Cwe 94

CWE-94: コードインジェクション 🧬 CWE 関連 84
slug: cwe-94

解説

CWE-94は「攻撃者が送ったデータが、プログラムコードとして解釈・実行されてしまう」欠陥です。 Pythonの `eval()`・PHPの `eval()`/`include()` にユーザー入力を渡すような実装が典型例です。 リモートコード実行 (RCE) の直接的な原因となるため、最も重大なクラスの脆弱性です。
📌 具体例
Log4Shell (CVE-2021-44228) はLog4jのJNDI Lookupを悪用したコードインジェクションで、世界中のJavaサーバーが数日でハッキングされた。

🔖 関連タグ

🛡 このタグに関連する脆弱性 660

ID タイトル
CVE-2022-25578 taogogo に コードインジェクション (CVE-2022-25578)
CVE-2022-24512 Microsoft.NETCore.App.Runtime.linux-arm に コードインジェクション (CVE-2022-24512)
CVE-2020-8218 KEV 【KEV】Pulse secure pulse-secure に コードインジェクション (CVE-2020-8218)
CVE-2013-1347 KEV 【KEV】Microsoft internet-explorer に コードインジェクション (CVE-2013-1347)
CVE-2012-1856 KEV 【KEV】Microsoft office に コードインジェクション (CVE-2012-1856)
CVE-2010-0188 KEV 【KEV】Adobe reader-and-acrobat に コードインジェクション (CVE-2010-0188)
CVE-2009-3129 KEV 【KEV】Microsoft excel に コードインジェクション (CVE-2009-3129)
CVE-2022-25018 pluxml に コードインジェクション (CVE-2022-25018)
CVE-2014-6352 KEV 【KEV】Microsoft windows に コードインジェクション (CVE-2014-6352)
CVE-2017-9841 KEV 【KEV】phpunit に コードインジェクション (CVE-2017-9841)
CVE-2013-3906 KEV 【KEV】Microsoft graphics-component に コードインジェクション (CVE-2013-3906)
CVE-2015-1635 KEV 【KEV】Microsoft httpsys に コードインジェクション (CVE-2015-1635)
CVE-2021-46117 jpress に コードインジェクション (CVE-2021-46117)
CVE-2021-46114 jpress に コードインジェクション (CVE-2021-46114)
CVE-2021-46118 jpress に コードインジェクション (CVE-2021-46118)
CVE-2021-45806 jpress に コマンドインジェクション (CVE-2021-45806)
CVE-2015-7450 KEV 【KEV】Ibm websphere-application-server-and-server-hypervisor-edition に コードインジェクション (CVE-2015-7450)
CVE-2019-7609 KEV 【KEV】Elastic kibana に コードインジェクション (CVE-2019-7609)
CVE-2019-0193 KEV 【KEV】Apache solr に コードインジェクション (CVE-2019-0193)
CVE-2021-42296 Microsoft Word Remote Code Execution Vulnerability
CVE-2019-4716 KEV 【KEV】Ibm planning-analytics に コードインジェクション (CVE-2019-4716)
CVE-2012-0158 KEV 【KEV】Microsoft mscomctlocx に コードインジェクション (CVE-2012-0158)
CVE-2020-8644 KEV 【KEV】playsms に コードインジェクション (CVE-2020-8644)
CVE-2020-8243 KEV 【KEV】Ivanti pulse-connect-secure に コードインジェクション (CVE-2020-8243)
CVE-2021-22900 KEV 【KEV】Ivanti pulse-connect-secure に コードインジェクション (CVE-2021-22900)
CVE-2021-22894 KEV 【KEV】Ivanti pulse-connect-secure に コードインジェクション (CVE-2021-22894)
CVE-2019-9082 KEV 【KEV】thinkphp の脆弱性 (CVE-2019-9082)
CVE-2019-16759 KEV 【KEV】vbulletin に コードインジェクション (CVE-2019-16759)
CVE-2021-25877 youphptube に コードインジェクション (CVE-2021-25877)
CVE-2017-14853 The Orpak SiteOmat OrCU component is vulnerable to code injection, for all versions prior to 2017-09-25, due to a search query that uses a direct shell command. By tampering with the request, an attac...

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →