Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120
slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 具体例
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 797

ID タイトル
CVE-2024-4577 KEV 【KEV】Php group php-group に OSコマンドインジェクション (CVE-2024-4577)
CVE-2017-3506 KEV 【KEV】Oracle weblogic-server に OSコマンドインジェクション (CVE-2017-3506)
CVE-2024-29640 CVE-2024-29640 に OSコマンドインジェクション (CVE-2024-29640)
CVE-2023-6437 CVE-2023-6437 に OSコマンドインジェクション (CVE-2023-6437)
CVE-2019-7256 KEV 【KEV】Nice linear-emerge-e3-series に OSコマンドインジェクション (CVE-2019-7256)
CVE-2023-47415 cypress に OSコマンドインジェクション (CVE-2023-47415)
CVE-2021-36380 KEV 【KEV】Sunhillo sureline に OSコマンドインジェクション (CVE-2021-36380)
CVE-2023-46359 hardy-barth に OSコマンドインジェクション (CVE-2023-46359)
CVE-2023-50651 totolink に OSコマンドインジェクション (CVE-2023-50651)
CVE-2023-49897 KEV 【KEV】Fxc ae1021 に OSコマンドインジェクション (CVE-2023-49897)
CVE-2023-47565 KEV 【KEV】Qnap viostor-nvr に OSコマンドインジェクション (CVE-2023-47565)
CVE-2023-51385 openbsd に OSコマンドインジェクション (CVE-2023-51385)
CVE-2023-23325 zumtobel に OSコマンドインジェクション (CVE-2023-23325)
CVE-2023-6201 univera に OSコマンドインジェクション (CVE-2023-6201)
CVE-2023-20273 KEV 【KEV】cisco に OSコマンドインジェクション (CVE-2023-20273)
CVE-2023-38886 dolibarr に OSコマンドインジェクション (CVE-2023-38886)
CVE-2017-6884 KEV 【KEV】Zyxel emg2926-routers に OSコマンドインジェクション (CVE-2017-6884)
CVE-2017-18368 KEV 【KEV】Zyxel p660hn-t1a-routers に OSコマンドインジェクション (CVE-2017-18368)
CVE-2022-29303 KEV 【KEV】Solarview compact に OSコマンドインジェクション (CVE-2022-29303)
CVE-2023-36143 maxprintisp に OSコマンドインジェクション (CVE-2023-36143)
CVE-2019-17621 KEV 【KEV】D-link dir-859-router に OSコマンドインジェクション (CVE-2019-17621)
CVE-2019-20500 KEV 【KEV】D-link dwl-2600ap-access-point に OSコマンドインジェクション (CVE-2019-20500)
CVE-2023-27992 KEV 【KEV】Zyxel multiple-network-attached-storage-nas-devices に OSコマンドインジェクション (CVE-2023-27992)
CVE-2020-12641 KEV 【KEV】roundcube に OSコマンドインジェクション (CVE-2020-12641)
CVE-2023-33381 mitrastar に OSコマンドインジェクション (CVE-2023-33381)
CVE-2023-28771 KEV 【KEV】Zyxel multiple-firewalls に OSコマンドインジェクション (CVE-2023-28771)
CVE-2023-29778 gl-inet に OSコマンドインジェクション (CVE-2023-29778)
CVE-2023-27216 dlink に OSコマンドインジェクション (CVE-2023-27216)
CVE-2022-28810 KEV 【KEV】Zoho manageengine に OSコマンドインジェクション (CVE-2022-28810)
CVE-2022-33891 KEV 【KEV】Apache pyspark に OSコマンドインジェクション (CVE-2022-33891)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →