Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120

slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。

📌 具体例

Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔗 関連リンク

MITRE CWE-78 公式ページ ↗

🔖 関連タグ

CWE-20: 入力検証の不備125 CWE-787: 境界外書き込み105 CWE-416: 解放後使用 (Use-After-Free)99 CWE-22: パストラバーサル96 CWE-119: メモリの境界外操作90 CWE-94: コードインジェクション84 CWE-502: 安全でないデシリアライゼーション70 CWE-79: クロスサイトスクリプティング (XSS)66 CWE-89: SQLインジェクション54 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 このタグに関連する脆弱性 125

ID	タイトル	重要度	検知
CVE-2025-48703 KEV	【KEV】Cwp control-web-panel に OSコマンドインジェクション (CVE-2025-48703)	High	6ヶ月前
CVE-2014-6278 KEV	【KEV】gnu に OSコマンドインジェクション (CVE-2014-6278)	High	7ヶ月前
CVE-2025-9377 KEV	【KEV】Tp-link multiple-routers に OSコマンドインジェクション (CVE-2025-9377)	High	8ヶ月前
CVE-2025-54948 KEV	【KEV】Trend micro trend-micro に OSコマンドインジェクション (CVE-2025-54948)	High	8ヶ月前
CVE-2023-39780 KEV	【KEV】Asus rt-ax55-routers に OSコマンドインジェクション (CVE-2023-39780)	High	11ヶ月前
CVE-2024-12987 KEV	【KEV】Draytek vigor-routers に OSコマンドインジェクション (CVE-2024-12987)	High	11ヶ月前
CVE-2024-11120 KEV	【KEV】Geovision multiple-devices に OSコマンドインジェクション (CVE-2024-11120)	High	1年前
CVE-2024-6047 KEV	【KEV】Geovision multiple-devices に OSコマンドインジェクション (CVE-2024-6047)	High	1年前
CVE-2023-44221 KEV	【KEV】Sonicwall sma100-appliances に OSコマンドインジェクション (CVE-2023-44221)	High	1年前
CVE-2021-20035 KEV	【KEV】Sonicwall sma100-appliances に OSコマンドインジェクション (CVE-2021-20035)	High	1年前
CVE-2025-1316 KEV	【KEV】Edimax ic-7100-ip-camera に OSコマンドインジェクション (CVE-2025-1316)	High	1年前
CVE-2024-40891 KEV	【KEV】Zyxel dsl-cpe-devices に OSコマンドインジェクション (CVE-2024-40891)	High	1年前
CVE-2024-40890 KEV	【KEV】Zyxel dsl-cpe-devices に OSコマンドインジェクション (CVE-2024-40890)	High	1年前
CVE-2018-9276 KEV	【KEV】Paessler prtg-network-monitor に OSコマンドインジェクション (CVE-2018-9276)	High	1年前
CVE-2024-50603 KEV	【KEV】Aviatrix controllers に OSコマンドインジェクション (CVE-2024-50603)	High	1年前
CVE-2024-12686 KEV	【KEV】Beyondtrust privileged-remote-access-pra-and-remote-support-rs に OSコマンドインジェクション (CVE-2024-12686)	High	1年前
CVE-2021-40407 KEV	【KEV】Reolink rlc-410w-ip-camera に OSコマンドインジェクション (CVE-2021-40407)	High	1年前
CVE-2019-11001 KEV	【KEV】Reolink multiple-ip-cameras に OSコマンドインジェクション (CVE-2019-11001)	High	1年前
CVE-2018-14933 KEV	【KEV】Nuuo nvrmini-devices に OSコマンドインジェクション (CVE-2018-14933)	High	1年前
CVE-2024-1212 KEV	【KEV】Progress kemp-loadmaster に OSコマンドインジェクション (CVE-2024-1212)	High	1年前
CVE-2024-9463 KEV	【KEV】Palo alto networks palo-alto-networks に OSコマンドインジェクション (CVE-2024-9463)	High	1年前
CVE-2024-8957 KEV	【KEV】Ptzoptics pt30x-sdindi-cameras に OSコマンドインジェクション (CVE-2024-8957)	High	1年前
CVE-2023-25280 KEV	【KEV】D-link dir-820-router に OSコマンドインジェクション (CVE-2023-25280)	High	1年前
CVE-2020-15415 KEV	【KEV】Draytek multiple-vigor-routers に OSコマンドインジェクション (CVE-2020-15415)	High	1年前
CVE-2024-8190 KEV	【KEV】Ivanti cloud-services-appliance に OSコマンドインジェクション (CVE-2024-8190)	High	1年前
CVE-2024-20399 KEV	【KEV】Cisco nx-os に OSコマンドインジェクション (CVE-2024-20399)	High	1年前
CVE-2024-4577 KEV	【KEV】Php group php-group に OSコマンドインジェクション (CVE-2024-4577)	High	1年前
CVE-2017-3506 KEV	【KEV】Oracle weblogic-server に OSコマンドインジェクション (CVE-2017-3506)	High	1年前
CVE-2019-7256 KEV	【KEV】Nice linear-emerge-e3-series に OSコマンドインジェクション (CVE-2019-7256)	High	2年前
CVE-2021-36380 KEV	【KEV】Sunhillo sureline に OSコマンドインジェクション (CVE-2021-36380)	High	2年前

解説

🔖 関連タグ

🛡 このタグに関連する脆弱性 125

🍪 Cookie について