Cwe 22

CWE-22: パストラバーサル 🧬 CWE 関連 96

slug: cwe-22

解説

CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。

📌 具体例

CVE-2024-57726 (SimpleHelp): zipファイル展開時のZip Slip攻撃で、サーバー上の任意の場所にファイル書き込みされる脆弱性。CISA KEV入り。

🔗 関連リンク

MITRE CWE-22 公式ページ ↗

🔖 関連タグ

CWE-20: 入力検証の不備125 CWE-78: OSコマンドインジェクション120 CWE-787: 境界外書き込み105 CWE-416: 解放後使用 (Use-After-Free)99 CWE-119: メモリの境界外操作90 CWE-94: コードインジェクション84 CWE-502: 安全でないデシリアライゼーション70 CWE-79: クロスサイトスクリプティング (XSS)66 CWE-89: SQLインジェクション54 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 このタグに関連する脆弱性 98

ID	タイトル	重要度	検知
CVE-2020-11652 KEV	【KEV】Saltstack salt にパストラバーサル (CVE-2020-11652)	High	4年前
CVE-2018-2380 KEV	【KEV】Sap customer-relationship-management-crm にパストラバーサル (CVE-2018-2380)	High	4年前
CVE-2016-3976 KEV	【KEV】Sap netweaver にパストラバーサル (CVE-2016-3976)	High	4年前
CVE-2021-20023 KEV	【KEV】sonicwall にパストラバーサル (CVE-2021-20023)	High	4年前
CVE-2019-18187 KEV	【KEV】Trend micro trend-micro にパストラバーサル (CVE-2019-18187)	High	4年前
CVE-2021-36741 KEV	【KEV】Trend micro trend-micro にパストラバーサル (CVE-2021-36741)	High	4年前
CVE-2019-20085 KEV	【KEV】Tvt nvms-1000 にパストラバーサル (CVE-2019-20085)	High	4年前
CVE-2020-11738 KEV	【KEV】Wordpress snap-creek-duplicator-plugin にパストラバーサル (CVE-2020-11738)	High	4年前

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →