CWE-425 Base Incompleto

Direct Request ('Forced Browsing')

This vulnerability occurs when a web application fails to verify user permissions for every protected page, file, or API endpoint, allowing attackers to access them directly.

Definición

What is CWE-425?

This vulnerability occurs when a web application fails to verify user permissions for every protected page, file, or API endpoint, allowing attackers to access them directly.
Direct Request vulnerabilities happen because developers often assume users will only navigate through the intended application flow, like clicking buttons in a set sequence. They place authorization checks only at those expected entry points, forgetting that a user can simply type or forge a request to any URL or endpoint the server knows. This creates an insecure direct object reference (IDOR) risk, where attackers can 'force browse' by guessing or discovering hidden paths to administrative panels, configuration files, user data, or backend scripts. To prevent this, every single restricted resource must independently validate that the current session has explicit permission to access it, regardless of how the request was made.
Impacto en el mundo real

Real-world CVEs caused by CWE-425

  • CVE-2022-29238

    Access-control setting in web-based document collaboration tool is not properly implemented by the code, which prevents listing hidden directories but does not prevent direct requests to files in those directories.

  • CVE-2022-23607

    Python-based HTTP library did not scope cookies to a particular domain such that "supercookies" could be sent to any domain on redirect.

  • CVE-2004-2144

    Bypass authentication via direct request.

  • CVE-2005-1892

    Infinite loop or infoleak triggered by direct requests.

  • CVE-2004-2257

    Bypass auth/auth via direct request.

  • CVE-2005-1688

    Direct request leads to infoleak by error.

  • CVE-2005-1697

    Direct request leads to infoleak by error.

  • CVE-2005-1698

    Direct request leads to infoleak by error.

Cómo lo explotan los atacantes

Ruta del atacante paso a paso

  1. 1

    Identifica una ruta de código que maneje entrada no confiable sin validación.

  2. 2

    Crea un payload que ejercite el comportamiento inseguro — inyección, traversal, overflow o abuso de lógica.

  3. 3

    Envía el payload a través de una solicitud normal y observa la reacción de la aplicación.

  4. 4

    Itera hasta que la respuesta filtre datos, ejecute código del atacante o escale privilegios.

Ejemplo de código vulnerable

Vulnerable JSP

If forced browsing is possible, an attacker may be able to directly access a sensitive page by entering a URL similar to the following.

Vulnerable JSP 
http://somesite.com/someapplication/admin.jsp
Payload del atacante

If forced browsing is possible, an attacker may be able to directly access a sensitive page by entering a URL similar to the following.

Payload del atacante JSP 
http://somesite.com/someapplication/admin.jsp
Ejemplo de código seguro

Secure pseudo

Seguro pseudo 
// Validate, sanitize, or use a safe API before reaching the sink.
function handleRequest(input) {
  const safe = validateAndEscape(input);
  return executeWithGuards(safe);
}
What changed: the unsafe sink is replaced (or the input is validated/escaped) so the same payload no longer triggers the weakness.
Lista de prevención

How to prevent CWE-425

  • Architecture and Design / Operation Apply appropriate access control authorizations for each access to all restricted URLs, scripts or files.
  • Architecture and Design Consider using MVC based frameworks such as Struts.
Señales de detección

How to detect CWE-425

SAST High

Ejecuta análisis estático (SAST) sobre el código buscando el patrón inseguro en el flujo de datos.

DAST Moderate

Ejecuta pruebas dinámicas de seguridad de aplicaciones (DAST) contra el endpoint en vivo.

Runtime Moderate

Vigila los logs en tiempo de ejecución para detectar trazas de excepción inusuales, entradas malformadas o intentos de bypass de autorización.

Code review Moderate

Revisión de código: marca cualquier código nuevo que maneje entrada desde esta superficie sin usar los helpers validados del framework.

Auto-corrección de Plexicus

Plexicus detecta automáticamente CWE-425 y abre un PR de corrección en menos de 60 segundos.

Codex Remedium escanea cada commit, identifica esta debilidad concreta y entrega un pull request listo para revisión con el parche. Sin tickets. Sin traspasos.

Solicitar demo Probar Plexicus gratis
Preguntas frecuentes

Frequently asked questions

¿Qué es CWE-425?

This vulnerability occurs when a web application fails to verify user permissions for every protected page, file, or API endpoint, allowing attackers to access them directly.

¿Qué gravedad tiene CWE-425?

MITRE no ha publicado una calificación de probabilidad de explotación para esta debilidad. Trátala como de impacto medio hasta que tu modelo de amenazas demuestre lo contrario.

¿Qué lenguajes o plataformas se ven afectados por CWE-425?

MITRE lists the following affected platforms: Web Based.

¿Cómo puedo prevenir CWE-425?

Apply appropriate access control authorizations for each access to all restricted URLs, scripts or files. Consider using MVC based frameworks such as Struts.

¿Cómo detecta y corrige Plexicus CWE-425?

El motor SAST de Plexicus detecta la firma de flujo de datos para CWE-425 en cada commit. Cuando hay coincidencia, nuestro agente Codex Remedium abre un PR de corrección con el código corregido, las pruebas y un resumen de una línea para el revisor.

¿Dónde puedo aprender más sobre CWE-425?

MITRE publica la definición canónica en https://cwe.mitre.org/data/definitions/425.html. También puedes consultar la documentación de OWASP y NIST para guías relacionadas.

Debilidades relacionadas

Weaknesses related to CWE-425

CWE-862 Padre

Missing Authorization

This vulnerability occurs when an application fails to verify whether a user has permission to access specific data or execute certain…

CWE-1314 Hermano

Missing Write Protection for Parametric Data Values

This vulnerability occurs when a hardware device fails to protect the scaling parameters used to convert raw sensor readings. Untrusted…

CWE-638 Hermano

Not Using Complete Mediation

This vulnerability occurs when software fails to verify access permissions every single time a user or process tries to use a resource.…

CWE-939 Hermano

Improper Authorization in Handler for Custom URL Scheme

This vulnerability occurs when an app implements a custom URL scheme handler but fails to properly verify which other apps or sources are…

CWE-471 Puede preceder

Modification of Assumed-Immutable Data (MAID)

This vulnerability occurs when an application fails to protect data it assumes cannot be changed, allowing an attacker to alter it.

CWE-98 Puede preceder

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion')

This vulnerability occurs when a PHP application uses unvalidated or insufficiently restricted user input directly within file inclusion…

Recursos

Further reading

Listo cuando tú lo estés

Deja de pagar por desarrollador.
Empieza a cerrar el bucle.

Plexicus es el ASPM nativo de IA que escanea, filtra, corrige, pentestea y explica — de forma autónoma. Desarrolladores ilimitados, repos ilimitados, acciones de IA de uso justo. Nivel gratuito real, €269/mo anual cuando estés listo.

Comenzar gratis Reservar una demo