Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120
slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 具体例
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 797

ID タイトル
CVE-2017-1000116 mercurial に OSコマンドインジェクション (CVE-2017-1000116)
CVE-2017-11322 ucopia に OSコマンドインジェクション (CVE-2017-11322)
CVE-2017-11321 ucopia に OSコマンドインジェクション (CVE-2017-11321)
CVE-2017-14867 git-scm に OSコマンドインジェクション (CVE-2017-14867)
CVE-2017-14001 digium に OSコマンドインジェクション (CVE-2017-14001)
CVE-2017-14705 denyall に OSコマンドインジェクション (CVE-2017-14705)
CVE-2017-11395 trendmicro に OSコマンドインジェクション (CVE-2017-11395)
CVE-2015-3431 pydio に OSコマンドインジェクション (CVE-2015-3431)
CVE-2017-14500 cpp に OSコマンドインジェクション (CVE-2017-14500)
CVE-2017-9328 terra-master に OSコマンドインジェクション (CVE-2017-9328)
CVE-2017-10813 corega に OSコマンドインジェクション (CVE-2017-10813)
CVE-2017-14429 dlink に OSコマンドインジェクション (CVE-2017-14429)
CVE-2017-14405 eyesofnetwork に OSコマンドインジェクション (CVE-2017-14405)
CVE-2017-6796 cisco に OSコマンドインジェクション (CVE-2017-6796)
CVE-2017-13713 twsz に OSコマンドインジェクション (CVE-2017-13713)
CVE-2017-14135 dreambox に OSコマンドインジェクション (CVE-2017-14135)
CVE-2017-14127 technicolor に OSコマンドインジェクション (CVE-2017-14127)
CVE-2017-14118 eyesofnetwork に OSコマンドインジェクション (CVE-2017-14118)
CVE-2017-14119 eyesofnetwork に OSコマンドインジェクション (CVE-2017-14119)
CVE-2017-14100 digium に OSコマンドインジェクション (CVE-2017-14100)
CVE-2015-5958 phpFileManager 0.9.8 allows remote attackers to execute arbitrary commands via a crafted URL.
CVE-2017-10951 foxitsoftware に OSコマンドインジェクション (CVE-2017-10951)
CVE-2017-10832 nippon-antenna に OSコマンドインジェクション (CVE-2017-10832)
CVE-2016-0634 gnu に OSコマンドインジェクション (CVE-2016-0634)
CVE-2017-11366 codiad に OSコマンドインジェクション (CVE-2017-11366)
CVE-2017-10811 buffalo に OSコマンドインジェクション (CVE-2017-10811)
CVE-2017-6710 cisco に OSコマンドインジェクション (CVE-2017-6710)
CVE-2017-11150 synology に OSコマンドインジェクション (CVE-2017-11150)
CVE-2017-12581 electron に OSコマンドインジェクション (CVE-2017-12581)
CVE-2016-7844 gigaccsecure に OSコマンドインジェクション (CVE-2016-7844)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →