Cwe 78

🧬 CWE Related 120

slug: cwe-78

Explanation

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。

📌 Example

Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔗 Related links

MITRE CWE-78 公式ページ ↗

🔖 Related tags

Cwe 20125 Cwe 787105 Cwe 41699 Cwe 2296 Cwe 11990 Cwe 9484 Cwe 50270 Cwe 7966 Cwe 8954 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 Vulnerabilities tagged with this 125

ID	Title	Severity	Detected
CVE-2020-16846 KEV	[KEV] OS Command Injection in Saltstack salt (CVE-2020-16846)	High	4 years ago
CVE-2020-10987 KEV	[KEV] OS Command Injection in Tenda ac1900-router-ac15-model (CVE-2020-10987)	High	4 years ago
CVE-2018-14558 KEV	[KEV] OS Command Injection in Tenda ac7 (CVE-2018-14558)	High	4 years ago
CVE-2020-4006 KEV	[KEV] OS Command Injection in Vmware multiple-products (CVE-2020-4006)	High	4 years ago
CVE-2021-27561 KEV	[KEV] OS Command Injection in Yealink device-management (CVE-2021-27561)	High	4 years ago

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →