Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120
slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 具体例
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 797

ID タイトル
CVE-2026-43991 CVE-2026-43991 に OSコマンドインジェクション (CVE-2026-43991)
CVE-2026-43990 c に コマンドインジェクション (CVE-2026-43990)
CVE-2026-31226 CVE-2026-31226 に OSコマンドインジェクション (CVE-2026-31226)
CVE-2026-8051 ivanti に OSコマンドインジェクション (CVE-2026-8051)
CVE-2026-45087 github.com/hahwul/dalfox/v2 の脆弱性 (CVE-2026-45087)
CVE-2026-42290 protobufjs-cli に OSコマンドインジェクション (CVE-2026-42290)
CVE-2026-35071 dell に OSコマンドインジェクション (CVE-2026-35071)
CVE-2025-40949 siemens に OSコマンドインジェクション (CVE-2025-40949)
CVE-2025-40947 siemens に OSコマンドインジェクション (CVE-2025-40947)
CVE-2026-7256 zyxel に OSコマンドインジェクション (CVE-2026-7256)
CVE-2026-45393 Reserved. Details will be published at disclosure.
CVE-2026-45391 Reserved. Details will be published at disclosure.
CVE-2026-30635 automagik-genie に OSコマンドインジェクション (CVE-2026-30635)
CVE-2026-25244 @wdio/browserstack-service に OSコマンドインジェクション (CVE-2026-25244)
CVE-2026-7816 pgadmin4 に OSコマンドインジェクション (CVE-2026-7816)
CVE-2026-31246 gpt-pilot に OSコマンドインジェクション (CVE-2026-31246)
CVE-2026-44346 bentoml に OSコマンドインジェクション (CVE-2026-44346)
CVE-2026-44345 bentoml に OSコマンドインジェクション (CVE-2026-44345)
CVE-2026-4802 CVE-2026-4802 に OSコマンドインジェクション (CVE-2026-4802)
CVE-2026-8273 dlink に コマンドインジェクション (CVE-2026-8273)
CVE-2026-8272 dlink に コマンドインジェクション (CVE-2026-8272)
CVE-2026-8271 dlink に コマンドインジェクション (CVE-2026-8271)
CVE-2026-8265 tenda に コマンドインジェクション (CVE-2026-8265)
CVE-2026-8264 tenda に コマンドインジェクション (CVE-2026-8264)
CVE-2026-8263 tenda に コマンドインジェクション (CVE-2026-8263)
CVE-2026-8259 tenda に コマンドインジェクション (CVE-2026-8259)
CVE-2026-8235 CVE-2026-8235 に コマンドインジェクション (CVE-2026-8235)
CVE-2026-8227 wavlink に コマンドインジェクション (CVE-2026-8227)
CVE-2026-8228 wavlink に コマンドインジェクション (CVE-2026-8228)
CVE-2026-8230 wavlink に コマンドインジェクション (CVE-2026-8230)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →