Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120
slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 具体例
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 796

ID タイトル
CVE-2025-15379 lfprojects に コマンドインジェクション (CVE-2025-15379)
CVE-2026-26213 thingino に OSコマンドインジェクション (CVE-2026-26213)
CVE-2026-1961 CVE-2026-1961 に OSコマンドインジェクション (CVE-2026-1961)
CVE-2025-15101 asus に OSコマンドインジェクション (CVE-2025-15101)
CVE-2026-26832 zapolnoch に OSコマンドインジェクション (CVE-2026-26832)
CVE-2026-33412 vim に OSコマンドインジェクション (CVE-2026-33412)
CVE-2026-3227 tp-link に OSコマンドインジェクション (CVE-2026-3227)
CVE-2026-31386 litespeedtech に OSコマンドインジェクション (CVE-2026-31386)
CVE-2025-14287 lfprojects に コードインジェクション (CVE-2025-14287)
CVE-2025-70082 lantronix に OSコマンドインジェクション (CVE-2025-70082)
CVE-2025-67041 lantronix に OSコマンドインジェクション (CVE-2025-67041)
CVE-2026-28292 simple-git-project に OSコマンドインジェクション (CVE-2026-28292)
CVE-2026-25836 fortinet に OSコマンドインジェクション (CVE-2026-25836)
CVE-2026-29783 github に OSコマンドインジェクション (CVE-2026-29783)
CVE-2026-28517 opendcim に OSコマンドインジェクション (CVE-2026-28517)
CVE-2026-25109 copeland に OSコマンドインジェクション (CVE-2026-25109)
CVE-2026-20910 copeland に OSコマンドインジェクション (CVE-2026-20910)
CVE-2026-25108 KEV 【KEV】Soliton systems k.k soliton-systems-kk に OSコマンドインジェクション (CVE-2026-25108)
CVE-2026-26318 systeminformation に OSコマンドインジェクション (CVE-2026-26318)
CVE-2026-26280 systeminformation に OSコマンドインジェクション (CVE-2026-26280)
CVE-2026-1731 KEV 【KEV】Beyondtrust remote-support-rs-and-privileged-remote-access-pra に OSコマンドインジェクション (CVE-2026-1731)
CVE-2025-65480 CVE-2025-65480 に OSコマンドインジェクション (CVE-2025-65480)
CVE-2025-11953 KEV 【KEV】React native community react-native-community に OSコマンドインジェクション (CVE-2025-11953)
CVE-2026-22550 elecom に OSコマンドインジェクション (CVE-2026-22550)
CVE-2025-64328 KEV 【KEV】Sangoma freepbx に OSコマンドインジェクション (CVE-2025-64328)
CVE-2026-22226 tp-link に OSコマンドインジェクション (CVE-2026-22226)
CVE-2020-37002 CVE-2020-37002 に OSコマンドインジェクション (CVE-2020-37002)
CVE-2025-57283 browserstack に コードインジェクション (CVE-2025-57283)
CVE-2025-67264 doogee に OSコマンドインジェクション (CVE-2025-67264)
CVE-2025-56590 apryse に OSコマンドインジェクション (CVE-2025-56590)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →