Несанированный аргумент команды имеет годные для использования уязвимости
Небезопасный вызов системной функции происходит, когда вы используете функцию, которая вызывает заданный реализацией командный процессор. Эти функции включают:
Стандартный system()
C функция.
POSIX popen()
функция.
Windows®
_popen()
и _wpopen()
функции.
Если аргумент функции, которая вызывает командный процессор, не санирован, он может вызвать годные для использования уязвимости. Атакующий может выполнить произвольные команды или считать и изменить данные где угодно по системе.
Не используйте system
- функция семейства, чтобы вызвать командный процессор. Вместо этого используйте более безопасные функции, такие как POSIX execve()
и WinAPI CreateProcess()
.
Группа: безопасность |
Язык: C | C++ |
Значение по умолчанию: 'off' |
Синтаксис командной строки:
UNSAFE_SYSTEM_CALL
|
Удар: высоко |
ID CWE: 78, 88 |
Command executed from externally controlled path
| Execution of externally controlled command
| Find defects (-checkers)