Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120
slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 具体例
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 790

ID タイトル
CVE-2017-6682 tomcat に OSコマンドインジェクション (CVE-2017-6682)
CVE-2017-6683 tomcat に OSコマンドインジェクション (CVE-2017-6683)
CVE-2016-7806 iodata に OSコマンドインジェクション (CVE-2016-7806)
CVE-2016-7819 iodata に OSコマンドインジェクション (CVE-2016-7819)
CVE-2017-2824 zabbix に OSコマンドインジェクション (CVE-2017-2824)
CVE-2017-5173 geutebrueck に OSコマンドインジェクション (CVE-2017-5173)
CVE-2017-8799 irods に OSコマンドインジェクション (CVE-2017-8799)
CVE-2017-8768 atlassian に OSコマンドインジェクション (CVE-2017-8768)
CVE-2017-7981 c に OSコマンドインジェクション (CVE-2017-7981)
CVE-2017-2152 buffalo-inc に OSコマンドインジェクション (CVE-2017-2152)
CVE-2017-2112 iodata に OSコマンドインジェクション (CVE-2017-2112)
CVE-2017-2128 information-technology-promotion-agency に OSコマンドインジェクション (CVE-2017-2128)
CVE-2017-2141 iodata に OSコマンドインジェクション (CVE-2017-2141)
CVE-2017-2096 smalruby に OSコマンドインジェクション (CVE-2017-2096)
CVE-2017-8220 tp-link に OSコマンドインジェクション (CVE-2017-8220)
CVE-2017-8051 tenable に OSコマンドインジェクション (CVE-2017-8051)
CVE-2016-8721 moxa に OSコマンドインジェクション (CVE-2016-8721)
CVE-2017-7690 proxifier に OSコマンドインジェクション (CVE-2017-7690)
CVE-2016-5313 symantec に OSコマンドインジェクション (CVE-2016-5313)
CVE-2017-6597 cisco に OSコマンドインジェクション (CVE-2017-6597)
CVE-2017-6600 cisco に OSコマンドインジェクション (CVE-2017-6600)
CVE-2017-6601 cisco に OSコマンドインジェクション (CVE-2017-6601)
CVE-2017-6602 cisco に OSコマンドインジェクション (CVE-2017-6602)
CVE-2017-6606 cisco に OSコマンドインジェクション (CVE-2017-6606)
CVE-2016-10320 textract-project に OSコマンドインジェクション (CVE-2016-10320)
CVE-2016-9091 bluecoat に OSコマンドインジェクション (CVE-2016-9091)
CVE-2017-7413 horde に OSコマンドインジェクション (CVE-2017-7413)
CVE-2017-7414 horde に OSコマンドインジェクション (CVE-2017-7414)
CVE-2017-6182 sophos に OSコマンドインジェクション (CVE-2017-6182)
CVE-2017-5330 fedoraproject に OSコマンドインジェクション (CVE-2017-5330)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →