Het CISA en de FBI hebben softwarebedrijven opgeroepen om hun producten te controleren op de aanwezigheid van path traversal.
Aanvallers kunnen door het wijzigen van gebruikersinvoer zich toegang verschaffen tot directories en bestanden waar ze geen toegang tot zouden mogen hebben. De Amerikaanse autoriteiten verwijzen naar twee recente path traversal-lekken in producten van Cisco en ConnectWise ScreenConnect. Deze kwetsbaarheden zijn gebruikt bij aanvallen tegen organisaties in vitale sectoren.
“Maatregelen om path traversal te voorkomen zijn bekend, toch blijven aanvallers misbruik van deze beveiligingslekken maken, die gevolgen hebben gehad voor de bedrijfsvoering van vitale diensten, waaronder ziekenhuizen en onderwijsinstellingen”, aldus het CISA en de FBI. In de oproep staan ook adviezen hoe path traversals te voorkomen zijn. Het CISA en de FBI riepen recentelijk ook op om SQL-injecties tegen te gaan. Net als path traversal staan deze in de top 25 van MITRE van gevaarlijkste beveiligingslekken.
