Cwe 22

🧬 CWE Liées 96
slug: cwe-22

Explication

CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。 ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。 対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。
📌 Exemple
CVE-2024-57726 (SimpleHelp): zipファイル展開時のZip Slip攻撃で、サーバー上の任意の場所にファイル書き込みされる脆弱性。CISA KEV入り。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 1,033

ID Titre
CVE-2024-47742 Traversée de chemin dans path-traversal (CVE-2024-47742)
CVE-2024-9675 Traversée de chemin dans buildah-project (CVE-2024-9675)
CVE-2024-46446 Traversée de chemin dans path-traversal (CVE-2024-46446)
CVE-2024-33109 Traversée de chemin dans path-traversal (CVE-2024-33109)
CVE-2024-8963 KEV [KEV] Traversée de chemin dans Ivanti cloud-services-appliance-csa (CVE-2024-8963)
CVE-2024-7609 Traversée de chemin dans path-traversal (CVE-2024-7609)
CVE-2024-6445 Traversée de chemin dans path-traversal (CVE-2024-6445)
CVE-2024-7262 KEV [KEV] Traversée de chemin dans Kingsoft wps-office (CVE-2024-7262)
CVE-2021-20124 KEV [KEV] Traversée de chemin dans Draytek vigorconnect (CVE-2021-20124)
CVE-2021-20123 KEV [KEV] Traversée de chemin dans Draytek vigorconnect (CVE-2021-20123)
CVE-2024-32113 KEV [KEV] Traversée de chemin dans Apache ofbiz (CVE-2024-32113)
CVE-2024-41628 Traversée de chemin dans path-traversal (CVE-2024-41628)
CVE-2024-28995 KEV [KEV] Traversée de chemin dans Solarwinds serv-u (CVE-2024-28995)
CVE-2024-39171 Traversée de chemin dans phpvibe (CVE-2024-39171)
CVE-2024-24398 Traversée de chemin dans path-traversal (CVE-2024-24398)
CVE-2023-47890 pyLoad 0.5.0 is vulnerable to Unrestricted File Upload.
CVE-2023-6190 Traversée de chemin dans path-traversal (CVE-2023-6190)
CVE-2023-33411 Traversée de chemin dans path-traversal (CVE-2023-33411)
CVE-2023-6118 Traversée de chemin dans path-traversal (CVE-2023-6118)
CVE-2023-47246 KEV [KEV] Traversée de chemin dans sysaid (CVE-2023-47246)
CVE-2023-42456 Traversée de chemin dans sudo-rs (CVE-2023-42456)
CVE-2023-39810 An issue in the CPIO command of Busybox v1.33.2 allows attackers to execute a directory traversal.
CVE-2023-32315 KEV [KEV] Traversée de chemin dans Ignite realtime ignite-realtime (CVE-2023-32315)
CVE-2020-26037 Traversée de chemin dans path-traversal (CVE-2020-26037)
CVE-2023-37646 Traversée de chemin dans path-traversal (CVE-2023-37646)
CVE-2023-38956 Traversée de chemin dans path-traversal (CVE-2023-38956)
CVE-2023-35081 KEV [KEV] Traversée de chemin dans Ivanti endpoint-manager-mobile-epmm (CVE-2023-35081)
CVE-2020-22623 Traversée de chemin dans path-traversal (CVE-2020-22623)
CVE-2023-35069 Traversée de chemin dans path-traversal (CVE-2023-35069)
CVE-2023-26243 Traversée de chemin dans hyundai (CVE-2023-26243)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →