Windows 上で実行されるさまざまなプログラミング言語で、コマンドインジェクションの脆弱性が発見されました。これにより、攻撃者はコマンド引数に偽装した任意のコードを実行できます。これは、コマンドと引数に対する適切な検証とエスケープメカニズムが不足しているために発生します。この脆弱性は、ファイル拡張子を指定せずにコマンドを実行するアプリケーションに影響を与え、任意のコマンドを実行するために悪用される可能性があります。マイクロソフトは、2011 年からコマンドの実行とエスケープに関する懸念を文書化しています。この脆弱性の影響は実装によって異なり、ランタイム環境の更新または手動でのエスケープとデータの中立化によって軽減できます。セキュリティ研究者は、影響を受ける特定の言語とそのステータスに関する詳細な情報を提供しています。
kb.cert.org
VU#123335: Multiple programming languages fail to escape arguments properly in Microsoft Windows
RSS Hunter
2024-04-10
Create attached notes ...