Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120
slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 具体例
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 797

ID タイトル
CVE-2022-44877 KEV 【KEV】Cwp control-web-panel に OSコマンドインジェクション (CVE-2022-44877)
CVE-2022-36804 KEV 【KEV】Atlassian bitbucket-server-and-data-center に OSコマンドインジェクション (CVE-2022-36804)
CVE-2022-30079 netgear に OSコマンドインジェクション (CVE-2022-30079)
CVE-2022-26258 KEV 【KEV】D-link dir-820l に OSコマンドインジェクション (CVE-2022-26258)
CVE-2018-6530 KEV 【KEV】D-link multiple-routers に OSコマンドインジェクション (CVE-2018-6530)
CVE-2022-30078 netgear に コマンドインジェクション (CVE-2022-30078)
CVE-2021-42232 tp-link に OSコマンドインジェクション (CVE-2021-42232)
CVE-2021-36667 druva に OSコマンドインジェクション (CVE-2021-36667)
CVE-2022-30023 tenda に OSコマンドインジェクション (CVE-2022-30023)
CVE-2021-42875 totolink に OSコマンドインジェクション (CVE-2021-42875)
CVE-2021-42872 totolink に OSコマンドインジェクション (CVE-2021-42872)
CVE-2020-25368 dlink に OSコマンドインジェクション (CVE-2020-25368)
CVE-2020-21883 indionetworks に OSコマンドインジェクション (CVE-2020-21883)
CVE-2021-28927 c に OSコマンドインジェクション (CVE-2021-28927)
CVE-2018-19949 KEV 【KEV】Qnap network-attached-storage-nas の脆弱性 (CVE-2018-19949)
CVE-2022-30525 KEV 【KEV】Zyxel multiple-firewalls に OSコマンドインジェクション (CVE-2022-30525)
CVE-2018-19908 misp-project に OSコマンドインジェクション (CVE-2018-19908)
CVE-2022-27224 An issue was discovered in Galleon NTS-6002-GPS 4.14.103-Galleon-NTS-6002.V12 4. An authenticated...
CVE-2021-43164 ruijienetworks に コマンドインジェクション (CVE-2021-43164)
CVE-2019-16057 KEV 【KEV】D-link dns-320-storage-device に OSコマンドインジェクション (CVE-2019-16057)
CVE-2020-2509 KEV 【KEV】qnap に コマンドインジェクション (CVE-2020-2509)
CVE-2020-27373 drtrustusa に OSコマンドインジェクション (CVE-2020-27373)
CVE-2021-45382 KEV 【KEV】D-link multiple-routers に OSコマンドインジェクション (CVE-2021-45382)
CVE-2018-10562 KEV 【KEV】Dasan gigabit-passive-optical-network-gpon-routers に OSコマンドインジェクション (CVE-2018-10562)
CVE-2021-46007 totolink に OSコマンドインジェクション (CVE-2021-46007)
CVE-2020-9377 KEV 【KEV】D-link dir-610-devices に OSコマンドインジェクション (CVE-2020-9377)
CVE-2020-9054 KEV 【KEV】Zyxel multiple-network-attached-storage-nas-devices に OSコマンドインジェクション (CVE-2020-9054)
CVE-2020-7247 KEV 【KEV】Openbsd opensmtpd の脆弱性 (CVE-2020-7247)
CVE-2020-25223 KEV 【KEV】Sophos sg-utm に OSコマンドインジェクション (CVE-2020-25223)
CVE-2020-1956 KEV 【KEV】Apache kylin に OSコマンドインジェクション (CVE-2020-1956)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →