Cwe 78

🧬 CWE Liées 120
slug: cwe-78

Explication

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 Exemple
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 796

ID Titre
CVE-2019-15107 KEV [KEV] Injection de commande OS dans webmin (CVE-2019-15107)
CVE-2019-12991 KEV [KEV] Injection de commande OS dans Citrix sd-wan-and-netscaler (CVE-2019-12991)
CVE-2018-6961 KEV [KEV] Injection de commande OS dans Vmware sd-wan-edge (CVE-2018-6961)
CVE-2018-14839 KEV [KEV] Injection de commande OS dans Lg n1a1-nas (CVE-2018-14839)
CVE-2018-11138 KEV [KEV] Injection de commande OS dans Quest kace-system-management-appliance (CVE-2018-11138)
CVE-2017-6334 KEV [KEV] Injection de commande OS dans Netgear dgn2200-devices (CVE-2017-6334)
CVE-2016-11021 KEV [KEV] Injection de commande OS dans D-link dcs-930l-devices (CVE-2016-11021)
CVE-2017-6077 KEV [KEV] Injection de commande OS dans Netgear wireless-router-dgn2200 (CVE-2017-6077)
CVE-2022-25060 Injection de commande OS dans tp-link (CVE-2022-25060)
CVE-2022-25064 Injection de commande OS dans tp-link (CVE-2022-25064)
CVE-2022-25061 Injection de commande OS dans tp-link (CVE-2022-25061)
CVE-2014-6271 KEV [KEV] Injection de commande OS dans Gnu bourne-again-shell-bash (CVE-2014-6271)
CVE-2014-7169 KEV [KEV] Injection de commande OS dans Gnu bourne-again-shell-bash (CVE-2014-7169)
CVE-2021-25296 KEV [KEV] Injection de commande OS dans nagios (CVE-2021-25296)
CVE-2021-25297 KEV [KEV] Injection de commande OS dans nagios (CVE-2021-25297)
CVE-2021-25298 KEV [KEV] Injection de commande OS dans nagios (CVE-2021-25298)
CVE-2021-21315 KEV [KEV] Injection de commande OS dans Npm package npm-package (CVE-2021-21315)
CVE-2020-11978 KEV [KEV] Injection de commande OS dans Apache airflow (CVE-2020-11978)
CVE-2021-36260 KEV [KEV] Injection de commande OS dans Hikvision security-cameras-web-server (CVE-2021-36260)
CVE-2019-10149 KEV [KEV] Injection de commande OS dans Exim mail-transfer-agent-mta (CVE-2019-10149)
CVE-2021-42912 Injection de commande OS dans fiberhome (CVE-2021-42912)
CVE-2021-35394 KEV [KEV] Injection de commande OS dans Realtek jungle-software-development-kit-sdk (CVE-2021-35394)
CVE-2020-8816 KEV [KEV] Injection de commande OS dans Pi-hole adminlte (CVE-2020-8816)
CVE-2020-25367 Injection de commande dans dlink (CVE-2020-25367)
CVE-2021-27104 KEV [KEV] Vulnérabilité dans Accellion fta (CVE-2021-27104)
CVE-2021-27102 KEV [KEV] Vulnérabilité dans Accellion fta (CVE-2021-27102)
CVE-2021-1497 KEV [KEV] Injection de commande OS dans Cisco hyperflex-hx (CVE-2021-1497)
CVE-2021-1498 KEV [KEV] Injection de commande OS dans Cisco hyperflex-hx (CVE-2021-1498)
CVE-2020-25506 KEV [KEV] Injection de commande OS dans D-link dns-320-device (CVE-2020-25506)
CVE-2020-8515 KEV [KEV] Injection de commande OS dans Draytek multiple-vigor-routers (CVE-2020-8515)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →