# Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') (CWE-95)

The product receives input from an upstream component, but it does not neutralize code syntax before using the input in a dynamic evaluation call.

- Prevalence: Wysoka Brak reguł Shoulder
- Impact: Wysoki OWASP Top 10 #3
- Prevention: Zobacz MITRE Odnośnik zewnętrzny

**OWASP:** Injection (A03:2021-Injection) - #3

## Description

When user input is passed to eval() or similar functions without sanitization, attackers can inject arbitrary code that will be executed with the application's privileges.

## Prevention

## Consequences

- Wykonanie nieautoryzowanego kodu
- Odczyt danych aplikacji
- Modyfikacja danych aplikacji

## Mitigations

- Unikaj używania eval() i podobnych funkcji dynamicznego wykonywania kodu
- Stosuj bezpieczniejsze alternatywy do parsowania danych, takie jak JSON.parse()
- Jeśli eval jest niezbędny, stosuj rygorystyczną walidację wejścia oraz sandbox