Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120
slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
📌 具体例
Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 796

ID タイトル
CVE-2020-4428 KEV 【KEV】Ibm data-risk-manager に OSコマンドインジェクション (CVE-2020-4428)
CVE-2021-22502 KEV 【KEV】Micro focus micro-focus の脆弱性 (CVE-2021-22502)
CVE-2019-15949 KEV 【KEV】nagios に OSコマンドインジェクション (CVE-2019-15949)
CVE-2019-19356 KEV 【KEV】Netis wf2419-devices に OSコマンドインジェクション (CVE-2019-19356)
CVE-2019-11539 KEV 【KEV】Ivanti pulse-connect-secure-and-pulse-policy-secure に OSコマンドインジェクション (CVE-2019-11539)
CVE-2020-10221 KEV 【KEV】rconfig に OSコマンドインジェクション (CVE-2020-10221)
CVE-2020-16846 KEV 【KEV】Saltstack salt に OSコマンドインジェクション (CVE-2020-16846)
CVE-2020-10987 KEV 【KEV】Tenda ac1900-router-ac15-model に OSコマンドインジェクション (CVE-2020-10987)
CVE-2018-14558 KEV 【KEV】Tenda ac7 に OSコマンドインジェクション (CVE-2018-14558)
CVE-2020-4006 KEV 【KEV】Vmware multiple-products に OSコマンドインジェクション (CVE-2020-4006)
CVE-2021-27561 KEV 【KEV】Yealink device-management に OSコマンドインジェクション (CVE-2021-27561)
CVE-2020-27575 maxum に OSコマンドインジェクション (CVE-2020-27575)
CVE-2018-6926 misp-project に OSコマンドインジェクション (CVE-2018-6926)
CVE-2014-8389 airlive に OSコマンドインジェクション (CVE-2014-8389)
CVE-2017-17888 hoytech に OSコマンドインジェクション (CVE-2017-17888)
CVE-2017-17411 linksys に OSコマンドインジェクション (CVE-2017-17411)
CVE-2017-5255 cambiumnetworks に OSコマンドインジェクション (CVE-2017-5255)
CVE-2017-15049 zoom に OSコマンドインジェクション (CVE-2017-15049)
CVE-2017-17757 tp-link に OSコマンドインジェクション (CVE-2017-17757)
CVE-2017-17758 tp-link に OSコマンドインジェクション (CVE-2017-17758)
CVE-2017-17105 zivif に OSコマンドインジェクション (CVE-2017-17105)
CVE-2017-15103 c に OSコマンドインジェクション (CVE-2017-15103)
CVE-2017-10904 qt に OSコマンドインジェクション (CVE-2017-10904)
CVE-2017-17405 ruby-lang に OSコマンドインジェクション (CVE-2017-17405)
CVE-2017-16921 otrs に OSコマンドインジェクション (CVE-2017-16921)
CVE-2017-17458 mercurial に OSコマンドインジェクション (CVE-2017-17458)
CVE-2017-17055 articatech に OSコマンドインジェクション (CVE-2017-17055)
CVE-2016-1253 debian に OSコマンドインジェクション (CVE-2016-1253)
CVE-2017-10902 princeton に OSコマンドインジェクション (CVE-2017-10902)
CVE-2017-1000159 gnome に OSコマンドインジェクション (CVE-2017-1000159)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →