Cwe 22

CWE-22: パストラバーサル 🧬 CWE 関連 96

slug: cwe-22

解説

CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。

📌 具体例

CVE-2024-57726 (SimpleHelp): zipファイル展開時のZip Slip攻撃で、サーバー上の任意の場所にファイル書き込みされる脆弱性。CISA KEV入り。

🔗 関連リンク

MITRE CWE-22 公式ページ ↗

🔖 関連タグ

CWE-20: 入力検証の不備125 CWE-78: OSコマンドインジェクション120 CWE-787: 境界外書き込み105 CWE-416: 解放後使用 (Use-After-Free)99 CWE-119: メモリの境界外操作90 CWE-94: コードインジェクション84 CWE-502: 安全でないデシリアライゼーション70 CWE-79: クロスサイトスクリプティング (XSS)66 CWE-89: SQLインジェクション54 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 このタグに関連する脆弱性 100

ID	タイトル	重要度	検知
CVE-2025-2749 KEV	【KEV】Kentico path-traversal にパストラバーサル (CVE-2025-2749)	High	2週間前
CVE-2025-8110 KEV	【KEV】gogs にパストラバーサル (CVE-2025-8110)	High	3ヶ月前
CVE-2025-6218 KEV	【KEV】Rarlab winrar にパストラバーサル (CVE-2025-6218)	High	5ヶ月前
CVE-2021-43798 KEV	【KEV】Grafana labs grafana-labs にパストラバーサル (CVE-2021-43798)	High	7ヶ月前
CVE-2019-5418 KEV	【KEV】rails にパストラバーサル (CVE-2019-5418)	High	10ヶ月前
CVE-2024-0769 KEV	【KEV】D-link dir-859-router にパストラバーサル (CVE-2024-0769)	High	10ヶ月前
CVE-2025-4632 KEV	【KEV】Samsung magicinfo-9-server にパストラバーサル (CVE-2025-4632)	High	11ヶ月前
CVE-2023-38950 KEV	【KEV】Zkteco biotime にパストラバーサル (CVE-2023-38950)	High	11ヶ月前
CVE-2025-27920 KEV	【KEV】Srimax output-messenger にパストラバーサル (CVE-2025-27920)	High	11ヶ月前
CVE-2025-34028 KEV	【KEV】Commvault command-center にパストラバーサル (CVE-2025-34028)	High	1年前
CVE-2017-12637 KEV	【KEV】Sap netweaver にパストラバーサル (CVE-2017-12637)	High	1年前
CVE-2024-4885 KEV	【KEV】Progress whatsup-gold にパストラバーサル (CVE-2024-4885)	High	1年前
CVE-2024-57727 KEV	【KEV】simplehelp にパストラバーサル (CVE-2024-57727)	High	1年前
CVE-2024-41713 KEV	【KEV】Mitel micollab にパストラバーサル (CVE-2024-41713)	High	1年前
CVE-2024-55550 KEV	【KEV】Mitel micollab にパストラバーサル (CVE-2024-55550)	High	1年前
CVE-2024-11667 KEV	【KEV】Zyxel multiple-firewalls にパストラバーサル (CVE-2024-11667)	High	1年前
CVE-2021-26086 KEV	【KEV】Atlassian jira-server-and-data-center にパストラバーサル (CVE-2021-26086)	High	1年前
CVE-2019-16278 KEV	【KEV】Nostromo nhttpd にパストラバーサル (CVE-2019-16278)	High	1年前
CVE-2024-8963 KEV	【KEV】Ivanti cloud-services-appliance-csa にパストラバーサル (CVE-2024-8963)	High	1年前
CVE-2021-20124 KEV	【KEV】Draytek vigorconnect にパストラバーサル (CVE-2021-20124)	High	1年前
CVE-2021-20123 KEV	【KEV】Draytek vigorconnect にパストラバーサル (CVE-2021-20123)	High	1年前
CVE-2024-7262 KEV	【KEV】Kingsoft wps-office にパストラバーサル (CVE-2024-7262)	High	1年前
CVE-2024-32113 KEV	【KEV】Apache ofbiz にパストラバーサル (CVE-2024-32113)	High	1年前
CVE-2024-28995 KEV	【KEV】Solarwinds serv-u にパストラバーサル (CVE-2024-28995)	High	1年前
CVE-2023-47246 KEV	【KEV】sysaid にパストラバーサル (CVE-2023-47246)	High	2年前
CVE-2023-32315 KEV	【KEV】Ignite realtime ignite-realtime にパストラバーサル (CVE-2023-32315)	High	2年前
CVE-2023-35081 KEV	【KEV】Ivanti endpoint-manager-mobile-epmm にパストラバーサル (CVE-2023-35081)	High	2年前
CVE-2022-41328 KEV	【KEV】Fortinet fortios にパストラバーサル (CVE-2022-41328)	High	3年前
CVE-2018-5430 KEV	【KEV】Tibco jasperreports にパストラバーサル (CVE-2018-5430)	High	3年前
CVE-2018-18809 KEV	【KEV】Tibco jasperreports にパストラバーサル (CVE-2018-18809)	High	3年前

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →