Cwe 78

🧬 CWE Liées 120
slug: cwe-78

Explication

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 Exemple
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 797

ID Titre
CVE-2020-8515 KEV [KEV] Injection de commande OS dans Draytek multiple-vigor-routers (CVE-2020-8515)
CVE-2020-4428 KEV [KEV] Injection de commande OS dans Ibm data-risk-manager (CVE-2020-4428)
CVE-2021-22502 KEV [KEV] Vulnérabilité dans Micro focus micro-focus (CVE-2021-22502)
CVE-2019-15949 KEV [KEV] Injection de commande OS dans nagios (CVE-2019-15949)
CVE-2019-19356 KEV [KEV] Injection de commande OS dans Netis wf2419-devices (CVE-2019-19356)
CVE-2019-11539 KEV [KEV] Injection de commande OS dans Ivanti pulse-connect-secure-and-pulse-policy-secure (CVE-2019-11539)
CVE-2020-10221 KEV [KEV] Injection de commande OS dans rconfig (CVE-2020-10221)
CVE-2020-16846 KEV [KEV] Injection de commande OS dans Saltstack salt (CVE-2020-16846)
CVE-2020-10987 KEV [KEV] Injection de commande OS dans Tenda ac1900-router-ac15-model (CVE-2020-10987)
CVE-2018-14558 KEV [KEV] Injection de commande OS dans Tenda ac7 (CVE-2018-14558)
CVE-2020-4006 KEV [KEV] Injection de commande OS dans Vmware multiple-products (CVE-2020-4006)
CVE-2021-27561 KEV [KEV] Injection de commande OS dans Yealink device-management (CVE-2021-27561)
CVE-2020-27575 Injection de commande OS dans maxum (CVE-2020-27575)
CVE-2018-6926 Injection de commande OS dans misp-project (CVE-2018-6926)
CVE-2014-8389 Injection de commande OS dans airlive (CVE-2014-8389)
CVE-2017-17888 Injection de commande OS dans hoytech (CVE-2017-17888)
CVE-2017-17411 Injection de commande OS dans linksys (CVE-2017-17411)
CVE-2017-5255 Injection de commande OS dans cambiumnetworks (CVE-2017-5255)
CVE-2017-15049 Injection de commande OS dans zoom (CVE-2017-15049)
CVE-2017-17757 Injection de commande OS dans tp-link (CVE-2017-17757)
CVE-2017-17758 Injection de commande OS dans tp-link (CVE-2017-17758)
CVE-2017-17105 Injection de commande OS dans zivif (CVE-2017-17105)
CVE-2017-15103 Injection de commande OS dans c (CVE-2017-15103)
CVE-2017-10904 Injection de commande OS dans qt (CVE-2017-10904)
CVE-2017-17405 Injection de commande OS dans ruby-lang (CVE-2017-17405)
CVE-2017-16921 Injection de commande OS dans otrs (CVE-2017-16921)
CVE-2017-17458 Injection de commande OS dans mercurial (CVE-2017-17458)
CVE-2017-17055 Injection de commande OS dans articatech (CVE-2017-17055)
CVE-2016-1253 Injection de commande OS dans debian (CVE-2016-1253)
CVE-2017-10902 Injection de commande OS dans princeton (CVE-2017-10902)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →