Cwe 22

CWE-22: パストラバーサル 🧬 CWE 関連 96

slug: cwe-22

解説

CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。

📌 具体例

CVE-2024-57726 (SimpleHelp): zipファイル展開時のZip Slip攻撃で、サーバー上の任意の場所にファイル書き込みされる脆弱性。CISA KEV入り。

🔗 関連リンク

MITRE CWE-22 公式ページ ↗

🔖 関連タグ

CWE-20: 入力検証の不備125 CWE-78: OSコマンドインジェクション120 CWE-787: 境界外書き込み105 CWE-416: 解放後使用 (Use-After-Free)99 CWE-119: メモリの境界外操作90 CWE-94: コードインジェクション84 CWE-502: 安全でないデシリアライゼーション70 CWE-79: クロスサイトスクリプティング (XSS)66 CWE-89: SQLインジェクション54 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 このタグに関連する脆弱性 98

ID	タイトル	重要度	検知
CVE-2022-26352 KEV	【KEV】dotcms にパストラバーサル (CVE-2022-26352)	High	3年前
CVE-2020-36193 KEV	【KEV】Pear archive-tar にパストラバーサル (CVE-2020-36193)	High	3年前
CVE-2022-27925 KEV	【KEV】Synacor zimbra-collaboration-suite-zcs にパストラバーサル (CVE-2022-27925)	High	3年前
CVE-2022-30333 KEV	【KEV】Rarlab unrar にパストラバーサル (CVE-2022-30333)	High	3年前
CVE-2019-7195 KEV	【KEV】Qnap photo-station にパストラバーサル (CVE-2019-7195)	High	3年前
CVE-2019-7194 KEV	【KEV】Qnap photo-station にパストラバーサル (CVE-2019-7194)	High	3年前
CVE-2015-0016 KEV	【KEV】Microsoft windows にパストラバーサル (CVE-2015-0016)	High	3年前
CVE-2022-29464 KEV	【KEV】Wso2 multiple-products にパストラバーサル (CVE-2022-29464)	High	4年前
CVE-2014-0780 KEV	【KEV】Indusoft web-studio にパストラバーサル (CVE-2014-0780)	High	4年前
CVE-2019-7483 KEV	【KEV】Sonicwall sma100 にパストラバーサル (CVE-2019-7483)	High	4年前
CVE-2014-0130 KEV	【KEV】rails にパストラバーサル (CVE-2014-0130)	High	4年前
CVE-2020-1631 KEV	【KEV】Juniper junos-os にパストラバーサル (CVE-2020-1631)	High	4年前
CVE-2016-0752 KEV	【KEV】rails にパストラバーサル (CVE-2016-0752)	High	4年前
CVE-2015-4068 KEV	【KEV】Arcserve unified-data-protection-udp にパストラバーサル (CVE-2015-4068)	High	4年前
CVE-2015-3035 KEV	【KEV】Tp-link multiple-archer-devices にパストラバーサル (CVE-2015-3035)	High	4年前
CVE-2015-0666 KEV	【KEV】Cisco prime-data-center-network-manager-dcnm にパストラバーサル (CVE-2015-0666)	High	4年前
CVE-2010-2861 KEV	【KEV】Adobe coldfusion にパストラバーサル (CVE-2010-2861)	High	4年前
CVE-2020-14864 KEV	【KEV】Oracle intelligence-enterprise-edition にパストラバーサル (CVE-2020-14864)	High	4年前
CVE-2018-14847 KEV	【KEV】Mikrotik routeros にパストラバーサル (CVE-2018-14847)	High	4年前
CVE-2021-41773 KEV	【KEV】Apache http-server にパストラバーサル (CVE-2021-41773)	High	4年前
CVE-2021-42013 KEV	【KEV】Apache http-server にパストラバーサル (CVE-2021-42013)	High	4年前
CVE-2021-20090 KEV	【KEV】Arcadyan buffalo-firmware にパストラバーサル (CVE-2021-20090)	High	4年前
CVE-2019-3398 KEV	【KEV】Atlassian confluence-server-and-data-center にパストラバーサル (CVE-2019-3398)	High	4年前
CVE-2019-3396 KEV	【KEV】Atlassian confluence-server-and-data-server にパストラバーサル (CVE-2019-3396)	High	4年前
CVE-2019-19781 KEV	【KEV】Citrix application-delivery-controller-adc にパストラバーサル (CVE-2019-19781)	High	4年前
CVE-2020-5902 KEV	【KEV】F5 big-ip にパストラバーサル (CVE-2020-5902)	High	4年前
CVE-2018-13379 KEV	【KEV】Fortinet fortios にパストラバーサル (CVE-2018-13379)	High	4年前
CVE-2020-4430 KEV	【KEV】Ibm data-risk-manager にパストラバーサル (CVE-2020-4430)	High	4年前
CVE-2021-40444 KEV	【KEV】Microsoft mshtml にパストラバーサル (CVE-2021-40444)	High	4年前
CVE-2019-11510 KEV	【KEV】Ivanti pulse-connect-secure にパストラバーサル (CVE-2019-11510)	High	4年前

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →