Cwe 22

CWE-22: パストラバーサル 🧬 CWE 関連 96
slug: cwe-22

解説

CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。 ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。 対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。
📌 具体例
CVE-2024-57726 (SimpleHelp): zipファイル展開時のZip Slip攻撃で、サーバー上の任意の場所にファイル書き込みされる脆弱性。CISA KEV入り。

🔖 関連タグ

🛡 このタグに関連する脆弱性 1,035

ID タイトル
CVE-2024-51127 redhat に パストラバーサル (CVE-2024-51127)
CVE-2024-48735 path-traversal に パストラバーサル (CVE-2024-48735)
CVE-2024-47742 path-traversal に パストラバーサル (CVE-2024-47742)
CVE-2024-9675 buildah-project に パストラバーサル (CVE-2024-9675)
CVE-2024-46446 path-traversal に パストラバーサル (CVE-2024-46446)
CVE-2024-33109 path-traversal に パストラバーサル (CVE-2024-33109)
CVE-2024-8963 KEV 【KEV】Ivanti cloud-services-appliance-csa に パストラバーサル (CVE-2024-8963)
CVE-2024-7609 path-traversal に パストラバーサル (CVE-2024-7609)
CVE-2024-6445 path-traversal に パストラバーサル (CVE-2024-6445)
CVE-2024-7262 KEV 【KEV】Kingsoft wps-office に パストラバーサル (CVE-2024-7262)
CVE-2021-20124 KEV 【KEV】Draytek vigorconnect に パストラバーサル (CVE-2021-20124)
CVE-2021-20123 KEV 【KEV】Draytek vigorconnect に パストラバーサル (CVE-2021-20123)
CVE-2024-32113 KEV 【KEV】Apache ofbiz に パストラバーサル (CVE-2024-32113)
CVE-2024-41628 path-traversal に パストラバーサル (CVE-2024-41628)
CVE-2024-28995 KEV 【KEV】Solarwinds serv-u に パストラバーサル (CVE-2024-28995)
CVE-2024-39171 phpvibe に パストラバーサル (CVE-2024-39171)
CVE-2024-24398 path-traversal に パストラバーサル (CVE-2024-24398)
CVE-2023-47890 pyLoad 0.5.0 is vulnerable to Unrestricted File Upload.
CVE-2023-6190 path-traversal に パストラバーサル (CVE-2023-6190)
CVE-2023-33411 path-traversal に パストラバーサル (CVE-2023-33411)
CVE-2023-6118 path-traversal に パストラバーサル (CVE-2023-6118)
CVE-2023-47246 KEV 【KEV】sysaid に パストラバーサル (CVE-2023-47246)
CVE-2023-42456 sudo-rs に パストラバーサル (CVE-2023-42456)
CVE-2023-39810 An issue in the CPIO command of Busybox v1.33.2 allows attackers to execute a directory traversal.
CVE-2023-32315 KEV 【KEV】Ignite realtime ignite-realtime に パストラバーサル (CVE-2023-32315)
CVE-2020-26037 path-traversal に パストラバーサル (CVE-2020-26037)
CVE-2023-37646 path-traversal に パストラバーサル (CVE-2023-37646)
CVE-2023-38956 path-traversal に パストラバーサル (CVE-2023-38956)
CVE-2023-35081 KEV 【KEV】Ivanti endpoint-manager-mobile-epmm に パストラバーサル (CVE-2023-35081)
CVE-2020-22623 path-traversal に パストラバーサル (CVE-2020-22623)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →