CWE-249 类漏洞列表 1

CWE：CWE-249 已弃用：常被误用：路径操纵（Path Manipulation） 英文：本条目已弃用，原因是存在名称混淆以及多种弱点的意外组合。其大部分内容已转移至 CWE-785。 本条目弃用的原因有多个。主要原因是“路径操纵”这一术语及其描述被过度重载（over-loading）。本条目的原始描述与原始《七大恶毒王国》（Seven Pernicious Kingdoms）论文中“常被误用：文件系统”（Often Misused: File System）项的描述相同。然而，《七大恶毒王国》中还有一个“路径操纵”（Path Manipulation）短语，用于指代对路径名的外部控制（CWE-73），这是符号链接跟随（symbolic link following）和路径遍历（path traversal）的一个因素，而这两者在 7PK 中均未明确提及。Fortify 使用“常被误用：路径操纵”（Often Misused: Path Manipulation）这一短语来描述更广泛范围的问题，通常涉及与缓冲区管理（buffer management）相关的问题。鉴于该术语存在多种相互冲突的用法，CWE 用户可能会错误地将其映射到本条目。弃用的第二个原因是隐含了缓冲区处理函数（buffer-handling functions）中多种弱点的组合。本条目的重点通常在于路径转换函数（path-conversion functions）及其与缓冲区溢出（buffer overflows）的关联。然而，Fortify 的 Vulncat 中的一些条目使用了“路径操纵”这一术语，但描述的是一种非溢出（non-overflow）弱点，即缓冲区不能保证包含完整的路径名，也就是说存在信息截断（information truncation）（参见类似概念的 CWE-222）。在未来的 CWE 版本中可能会为这种非溢出弱点创建新条目。