2020-11738)	High	4 years ago
CVE-2019-3398 KEV	[KEV] Path Traversal in Atlassian confluence-server-and-data-center (CVE-2019-3398)	High	4 years ago
CVE-2021-20090 KEV	[KEV] Path Traversal in Arcadyan buffalo-firmware (CVE-2021-20090)	High	4 years ago
CVE-2021-41773 KEV	[KEV] Path Traversal in Apache http-server (CVE-2021-41773)	High	4 years ago
CVE-2021-42013 KEV	[KEV] Path Traversal in Apache http-server (CVE-2021-42013)	High	4 years ago

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →