Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120
slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 具体例
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 797

ID タイトル
CVE-2025-56590 apryse に OSコマンドインジェクション (CVE-2025-56590)
CVE-2025-69262 pnpm is a package manager. Versions 6.25.0 through 10.26.2 have a Command Injection vulnerability when using environment variable substitution in .npmrc configuration files with tokenHelper settings....
CVE-2025-65882 c に OSコマンドインジェクション (CVE-2025-65882)
CVE-2025-53679 fortinet に OSコマンドインジェクション (CVE-2025-53679)
CVE-2025-66644 KEV 【KEV】Array networks array-networks に OSコマンドインジェクション (CVE-2025-66644)
CVE-2025-66572 CVE-2025-66572 に OSコマンドインジェクション (CVE-2025-66572)
CVE-2025-29269 allnet に OSコマンドインジェクション (CVE-2025-29269)
CVE-2025-58034 KEV 【KEV】Fortinet fortiweb に OSコマンドインジェクション (CVE-2025-58034)
CVE-2025-10230 CVE-2025-10230 に OSコマンドインジェクション (CVE-2025-10230)
CVE-2025-48703 KEV 【KEV】Cwp control-web-panel に OSコマンドインジェクション (CVE-2025-48703)
CVE-2025-57457 CVE-2025-57457 に OSコマンドインジェクション (CVE-2025-57457)
CVE-2025-60962 endruntechnologies に OSコマンドインジェクション (CVE-2025-60962)
CVE-2025-60963 dos に OSコマンドインジェクション (CVE-2025-60963)
CVE-2025-60964 dos に OSコマンドインジェクション (CVE-2025-60964)
CVE-2025-60965 dos に OSコマンドインジェクション (CVE-2025-60965)
CVE-2025-60957 dos に OSコマンドインジェクション (CVE-2025-60957)
CVE-2025-60959 endruntechnologies に OSコマンドインジェクション (CVE-2025-60959)
CVE-2025-60960 dos に OSコマンドインジェクション (CVE-2025-60960)
CVE-2025-60787 motioneye-project の脆弱性 (CVE-2025-60787)
CVE-2014-6278 KEV 【KEV】gnu に OSコマンドインジェクション (CVE-2014-6278)
CVE-2025-9588 ironmountain に OSコマンドインジェクション (CVE-2025-9588)
CVE-2025-34186 ilevia に OSコマンドインジェクション (CVE-2025-34186)
CVE-2025-9377 KEV 【KEV】Tp-link multiple-routers に OSコマンドインジェクション (CVE-2025-9377)
CVE-2024-46484 trendnet に OSコマンドインジェクション (CVE-2024-46484)
CVE-2025-54948 KEV 【KEV】Trend micro trend-micro に OSコマンドインジェクション (CVE-2025-54948)
CVE-2025-51390 totolink に OSコマンドインジェクション (CVE-2025-51390)
CVE-2013-10050 dlink に OSコマンドインジェクション (CVE-2013-10050)
CVE-2025-29534 CVE-2025-29534 に OSコマンドインジェクション (CVE-2025-29534)
CVE-2025-5243 CVE-2025-5243 に OSコマンドインジェクション (CVE-2025-5243)
CVE-2023-39780 KEV 【KEV】Asus rt-ax55-routers に OSコマンドインジェクション (CVE-2023-39780)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →