Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120

slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。

📌 具体例

Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔗 関連リンク

MITRE CWE-78 公式ページ ↗

🔖 関連タグ

CWE-20: 入力検証の不備125 CWE-787: 境界外書き込み105 CWE-416: 解放後使用 (Use-After-Free)99 CWE-22: パストラバーサル96 CWE-119: メモリの境界外操作90 CWE-94: コードインジェクション84 CWE-502: 安全でないデシリアライゼーション70 CWE-79: クロスサイトスクリプティング (XSS)66 CWE-89: SQLインジェクション54 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 このタグに関連する脆弱性 125

ID	タイトル	重要度	検知
CVE-2019-12991 KEV	【KEV】Citrix sd-wan-and-netscaler に OSコマンドインジェクション (CVE-2019-12991)	High	4年前
CVE-2018-6961 KEV	【KEV】Vmware sd-wan-edge に OSコマンドインジェクション (CVE-2018-6961)	High	4年前
CVE-2018-14839 KEV	【KEV】Lg n1a1-nas に OSコマンドインジェクション (CVE-2018-14839)	High	4年前
CVE-2018-11138 KEV	【KEV】Quest kace-system-management-appliance に OSコマンドインジェクション (CVE-2018-11138)	High	4年前
CVE-2017-6334 KEV	【KEV】Netgear dgn2200-devices に OSコマンドインジェクション (CVE-2017-6334)	High	4年前
CVE-2016-11021 KEV	【KEV】D-link dcs-930l-devices に OSコマンドインジェクション (CVE-2016-11021)	High	4年前
CVE-2017-6077 KEV	【KEV】Netgear wireless-router-dgn2200 に OSコマンドインジェクション (CVE-2017-6077)	High	4年前
CVE-2014-6271 KEV	【KEV】Gnu bourne-again-shell-bash に OSコマンドインジェクション (CVE-2014-6271)	High	4年前
CVE-2014-7169 KEV	【KEV】Gnu bourne-again-shell-bash に OSコマンドインジェクション (CVE-2014-7169)	High	4年前
CVE-2021-25296 KEV	【KEV】nagios に OSコマンドインジェクション (CVE-2021-25296)	High	4年前
CVE-2021-25297 KEV	【KEV】nagios に OSコマンドインジェクション (CVE-2021-25297)	High	4年前
CVE-2021-25298 KEV	【KEV】nagios に OSコマンドインジェクション (CVE-2021-25298)	High	4年前
CVE-2021-21315 KEV	【KEV】Npm package npm-package に OSコマンドインジェクション (CVE-2021-21315)	High	4年前
CVE-2020-11978 KEV	【KEV】Apache airflow に OSコマンドインジェクション (CVE-2020-11978)	High	4年前
CVE-2021-36260 KEV	【KEV】Hikvision security-cameras-web-server に OSコマンドインジェクション (CVE-2021-36260)	High	4年前
CVE-2019-10149 KEV	【KEV】Exim mail-transfer-agent-mta に OSコマンドインジェクション (CVE-2019-10149)	High	4年前
CVE-2021-35394 KEV	【KEV】Realtek jungle-software-development-kit-sdk に OSコマンドインジェクション (CVE-2021-35394)	High	4年前
CVE-2020-8816 KEV	【KEV】Pi-hole adminlte に OSコマンドインジェクション (CVE-2020-8816)	High	4年前
CVE-2021-27104 KEV	【KEV】Accellion fta の脆弱性 (CVE-2021-27104)	High	4年前
CVE-2021-27102 KEV	【KEV】Accellion fta の脆弱性 (CVE-2021-27102)	High	4年前
CVE-2021-1497 KEV	【KEV】Cisco hyperflex-hx に OSコマンドインジェクション (CVE-2021-1497)	High	4年前
CVE-2021-1498 KEV	【KEV】Cisco hyperflex-hx に OSコマンドインジェクション (CVE-2021-1498)	High	4年前
CVE-2020-25506 KEV	【KEV】D-link dns-320-device に OSコマンドインジェクション (CVE-2020-25506)	High	4年前
CVE-2020-8515 KEV	【KEV】Draytek multiple-vigor-routers に OSコマンドインジェクション (CVE-2020-8515)	High	4年前
CVE-2020-4428 KEV	【KEV】Ibm data-risk-manager に OSコマンドインジェクション (CVE-2020-4428)	High	4年前
CVE-2021-22502 KEV	【KEV】Micro focus micro-focus の脆弱性 (CVE-2021-22502)	High	4年前
CVE-2019-15949 KEV	【KEV】nagios に OSコマンドインジェクション (CVE-2019-15949)	High	4年前
CVE-2019-19356 KEV	【KEV】Netis wf2419-devices に OSコマンドインジェクション (CVE-2019-19356)	High	4年前
CVE-2019-11539 KEV	【KEV】Ivanti pulse-connect-secure-and-pulse-policy-secure に OSコマンドインジェクション (CVE-2019-11539)	High	4年前
CVE-2020-10221 KEV	【KEV】rconfig に OSコマンドインジェクション (CVE-2020-10221)	High	4年前

解説

🔖 関連タグ

🛡 このタグに関連する脆弱性 125

🍪 Cookie について