Cwe 78

CWE-78: OSコマンドインジェクション 🧬 CWE 関連 120

slug: cwe-78

解説

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。

📌 具体例

Shellshock (CVE-2014-6271): Bashの脆弱性で、Webサーバーへの普通のリクエスト経由で任意のシェルコマンドが実行できた歴史的な事件。

🔗 関連リンク

MITRE CWE-78 公式ページ ↗

🔖 関連タグ

CWE-20: 入力検証の不備125 CWE-787: 境界外書き込み105 CWE-416: 解放後使用 (Use-After-Free)99 CWE-22: パストラバーサル96 CWE-119: メモリの境界外操作90 CWE-94: コードインジェクション84 CWE-502: 安全でないデシリアライゼーション70 CWE-79: クロスサイトスクリプティング (XSS)66 CWE-89: SQLインジェクション54 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 このタグに関連する脆弱性 125

ID	タイトル	重要度	検知
CVE-2023-49897 KEV	【KEV】Fxc ae1021 に OSコマンドインジェクション (CVE-2023-49897)	High	2年前
CVE-2023-47565 KEV	【KEV】Qnap viostor-nvr に OSコマンドインジェクション (CVE-2023-47565)	High	2年前
CVE-2023-20273 KEV	【KEV】cisco に OSコマンドインジェクション (CVE-2023-20273)	High	2年前
CVE-2017-6884 KEV	【KEV】Zyxel emg2926-routers に OSコマンドインジェクション (CVE-2017-6884)	High	2年前
CVE-2017-18368 KEV	【KEV】Zyxel p660hn-t1a-routers に OSコマンドインジェクション (CVE-2017-18368)	High	2年前
CVE-2022-29303 KEV	【KEV】Solarview compact に OSコマンドインジェクション (CVE-2022-29303)	High	2年前
CVE-2019-17621 KEV	【KEV】D-link dir-859-router に OSコマンドインジェクション (CVE-2019-17621)	High	2年前
CVE-2019-20500 KEV	【KEV】D-link dwl-2600ap-access-point に OSコマンドインジェクション (CVE-2019-20500)	High	2年前
CVE-2023-27992 KEV	【KEV】Zyxel multiple-network-attached-storage-nas-devices に OSコマンドインジェクション (CVE-2023-27992)	High	2年前
CVE-2020-12641 KEV	【KEV】roundcube に OSコマンドインジェクション (CVE-2020-12641)	High	2年前
CVE-2023-28771 KEV	【KEV】Zyxel multiple-firewalls に OSコマンドインジェクション (CVE-2023-28771)	High	2年前
CVE-2022-28810 KEV	【KEV】Zoho manageengine に OSコマンドインジェクション (CVE-2022-28810)	High	3年前
CVE-2022-33891 KEV	【KEV】Apache spark に OSコマンドインジェクション (CVE-2022-33891)	High	3年前
CVE-2022-44877 KEV	【KEV】Cwp control-web-panel に OSコマンドインジェクション (CVE-2022-44877)	High	3年前
CVE-2022-36804 KEV	【KEV】Atlassian bitbucket-server-and-data-center に OSコマンドインジェクション (CVE-2022-36804)	High	3年前
CVE-2022-26258 KEV	【KEV】D-link dir-820l に OSコマンドインジェクション (CVE-2022-26258)	High	3年前
CVE-2018-6530 KEV	【KEV】D-link multiple-routers に OSコマンドインジェクション (CVE-2018-6530)	High	3年前
CVE-2018-19949 KEV	【KEV】Qnap network-attached-storage-nas の脆弱性 (CVE-2018-19949)	High	3年前
CVE-2022-30525 KEV	【KEV】Zyxel multiple-firewalls に OSコマンドインジェクション (CVE-2022-30525)	High	3年前
CVE-2019-16057 KEV	【KEV】D-link dns-320-storage-device に OSコマンドインジェクション (CVE-2019-16057)	High	4年前
CVE-2020-2509 KEV	【KEV】qnap にコマンドインジェクション (CVE-2020-2509)	High	4年前
CVE-2021-45382 KEV	【KEV】D-link multiple-routers に OSコマンドインジェクション (CVE-2021-45382)	High	4年前
CVE-2018-10562 KEV	【KEV】Dasan gigabit-passive-optical-network-gpon-routers に OSコマンドインジェクション (CVE-2018-10562)	High	4年前
CVE-2020-9377 KEV	【KEV】D-link dir-610-devices に OSコマンドインジェクション (CVE-2020-9377)	High	4年前
CVE-2020-9054 KEV	【KEV】Zyxel multiple-network-attached-storage-nas-devices に OSコマンドインジェクション (CVE-2020-9054)	High	4年前
CVE-2020-7247 KEV	【KEV】Openbsd opensmtpd の脆弱性 (CVE-2020-7247)	High	4年前
CVE-2020-25223 KEV	【KEV】Sophos sg-utm に OSコマンドインジェクション (CVE-2020-25223)	High	4年前
CVE-2020-1956 KEV	【KEV】Apache kylin に OSコマンドインジェクション (CVE-2020-1956)	High	4年前
CVE-2019-16920 KEV	【KEV】D-link multiple-routers に OSコマンドインジェクション (CVE-2019-16920)	High	4年前
CVE-2019-15107 KEV	【KEV】webmin に OSコマンドインジェクション (CVE-2019-15107)	High	4年前

解説

🔖 関連タグ

🛡 このタグに関連する脆弱性 125

🍪 Cookie について