Несанированный аргумент команды имеет годные для использования уязвимости
Небезопасный вызов системной функции происходит, когда вы используете функцию, которая вызывает заданный реализацией командный процессор. Эти функции включают:
Стандартная функция system()
C.
POSIX функция popen()
.
Windows®
_popen()
и функции _wpopen()
.
Если аргумент функции, которая вызывает командный процессор, не санирован, он может вызвать годные для использования уязвимости. Атакующий может выполнить произвольные команды или считать и изменить данные где угодно по системе.
Не используйте system
- функция семейства, чтобы вызвать командный процессор. Вместо этого используйте более безопасные функции, такие как POSIX execve()
и WinAPI CreateProcess()
.
Группа: безопасность |
Язык: C | C++ |
Значение по умолчанию: 'off' |
Синтаксис командной строки:
UNSAFE_SYSTEM_CALL
|
Влияние: высоко |
ID CWE: 78, 88 |
Command executed from externally controlled path
| Execution of externally controlled command
| Find defects (-checkers)