CWE-428

Unquoted Search Path or Element

AI Translation Available

The product uses a search path that contains an unquoted element, in which the element contains whitespace or other separators. This can cause the product to access resources in a parent path.

Status

draft

Abstraction

base

Affected Platforms

Windows NT macOS

Extended Description

AI Translation

If a malicious individual has access to the file system, it is possible to elevate privileges by inserting such a file as 'C:\Program.exe' to be run by a privileged program making use of WinExec.

Technical Details

AI Translation

Common Consequences

confidentiality integrity availability

Impacts

execute unauthorized code or commands

Potential Mitigations

Phases:

implementation

Descriptions:

• Properly quote the full search path before executing a program on the system.

• Inputs should be decoded and canonicalized to the application's current internal representation before being validated (CWE-180). Make sure that the application does not decode the same input twice (CWE-174). Such errors could be used to bypass allowlist validation schemes by introducing dangerous inputs after they have been checked.

• Assume all input is malicious. Use an "accept known good" input validation strategy, i.e., use a list of acceptable inputs that strictly conform to specifications. Reject any input that does not strictly conform to specifications, or transform it into something that does. When performing input validation, consider all potentially relevant properties, including length, type of input, the full range of acceptable values, missing or extra inputs, syntax, consistency across related fields, and conformance to business rules. As an example of business rule logic, "boat" may be syntactically valid because it only contains alphanumeric characters, but it is not valid if the input is only expected to contain colors such as "red" or "blue." Do not rely exclusively on looking for malicious or malformed inputs. This is likely to miss at least one undesirable input, especially if the code's environment changes. This can give attackers enough room to bypass the intended validation. However, denylists can be useful for detecting potential attacks or determining which inputs are so malformed that they should be rejected outright.

Functional Areas

program invocation

AI Generated Translation

Common Consequences

riservatezza integrità disponibilità

Impacts

eseguire codice o comandi non autorizzati

Potential Mitigations

Phases:

implementazione

Descriptions:

• Quote correttamente il percorso completo di ricerca prima di eseguire un programma sul sistema.

• Gli input devono essere decodificati e canonicalizzati nella rappresentazione interna corrente dell'applicazione prima di essere convalidati (CWE-180). Assicurarsi che l'applicazione non decodifichi lo stesso input due volte (CWE-174). Questi errori potrebbero essere utilizzati per aggirare i meccanismi di validazione basati su allowlist introducendo input pericolosi dopo che sono stati verificati.

• Assumi che tutti gli input siano dannosi. Utilizza una strategia di convalida degli input "accetta solo quelli noti come buoni", ovvero utilizza una lista di input accettabili che conformano strettamente alle specifiche. Rifiuta qualsiasi input che non rispetti rigorosamente le specifiche, o trasformalo in qualcosa che lo faccia. Quando esegui la convalida degli input, considera tutte le proprietà potenzialmente rilevanti, inclusi lunghezza, tipo di input, l'intera gamma di valori accettabili, input mancanti o in eccesso, sintassi, coerenza tra campi correlati e conformità alle regole di business. Come esempio di logica di regole di business, "boat" può essere sintatticamente valido perché contiene solo caratteri alfanumerici, ma non è valido se l'input è previsto per contenere solo colori come "red" o "blue". Non fare affidamento esclusivamente sulla ricerca di input dannosi o malformati. Questo potrebbe non individuare almeno un input indesiderato, specialmente se l'ambiente del codice cambia. Questo può dare agli attaccanti abbastanza spazio per aggirare la validazione prevista. Tuttavia, le liste di esclusione (denylists) possono essere utili per rilevare potenziali attacchi o determinare quali input sono così malformati da dover essere rifiutati immediatamente.

Functional Areas

invocazione del programma

CWE-428

Common Consequences

Impacts

Potential Mitigations

Functional Areas

Common Consequences

Impacts

Potential Mitigations

Functional Areas

Iscriviti alla newsletter