Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120
slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 具体例
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 796

ID タイトル
CVE-2019-15107 KEV 【KEV】webmin に OSコマンドインジェクション (CVE-2019-15107)
CVE-2019-12991 KEV 【KEV】Citrix sd-wan-and-netscaler に OSコマンドインジェクション (CVE-2019-12991)
CVE-2018-6961 KEV 【KEV】Vmware sd-wan-edge に OSコマンドインジェクション (CVE-2018-6961)
CVE-2018-14839 KEV 【KEV】Lg n1a1-nas に OSコマンドインジェクション (CVE-2018-14839)
CVE-2018-11138 KEV 【KEV】Quest kace-system-management-appliance に OSコマンドインジェクション (CVE-2018-11138)
CVE-2017-6334 KEV 【KEV】Netgear dgn2200-devices に OSコマンドインジェクション (CVE-2017-6334)
CVE-2016-11021 KEV 【KEV】D-link dcs-930l-devices に OSコマンドインジェクション (CVE-2016-11021)
CVE-2017-6077 KEV 【KEV】Netgear wireless-router-dgn2200 に OSコマンドインジェクション (CVE-2017-6077)
CVE-2022-25060 tp-link に OSコマンドインジェクション (CVE-2022-25060)
CVE-2022-25064 tp-link に OSコマンドインジェクション (CVE-2022-25064)
CVE-2022-25061 tp-link に OSコマンドインジェクション (CVE-2022-25061)
CVE-2014-6271 KEV 【KEV】Gnu bourne-again-shell-bash に OSコマンドインジェクション (CVE-2014-6271)
CVE-2014-7169 KEV 【KEV】Gnu bourne-again-shell-bash に OSコマンドインジェクション (CVE-2014-7169)
CVE-2021-25296 KEV 【KEV】nagios に OSコマンドインジェクション (CVE-2021-25296)
CVE-2021-25297 KEV 【KEV】nagios に OSコマンドインジェクション (CVE-2021-25297)
CVE-2021-25298 KEV 【KEV】nagios に OSコマンドインジェクション (CVE-2021-25298)
CVE-2021-21315 KEV 【KEV】Npm package npm-package に OSコマンドインジェクション (CVE-2021-21315)
CVE-2020-11978 KEV 【KEV】Apache airflow に OSコマンドインジェクション (CVE-2020-11978)
CVE-2021-36260 KEV 【KEV】Hikvision security-cameras-web-server に OSコマンドインジェクション (CVE-2021-36260)
CVE-2019-10149 KEV 【KEV】Exim mail-transfer-agent-mta に OSコマンドインジェクション (CVE-2019-10149)
CVE-2021-42912 fiberhome に OSコマンドインジェクション (CVE-2021-42912)
CVE-2021-35394 KEV 【KEV】Realtek jungle-software-development-kit-sdk に OSコマンドインジェクション (CVE-2021-35394)
CVE-2020-8816 KEV 【KEV】Pi-hole adminlte に OSコマンドインジェクション (CVE-2020-8816)
CVE-2020-25367 dlink に コマンドインジェクション (CVE-2020-25367)
CVE-2021-27104 KEV 【KEV】Accellion fta の脆弱性 (CVE-2021-27104)
CVE-2021-27102 KEV 【KEV】Accellion fta の脆弱性 (CVE-2021-27102)
CVE-2021-1497 KEV 【KEV】Cisco hyperflex-hx に OSコマンドインジェクション (CVE-2021-1497)
CVE-2021-1498 KEV 【KEV】Cisco hyperflex-hx に OSコマンドインジェクション (CVE-2021-1498)
CVE-2020-25506 KEV 【KEV】D-link dns-320-device に OSコマンドインジェクション (CVE-2020-25506)
CVE-2020-8515 KEV 【KEV】Draytek multiple-vigor-routers に OSコマンドインジェクション (CVE-2020-8515)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →