Ejecuta análisis estático (SAST) sobre el código buscando el patrón inseguro en el flujo de datos.
Path Equivalence: Windows 8.3 Filename
This vulnerability occurs when an application's security controls successfully block access to a file's full name on Windows, but fail to protect the shorter 8.3 format version of the same filename,…
What is CWE-58?
Real-world CVEs caused by CWE-58
-
Multiple web servers allow restriction bypass using 8.3 names instead of long names
-
Source code disclosure using 8.3 file name.
-
Multi-Factor Vulnerability. Product generates temporary filenames using long filenames, which become predictable in 8.3 format.
Ruta del atacante paso a paso
- 1
Identifica una ruta de código que maneje entrada no confiable sin validación.
- 2
Crea un payload que ejercite el comportamiento inseguro — inyección, traversal, overflow o abuso de lógica.
- 3
Envía el payload a través de una solicitud normal y observa la reacción de la aplicación.
- 4
Itera hasta que la respuesta filtre datos, ejecute código del atacante o escale privilegios.
Vulnerable pseudo
MITRE no ha publicado un ejemplo de código para esta CWE. El patrón siguiente es ilustrativo — consulta Recursos para referencias canónicas.
// Example pattern — see MITRE for the canonical references.
function handleRequest(input) {
// Untrusted input flows directly into the sensitive sink.
return executeUnsafe(input);
} Secure pseudo
// Validate, sanitize, or use a safe API before reaching the sink.
function handleRequest(input) {
const safe = validateAndEscape(input);
return executeWithGuards(safe);
} How to prevent CWE-58
- System Configuration Disable Windows from supporting 8.3 filenames by editing the Windows registry. Preventing 8.3 filenames will not remove previously generated 8.3 filenames.
How to detect CWE-58
Ejecuta pruebas dinámicas de seguridad de aplicaciones (DAST) contra el endpoint en vivo.
Vigila los logs en tiempo de ejecución para detectar trazas de excepción inusuales, entradas malformadas o intentos de bypass de autorización.
Revisión de código: marca cualquier código nuevo que maneje entrada desde esta superficie sin usar los helpers validados del framework.
Plexicus detecta automáticamente CWE-58 y abre un PR de corrección en menos de 60 segundos.
Codex Remedium escanea cada commit, identifica esta debilidad concreta y entrega un pull request listo para revisión con el parche. Sin tickets. Sin traspasos.
Frequently asked questions
¿Qué es CWE-58?
This vulnerability occurs when an application's security controls successfully block access to a file's full name on Windows, but fail to protect the shorter 8.3 format version of the same filename, creating a bypassable loophole.
¿Qué gravedad tiene CWE-58?
MITRE no ha publicado una calificación de probabilidad de explotación para esta debilidad. Trátala como de impacto medio hasta que tu modelo de amenazas demuestre lo contrario.
¿Qué lenguajes o plataformas se ven afectados por CWE-58?
MITRE lists the following affected platforms: Windows.
¿Cómo puedo prevenir CWE-58?
Disable Windows from supporting 8.3 filenames by editing the Windows registry. Preventing 8.3 filenames will not remove previously generated 8.3 filenames.
¿Cómo detecta y corrige Plexicus CWE-58?
El motor SAST de Plexicus detecta la firma de flujo de datos para CWE-58 en cada commit. Cuando hay coincidencia, nuestro agente Codex Remedium abre un PR de corrección con el código corregido, las pruebas y un resumen de una línea para el revisor.
¿Dónde puedo aprender más sobre CWE-58?
MITRE publica la definición canónica en https://cwe.mitre.org/data/definitions/58.html. También puedes consultar la documentación de OWASP y NIST para guías relacionadas.
Weaknesses related to CWE-58
Improper Resolution of Path Equivalence
This vulnerability occurs when an application fails to properly handle different text representations that refer to the same file or…
Path Equivalence: 'filename.' (Trailing Dot)
This vulnerability occurs when a system accepts file or directory paths that end with a dot (like 'file.txt.' or 'folder.') without…
Path Equivalence: 'file.name' (Internal Dot)
This vulnerability occurs when an application accepts file paths containing internal dots (like 'file.ordir') without properly checking…
Path Equivalence: 'filename ' (Trailing Space)
This vulnerability occurs when an application processes file paths that end with a space character (like 'document.txt ') without properly…
Path Equivalence: ' filename' (Leading Space)
This vulnerability occurs when an application accepts file or directory paths that begin with a space character (like ' filename'),…
Path Equivalence: 'file name' (Internal Whitespace)
This vulnerability occurs when an application accepts file paths containing internal spaces (like 'file name') without proper validation.…
Path Equivalence: 'filename/' (Trailing Slash)
This vulnerability occurs when an application accepts file or directory paths that end with a slash (e.g., 'documents/') without properly…
Path Equivalence: '//multiple/leading/slash'
This vulnerability occurs when an application accepts file or directory paths containing multiple leading slashes (like…
Path Equivalence: '/multiple//internal/slash'
This vulnerability occurs when an application accepts file or directory paths containing multiple consecutive forward slashes (e.g.,…
Deja de pagar por desarrollador.
Empieza a cerrar el bucle.
Plexicus es el ASPM nativo de IA que escanea, filtra, corrige, pentestea y explica — de forma autónoma. Desarrolladores ilimitados, repos ilimitados, acciones de IA de uso justo. Nivel gratuito real, €269/mo anual cuando estés listo.