Cwe 78

🧬 CWE Liées 120
slug: cwe-78

Explication

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 Exemple
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 797

ID Titre
CVE-2017-1000116 Injection de commande OS dans mercurial (CVE-2017-1000116)
CVE-2017-11322 Injection de commande OS dans ucopia (CVE-2017-11322)
CVE-2017-11321 Injection de commande OS dans ucopia (CVE-2017-11321)
CVE-2017-14867 Injection de commande OS dans git-scm (CVE-2017-14867)
CVE-2017-14001 Injection de commande OS dans digium (CVE-2017-14001)
CVE-2017-14705 Injection de commande OS dans denyall (CVE-2017-14705)
CVE-2017-11395 Injection de commande OS dans trendmicro (CVE-2017-11395)
CVE-2015-3431 Injection de commande OS dans pydio (CVE-2015-3431)
CVE-2017-14500 Injection de commande OS dans cpp (CVE-2017-14500)
CVE-2017-9328 Injection de commande OS dans terra-master (CVE-2017-9328)
CVE-2017-10813 Injection de commande OS dans corega (CVE-2017-10813)
CVE-2017-14429 Injection de commande OS dans dlink (CVE-2017-14429)
CVE-2017-14405 Injection de commande OS dans eyesofnetwork (CVE-2017-14405)
CVE-2017-6796 Injection de commande OS dans cisco (CVE-2017-6796)
CVE-2017-13713 Injection de commande OS dans twsz (CVE-2017-13713)
CVE-2017-14135 Injection de commande OS dans dreambox (CVE-2017-14135)
CVE-2017-14127 Injection de commande OS dans technicolor (CVE-2017-14127)
CVE-2017-14118 Injection de commande OS dans eyesofnetwork (CVE-2017-14118)
CVE-2017-14119 Injection de commande OS dans eyesofnetwork (CVE-2017-14119)
CVE-2017-14100 Injection de commande OS dans digium (CVE-2017-14100)
CVE-2015-5958 phpFileManager 0.9.8 allows remote attackers to execute arbitrary commands via a crafted URL.
CVE-2017-10951 Injection de commande OS dans foxitsoftware (CVE-2017-10951)
CVE-2017-10832 Injection de commande OS dans nippon-antenna (CVE-2017-10832)
CVE-2016-0634 Injection de commande OS dans gnu (CVE-2016-0634)
CVE-2017-11366 Injection de commande OS dans codiad (CVE-2017-11366)
CVE-2017-10811 Injection de commande OS dans buffalo (CVE-2017-10811)
CVE-2017-6710 Injection de commande OS dans cisco (CVE-2017-6710)
CVE-2017-11150 Injection de commande OS dans synology (CVE-2017-11150)
CVE-2017-12581 Injection de commande OS dans electron (CVE-2017-12581)
CVE-2016-7844 Injection de commande OS dans gigaccsecure (CVE-2016-7844)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →