Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120
slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 具体例
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 797

ID タイトル
CVE-2017-1000159 gnome に OSコマンドインジェクション (CVE-2017-1000159)
CVE-2017-1000214 GitPHP by xiphux is vulnerable to OS Command Injections
CVE-2017-16957 tp-link に OSコマンドインジェクション (CVE-2017-16957)
CVE-2017-16958 tp-link に OSコマンドインジェクション (CVE-2017-16958)
CVE-2017-16960 tp-link に OSコマンドインジェクション (CVE-2017-16960)
CVE-2017-16934 dbltek に OSコマンドインジェクション (CVE-2017-16934)
CVE-2017-16926 ohcount-project に OSコマンドインジェクション (CVE-2017-16926)
CVE-2017-16923 tenda に OSコマンドインジェクション (CVE-2017-16923)
CVE-2017-1000215 xrootd に OSコマンドインジェクション (CVE-2017-1000215)
CVE-2017-1000203 cern に OSコマンドインジェクション (CVE-2017-1000203)
CVE-2017-1000220 pidusage-project に OSコマンドインジェクション (CVE-2017-1000220)
CVE-2017-1000219 windows-cpu-project に OSコマンドインジェクション (CVE-2017-1000219)
CVE-2017-12305 cisco に コマンドインジェクション (CVE-2017-12305)
CVE-2017-12636 apache に OSコマンドインジェクション (CVE-2017-12636)
CVE-2017-1453 ibm に OSコマンドインジェクション (CVE-2017-1453)
CVE-2017-16667 backintime-project に OSコマンドインジェクション (CVE-2017-16667)
CVE-2017-16641 cacti に OSコマンドインジェクション (CVE-2017-16641)
CVE-2017-2917 meetcircle に OSコマンドインジェクション (CVE-2017-2917)
CVE-2017-2866 meetcircle に OSコマンドインジェクション (CVE-2017-2866)
CVE-2017-2890 meetcircle に OSコマンドインジェクション (CVE-2017-2890)
CVE-2017-12243 cisco に OSコマンドインジェクション (CVE-2017-12243)
CVE-2017-10953 foxitsoftware に OSコマンドインジェクション (CVE-2017-10953)
CVE-2017-9377 barco に OSコマンドインジェクション (CVE-2017-9377)
CVE-2017-15924 c に OSコマンドインジェクション (CVE-2017-15924)
CVE-2017-7341 fortinet に OSコマンドインジェクション (CVE-2017-7341)
CVE-2017-10955 emc に OSコマンドインジェクション (CVE-2017-10955)
CVE-2017-3761 lenovo に OSコマンドインジェクション (CVE-2017-3761)
CVE-2017-6223 ruckus に OSコマンドインジェクション (CVE-2017-6223)
CVE-2017-6224 ruckuswireless に OSコマンドインジェクション (CVE-2017-6224)
CVE-2017-15226 zyxel に OSコマンドインジェクション (CVE-2017-15226)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →