# Improper Neutralization of Special Elements used in a Command ('Command Injection') (CWE-77)

The product constructs all or part of a command using externally-influenced input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could modify the intended command when it is sent to a downstream component.

- Prevalence: 高 Shoulder ルールなし
- Impact: ハイ OWASP Top 10 #3
- Prevention: MITRE を参照 外部参照

**OWASP:** Injection (A03:2021-Injection) - #3

## Description

Command injection vulnerabilities typically occur when data enters the application from an untrusted source, the data is part of a string that is executed as a command by the application, and the execution of the command allows the attacker to execute commands that they would not normally be able to execute.

## Prevention

## Consequences

- 未承認コマンドの実行
- アプリケーションデータの読み取り
- アプリケーションデータの変更
- DoS

## Mitigations

- 目的の機能を再現するには、外部プロセスではなくライブラリ呼び出しを使用する
- 厳格な境界を強制するサンドボックス環境でコードを実行する
- この脆弱性を許可しない、検証済みのライブラリまたはフレームワークを使用する