Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120

slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。

📌 具体例

Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔗 関連リンク

MITRE CWE-78 公式ページ ↗

🔖 関連タグ

CWE-20: 入力検証の不備125 CWE-787: 境界外書き込み105 CWE-416: 解放後使用 (Use-After-Free)99 CWE-22: パストラバーサル96 CWE-119: メモリの境界外操作90 CWE-94: コードインジェクション84 CWE-502: 安全でないデシリアライゼーション70 CWE-79: クロスサイトスクリプティング (XSS)66 CWE-89: SQLインジェクション54 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 このタグに関連する脆弱性 125

ID	タイトル	重要度	検知
CVE-2020-16846 KEV	【KEV】Saltstack salt に OSコマンドインジェクション (CVE-2020-16846)	High	4年前
CVE-2020-10987 KEV	【KEV】Tenda ac1900-router-ac15-model に OSコマンドインジェクション (CVE-2020-10987)	High	4年前
CVE-2018-14558 KEV	【KEV】Tenda ac7 に OSコマンドインジェクション (CVE-2018-14558)	High	4年前
CVE-2020-4006 KEV	【KEV】Vmware multiple-products に OSコマンドインジェクション (CVE-2020-4006)	High	4年前
CVE-2021-27561 KEV	【KEV】Yealink device-management に OSコマンドインジェクション (CVE-2021-27561)	High	4年前

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →