Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120
slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 具体例
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 797

ID タイトル
CVE-2024-12987 KEV 【KEV】Draytek vigor-routers に OSコマンドインジェクション (CVE-2024-12987)
CVE-2024-11120 KEV 【KEV】Geovision multiple-devices に OSコマンドインジェクション (CVE-2024-11120)
CVE-2024-6047 KEV 【KEV】Geovision multiple-devices に OSコマンドインジェクション (CVE-2024-6047)
CVE-2023-44221 KEV 【KEV】Sonicwall sma100-appliances に OSコマンドインジェクション (CVE-2023-44221)
CVE-2021-20035 KEV 【KEV】Sonicwall sma100-appliances に OSコマンドインジェクション (CVE-2021-20035)
CVE-2025-1316 KEV 【KEV】Edimax ic-7100-ip-camera に OSコマンドインジェクション (CVE-2025-1316)
CVE-2025-1244 CVE-2025-1244 に OSコマンドインジェクション (CVE-2025-1244)
CVE-2024-40891 KEV 【KEV】Zyxel dsl-cpe-devices に OSコマンドインジェクション (CVE-2024-40891)
CVE-2024-40890 KEV 【KEV】Zyxel dsl-cpe-devices に OSコマンドインジェクション (CVE-2024-40890)
CVE-2018-9276 KEV 【KEV】Paessler prtg-network-monitor に OSコマンドインジェクション (CVE-2018-9276)
CVE-2024-50603 KEV 【KEV】Aviatrix controllers に OSコマンドインジェクション (CVE-2024-50603)
CVE-2024-12686 KEV 【KEV】Beyondtrust privileged-remote-access-pra-and-remote-support-rs に OSコマンドインジェクション (CVE-2024-12686)
CVE-2024-12970 CVE-2024-12970 に OSコマンドインジェクション (CVE-2024-12970)
CVE-2021-40407 KEV 【KEV】Reolink rlc-410w-ip-camera に OSコマンドインジェクション (CVE-2021-40407)
CVE-2019-11001 KEV 【KEV】Reolink multiple-ip-cameras に OSコマンドインジェクション (CVE-2019-11001)
CVE-2018-14933 KEV 【KEV】Nuuo nvrmini-devices に OSコマンドインジェクション (CVE-2018-14933)
CVE-2024-52723 totolink に OSコマンドインジェクション (CVE-2024-52723)
CVE-2024-1212 KEV 【KEV】Progress kemp-loadmaster に OSコマンドインジェクション (CVE-2024-1212)
CVE-2024-9463 KEV 【KEV】Palo alto networks palo-alto-networks に OSコマンドインジェクション (CVE-2024-9463)
CVE-2024-10035 privilege-escalation に コマンドインジェクション (CVE-2024-10035)
CVE-2024-8957 KEV 【KEV】Ptzoptics pt30x-sdindi-cameras に OSコマンドインジェクション (CVE-2024-8957)
CVE-2020-15415 KEV 【KEV】Draytek multiple-vigor-routers に OSコマンドインジェクション (CVE-2020-15415)
CVE-2023-25280 KEV 【KEV】D-link dir-820-router に OSコマンドインジェクション (CVE-2023-25280)
CVE-2024-8190 KEV 【KEV】Ivanti cloud-services-appliance に OSコマンドインジェクション (CVE-2024-8190)
CVE-2024-6917 veribase に OSコマンドインジェクション (CVE-2024-6917)
CVE-2024-38887 horizoncloud に OSコマンドインジェクション (CVE-2024-38887)
CVE-2024-38889 sqli に SQLインジェクション (CVE-2024-38889)
CVE-2024-38882 sqli に OSコマンドインジェクション (CVE-2024-38882)
CVE-2024-20399 KEV 【KEV】Cisco nx-os に OSコマンドインジェクション (CVE-2024-20399)
CVE-2024-37626 totolink に OSコマンドインジェクション (CVE-2024-37626)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →