Команда с относительным путем уязвима для вредоносной атаки
Выполнением двоичного файла от относительного пути может управлять внешний агент, обнаруживает вызовы внешней команды. Если вызов использует относительный путь или никакой путь, чтобы вызвать внешнюю команду, Средство поиска Ошибки отмечает вызов как дефект.
Этот дефект также находит результаты, которые находит Выполнение внешне управляемого средства проверки дефекта команды.
При помощи относительного пути или никакого пути, чтобы вызвать внешнюю команду, ваша программа использует небезопасный поисковый процесс, чтобы найти команду. Атакующий может управлять поисковым процессом и заменить намеченную команду на собственную команду.
Когда вы вызываете внешнюю команду, задаете полный путь.
Группа: безопасность |
Язык: C | C++ |
Значение по умолчанию: 'off' |
Синтаксис командной строки: RELATIVE_PATH_CMD |
Удар: носитель |
ID CWE: 114, 427 |
Command executed from externally controlled path
| Execution of externally controlled command
| Find defects (-checkers)
| Load of library from a relative path can be controlled by an external actor
| Vulnerable path manipulation