Cwe 78

🧬 CWE Liées 120
slug: cwe-78

Explication

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 Exemple
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 797

ID Titre
CVE-2022-44877 KEV [KEV] Injection de commande OS dans Cwp control-web-panel (CVE-2022-44877)
CVE-2022-36804 KEV [KEV] Injection de commande OS dans Atlassian bitbucket-server-and-data-center (CVE-2022-36804)
CVE-2022-30079 Injection de commande OS dans netgear (CVE-2022-30079)
CVE-2022-26258 KEV [KEV] Injection de commande OS dans D-link dir-820l (CVE-2022-26258)
CVE-2018-6530 KEV [KEV] Injection de commande OS dans D-link multiple-routers (CVE-2018-6530)
CVE-2022-30078 Injection de commande dans netgear (CVE-2022-30078)
CVE-2021-42232 Injection de commande OS dans tp-link (CVE-2021-42232)
CVE-2021-36667 Injection de commande OS dans druva (CVE-2021-36667)
CVE-2022-30023 Injection de commande OS dans tenda (CVE-2022-30023)
CVE-2021-42875 Injection de commande OS dans totolink (CVE-2021-42875)
CVE-2021-42872 Injection de commande OS dans totolink (CVE-2021-42872)
CVE-2020-25368 Injection de commande OS dans dlink (CVE-2020-25368)
CVE-2020-21883 Injection de commande OS dans indionetworks (CVE-2020-21883)
CVE-2021-28927 Injection de commande OS dans c (CVE-2021-28927)
CVE-2018-19949 KEV [KEV] Vulnérabilité dans Qnap network-attached-storage-nas (CVE-2018-19949)
CVE-2022-30525 KEV [KEV] Injection de commande OS dans Zyxel multiple-firewalls (CVE-2022-30525)
CVE-2018-19908 Injection de commande OS dans misp-project (CVE-2018-19908)
CVE-2022-27224 An issue was discovered in Galleon NTS-6002-GPS 4.14.103-Galleon-NTS-6002.V12 4. An authenticated...
CVE-2021-43164 Injection de commande dans ruijienetworks (CVE-2021-43164)
CVE-2019-16057 KEV [KEV] Injection de commande OS dans D-link dns-320-storage-device (CVE-2019-16057)
CVE-2020-2509 KEV [KEV] Injection de commande dans qnap (CVE-2020-2509)
CVE-2020-27373 Injection de commande OS dans drtrustusa (CVE-2020-27373)
CVE-2021-45382 KEV [KEV] Injection de commande OS dans D-link multiple-routers (CVE-2021-45382)
CVE-2018-10562 KEV [KEV] Injection de commande OS dans Dasan gigabit-passive-optical-network-gpon-routers (CVE-2018-10562)
CVE-2021-46007 Injection de commande OS dans totolink (CVE-2021-46007)
CVE-2020-9377 KEV [KEV] Injection de commande OS dans D-link dir-610-devices (CVE-2020-9377)
CVE-2020-9054 KEV [KEV] Injection de commande OS dans Zyxel multiple-network-attached-storage-nas-devices (CVE-2020-9054)
CVE-2020-7247 KEV [KEV] Vulnérabilité dans Openbsd opensmtpd (CVE-2020-7247)
CVE-2020-25223 KEV [KEV] Injection de commande OS dans Sophos sg-utm (CVE-2020-25223)
CVE-2020-1956 KEV [KEV] Injection de commande OS dans Apache kylin (CVE-2020-1956)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →