Аргумент команды из небезопасного источника, уязвимого для инжекции команды операционной системы
Этот дефект происходит, когда команды полностью или частично создаются из внешне управляемого входа.
Атакующие могут использовать внешне управляемый вход в качестве команд операционной системы или аргументов к приложению. Атакующий мог считать или изменить уязвимые данные, может быть считан или изменен, выполнить непреднамеренный код, или получать доступ к другим аспектам программы.
Подтвердите входные параметры, чтобы позволить только предназначенные входные значения. Например, создайте белый список приемлемых входных параметров и сравните вход с этим списком.
Группа: испорченные данные |
Язык: C | C++ |
Значение по умолчанию: Off |
Синтаксис командной строки: TAINTED_EXTERNAL_CMD |
Удар: носитель |
ID CWE: 77, 78, 88, 114 |
-consider-analysis-perimeter-as-trust-boundary
| Command executed from externally controlled path
| Execution of a binary from a relative path can be controlled by an external actor
| Find defects (-checkers)
| Host change using externally controlled elements
| Library loaded from externally controlled path
| Use of externally controlled environment variable