Cwe 502

🧬 CWE Liées 70
slug: cwe-502

Explication

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 Exemple
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 492

ID Titre
CVE-2025-56422 Désérialisation non sécurisée dans deserialization (CVE-2025-56422)
CVE-2025-26399 KEV [KEV] Désérialisation non sécurisée dans Solarwinds web-help-desk (CVE-2025-26399)
CVE-2026-27830 Injection de code dans deserialization (CVE-2026-27830)
CVE-2026-27727 Vulnérabilité dans mchange (CVE-2026-27727)
CVE-2026-25747 Désérialisation non sécurisée dans apache (CVE-2026-25747)
CVE-2025-49113 KEV [KEV] Désérialisation non sécurisée dans Roundcube webmail (CVE-2025-49113)
CVE-2025-69872 Injection de code dans CVE-2025-69872 (CVE-2025-69872)
CVE-2025-40551 KEV [KEV] Désérialisation non sécurisée dans Solarwinds web-help-desk (CVE-2025-40551)
CVE-2025-61140 The value function in jsonpath 1.1.1 lib/index.js is vulnerable to Prototype Pollution.
CVE-2026-24747 Injection de code dans linuxfoundation (CVE-2026-24747)
CVE-2026-23864 Vulnérabilité dans react (CVE-2026-23864)
CVE-2025-56005 Désérialisation non sécurisée dans dabeaz (CVE-2025-56005)
CVE-2025-11157 Désérialisation non sécurisée dans CVE-2025-11157 (CVE-2025-11157)
CVE-2025-71339 Désérialisation non sécurisée dans picklescan (CVE-2025-71339)
CVE-2025-61168 Désérialisation non sécurisée dans sigb (CVE-2025-61168)
CVE-2025-59287 KEV [KEV] Désérialisation non sécurisée dans Microsoft windows (CVE-2025-59287)
CVE-2025-10035 KEV [KEV] Désérialisation non sécurisée dans Fortra goanywhere-mft (CVE-2025-10035)
CVE-2025-5086 KEV [KEV] Désérialisation non sécurisée dans Dassault systèmes dassault-systemes (CVE-2025-5086)
CVE-2025-53690 KEV [KEV] Désérialisation non sécurisée dans Sitecore multiple-products (CVE-2025-53690)
CVE-2025-71344 Désérialisation non sécurisée dans picklescan (CVE-2025-71344)
CVE-2025-71358 Désérialisation non sécurisée dans picklescan (CVE-2025-71358)
CVE-2025-71354 Désérialisation non sécurisée dans picklescan (CVE-2025-71354)
CVE-2024-8069 KEV [KEV] Désérialisation non sécurisée dans Citrix session-recording (CVE-2024-8069)
CVE-2024-54678 Désérialisation non sécurisée dans CVE-2024-54678 (CVE-2024-54678)
CVE-2025-25691 Injection de commande dans deserialization (CVE-2025-25691)
CVE-2025-25692 Injection de commande dans deserialization (CVE-2025-25692)
CVE-2025-53770 KEV [KEV] Désérialisation non sécurisée dans Microsoft sharepoint (CVE-2025-53770)
CVE-2025-24016 KEV [KEV] Désérialisation non sécurisée dans wazuh (CVE-2025-24016)
CVE-2025-42999 KEV [KEV] Désérialisation non sécurisée dans Sap netweaver (CVE-2025-42999)
CVE-2025-2251 Désérialisation non sécurisée dans deserialization (CVE-2025-2251)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →