Cwe 78

🧬 CWE Liées 120
slug: cwe-78

Explication

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 Exemple
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 796

ID Titre
CVE-2017-3506 KEV [KEV] Injection de commande OS dans Oracle weblogic-server (CVE-2017-3506)
CVE-2024-29640 Injection de commande OS dans CVE-2024-29640 (CVE-2024-29640)
CVE-2023-6437 Injection de commande OS dans CVE-2023-6437 (CVE-2023-6437)
CVE-2019-7256 KEV [KEV] Injection de commande OS dans Nice linear-emerge-e3-series (CVE-2019-7256)
CVE-2023-47415 Injection de commande OS dans cypress (CVE-2023-47415)
CVE-2021-36380 KEV [KEV] Injection de commande OS dans Sunhillo sureline (CVE-2021-36380)
CVE-2023-46359 Injection de commande OS dans hardy-barth (CVE-2023-46359)
CVE-2023-50651 Injection de commande OS dans totolink (CVE-2023-50651)
CVE-2023-49897 KEV [KEV] Injection de commande OS dans Fxc ae1021 (CVE-2023-49897)
CVE-2023-47565 KEV [KEV] Injection de commande OS dans Qnap viostor-nvr (CVE-2023-47565)
CVE-2023-51385 Injection de commande OS dans openbsd (CVE-2023-51385)
CVE-2023-23325 Injection de commande OS dans zumtobel (CVE-2023-23325)
CVE-2023-6201 Injection de commande OS dans univera (CVE-2023-6201)
CVE-2023-20273 KEV [KEV] Injection de commande OS dans cisco (CVE-2023-20273)
CVE-2023-38886 Injection de commande OS dans dolibarr (CVE-2023-38886)
CVE-2017-6884 KEV [KEV] Injection de commande OS dans Zyxel emg2926-routers (CVE-2017-6884)
CVE-2017-18368 KEV [KEV] Injection de commande OS dans Zyxel p660hn-t1a-routers (CVE-2017-18368)
CVE-2022-29303 KEV [KEV] Injection de commande OS dans Solarview compact (CVE-2022-29303)
CVE-2023-36143 Injection de commande OS dans maxprintisp (CVE-2023-36143)
CVE-2019-17621 KEV [KEV] Injection de commande OS dans D-link dir-859-router (CVE-2019-17621)
CVE-2019-20500 KEV [KEV] Injection de commande OS dans D-link dwl-2600ap-access-point (CVE-2019-20500)
CVE-2023-27992 KEV [KEV] Injection de commande OS dans Zyxel multiple-network-attached-storage-nas-devices (CVE-2023-27992)
CVE-2020-12641 KEV [KEV] Injection de commande OS dans roundcube (CVE-2020-12641)
CVE-2023-33381 Injection de commande OS dans mitrastar (CVE-2023-33381)
CVE-2023-28771 KEV [KEV] Injection de commande OS dans Zyxel multiple-firewalls (CVE-2023-28771)
CVE-2023-29778 Injection de commande OS dans gl-inet (CVE-2023-29778)
CVE-2023-27216 Injection de commande OS dans dlink (CVE-2023-27216)
CVE-2022-28810 KEV [KEV] Injection de commande OS dans Zoho manageengine (CVE-2022-28810)
CVE-2022-33891 KEV [KEV] Injection de commande OS dans Apache pyspark (CVE-2022-33891)
CVE-2022-44877 KEV [KEV] Injection de commande OS dans Cwp control-web-panel (CVE-2022-44877)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →