BADFUNC.PATH._EXEC :

JavaScript is not currently enabled, but is required for full CodeSonar manual search and browse functionality.

If you are viewing this file in your hub's Web GUI, enable JavaScript in your browser: you will also need it for GUI functionality.

If you opened this file directly from disk, your browser may be directly suppressing JavaScript functionality: certain browsers perform this suppression on local files (but not files delivered by web servers) for security reasons.

If you access the manual through the hub's Web GUI, the functionality will not be suppressed because the hub is a web server.
Alternatively, your browser may allow you to explicitly disable the security setting that suppresses functionality. See the CodeSonar FAQ for more information.

CodeSonar^® 9.2p0

CONFIDENTIAL

CodeSecure Inc

C and C++

Binaries

BADFUNC.PATH._EXEC : _execの使用

要旨

パスの引数を取る _exec ファミリーの関数を使用しています。これらの関数はパスの引数が安全に定義されていない場合、パスのなりすましに対して脆弱です。

プロパティ

クラス名

Use of _exec

日本語クラス名

_execの使用

クラス分類

セキュリティ (security)

ニーモニック

BADFUNC.PATH._EXEC

カテゴリー

CWE	CWE:676	Use of Potentially Dangerous Function
DISA-3r10	DISA-3r10:V-6157	The designer will ensure the application does not contain invalid URL or path references.
BSI	BSI:Exec-SearchPath-01
	BSI:Exec-SearchPath-02
OWASP-2021	OWASP-2021:A4	Insecure design
OWASP-2025	OWASP-2025:A06	Insecure Design

対応言語

C および C++ で利用可能です。

有効/無効設定

このワーニングクラスのチェックはデフォルトで無効になっています。チェックを有効にするにはプロジェクト設定ファイル（configuration file）に以下の WARNING_FILTER ルールを追加してください。

WARNING_FILTER += allow class="Use of _exec"

全ての BSI 固有の BADFUNC クラスを含む BSI 関連クラスを有効にするには、 bsi 設定プリセットを使用してください。

ワーニングを引き起こす関数

int	_execl(const char cmdname, const char arg0, ...)
int	_execle(const char cmdname, const char arg0, ...)
int	_execlp(const char cmdname, const char arg0, ...)
int	_execlpe(const char cmdname, const char arg0, ...)
int	_execv(const char cmdname, const char const *argv)
int	_execve(const char cmdname, const char const argv, const char const *envp)
int	_execvp(const char cmdname, const char const *argv)
int	_execvpe(const char cmdname, const char const argv, const char const *envp)
int	_wexecl(const wchar_t cmdname, const wchar_t arg0, ... const wchar_t *argn, NULL)
int	_wexecle(const wchar_t cmdname, const wchar_t arg0, ...)
int	_wexeclp(const wchar_t cmdname, const wchar_t arg0, ...)
int	_wexeclpe(const wchar_t cmdname, const wchar_t arg0, ...)
int	_wexecv(const wchar_t cmdname, const wchar_t const *argv)
int	_wexecve(const wchar_t cmdname, const wchar_t const argv, const wchar_t const *envp)
int	_wexecvp(const wchar_t cmdname, const wchar_t const *argv)
int	_wexecvpe(const wchar_t cmdname, const wchar_t const argv, const wchar_t const *envp)

解決法

cmdname 引数が信頼されるソースからの（ファイルの拡張子を含めた）絶対パス名である事を確認してください。

問題がないことを確認できた場合は、ワーニングの state を Suppressed （抑制）に変更して除外することができます。

BADFUNC.PATH._EXEC : _execの使用

要旨

プロパティ

ワーニングを引き起こす関数

解決法

関連のある設定ファイルパラメータ