Cwe 22

Explication

CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。

📌 Exemple

CVE-2024-57726 (SimpleHelp): zipファイル展開時のZip Slip攻撃で、サーバー上の任意の場所にファイル書き込みされる脆弱性。CISA KEV入り。

🛡 Vulnérabilités associées 98

ID	Titre	Gravité	Détecté
CVE-2022-26352 KEV	[KEV] Traversée de chemin dans dotcms (CVE-2022-26352)	High	il y a 3 ans
CVE-2020-36193 KEV	[KEV] Traversée de chemin dans Pear archive-tar (CVE-2020-36193)	High	il y a 3 ans
CVE-2022-27925 KEV	[KEV] Traversée de chemin dans Synacor zimbra-collaboration-suite-zcs (CVE-2022-27925)	High	il y a 3 ans
CVE-2022-30333 KEV	[KEV] Traversée de chemin dans Rarlab unrar (CVE-2022-30333)	High	il y a 3 ans
CVE-2019-7195 KEV	[KEV] Traversée de chemin dans Qnap photo-station (CVE-2019-7195)	High	il y a 3 ans
CVE-2019-7194 KEV	[KEV] Traversée de chemin dans Qnap photo-station (CVE-2019-7194)	High	il y a 3 ans
CVE-2015-0016 KEV	[KEV] Traversée de chemin dans Microsoft windows (CVE-2015-0016)	High	il y a 3 ans
CVE-2022-29464 KEV	[KEV] Traversée de chemin dans Wso2 multiple-products (CVE-2022-29464)	High	il y a 4 ans
CVE-2014-0780 KEV	[KEV] Traversée de chemin dans Indusoft web-studio (CVE-2014-0780)	High	il y a 4 ans
CVE-2019-7483 KEV	[KEV] Traversée de chemin dans Sonicwall sma100 (CVE-2019-7483)	High	il y a 4 ans
CVE-2014-0130 KEV	[KEV] Traversée de chemin dans rails (CVE-2014-0130)	High	il y a 4 ans
CVE-2020-1631 KEV	[KEV] Traversée de chemin dans Juniper junos-os (CVE-2020-1631)	High	il y a 4 ans
CVE-2016-0752 KEV	[KEV] Traversée de chemin dans rails (CVE-2016-0752)	High	il y a 4 ans
CVE-2015-4068 KEV	[KEV] Traversée de chemin dans Arcserve unified-data-protection-udp (CVE-2015-4068)	High	il y a 4 ans
CVE-2015-3035 KEV	[KEV] Traversée de chemin dans Tp-link multiple-archer-devices (CVE-2015-3035)	High	il y a 4 ans
CVE-2015-0666 KEV	[KEV] Traversée de chemin dans Cisco prime-data-center-network-manager-dcnm (CVE-2015-0666)	High	il y a 4 ans
CVE-2010-2861 KEV	[KEV] Traversée de chemin dans Adobe coldfusion (CVE-2010-2861)	High	il y a 4 ans
CVE-2020-14864 KEV	[KEV] Traversée de chemin dans Oracle intelligence-enterprise-edition (CVE-2020-14864)	High	il y a 4 ans
CVE-2018-14847 KEV	[KEV] Traversée de chemin dans Mikrotik routeros (CVE-2018-14847)	High	il y a 4 ans
CVE-2021-41773 KEV	[KEV] Traversée de chemin dans Apache http-server (CVE-2021-41773)	High	il y a 4 ans
CVE-2021-42013 KEV	[KEV] Traversée de chemin dans Apache http-server (CVE-2021-42013)	High	il y a 4 ans
CVE-2021-20090 KEV	[KEV] Traversée de chemin dans Arcadyan buffalo-firmware (CVE-2021-20090)	High	il y a 4 ans
CVE-2019-3398 KEV	[KEV] Traversée de chemin dans Atlassian confluence-server-and-data-center (CVE-2019-3398)	High	il y a 4 ans
CVE-2019-3396 KEV	[KEV] Traversée de chemin dans Atlassian confluence-server-and-data-server (CVE-2019-3396)	High	il y a 4 ans
CVE-2019-19781 KEV	[KEV] Traversée de chemin dans Citrix application-delivery-controller-adc (CVE-2019-19781)	High	il y a 4 ans
CVE-2020-5902 KEV	[KEV] Traversée de chemin dans F5 big-ip (CVE-2020-5902)	High	il y a 4 ans
CVE-2018-13379 KEV	[KEV] Traversée de chemin dans Fortinet fortios (CVE-2018-13379)	High	il y a 4 ans
CVE-2020-4430 KEV	[KEV] Traversée de chemin dans Ibm data-risk-manager (CVE-2020-4430)	High	il y a 4 ans
CVE-2021-40444 KEV	[KEV] Traversée de chemin dans Microsoft mshtml (CVE-2021-40444)	High	il y a 4 ans
CVE-2019-11510 KEV	[KEV] Traversée de chemin dans Ivanti pulse-connect-secure (CVE-2019-11510)	High	il y a 4 ans

Titre