CWE-36 绝对路径遍历 类弱点 106 条 CVE 漏洞汇总,含 AI 中文分析。
CWE-36绝对路径遍历属于文件访问控制漏洞。当软件利用外部输入构建受限目录内的文件路径时,若未正确过滤绝对路径序列(如“/abs/path”),攻击者即可绕过限制,访问受限目录外的敏感文件或系统资源。开发者应严格验证输入,禁止使用绝对路径,并采用白名单机制或规范化路径处理,确保最终解析路径始终位于预期的安全沙箱内。
String filename = System.getProperty("com.domain.application.dictionaryFile"); File dictionaryFile = new File(filename);import os import sys def main(): filename = sys.argv[1] path = os.path.join(os.getcwd(), filename) try: with open(path, 'r') as f: file_data = f.read() except FileNotFoundError as e: print("Error - file not found") main()import os import sys def main(): filename = sys.argv[1] path = os.path.normpath(f"{os.getcwd()}{os.sep}{filename}") if path.startswith("/home/cwe/documents/"): try: with open(path, 'r') as f: file_data = f.read() except FileNotFoundError as e: print("Error - file not found") main()CWE-36(绝对路径遍历) 是常见的弱点类别,本平台收录该类弱点关联的 106 条 CVE 漏洞。