Cwe 502

🧬 CWE Liées 70
slug: cwe-502

Explication

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 Exemple
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 492

ID Titre
CVE-2025-24813 KEV [KEV] Vulnérabilité dans Apache tomcat (CVE-2025-24813)
CVE-2019-9875 KEV [KEV] Désérialisation non sécurisée dans Sitecore cms-and-experience-platform-xp (CVE-2019-9875)
CVE-2019-9874 KEV [KEV] Désérialisation non sécurisée dans Sitecore cms-and-experience-platform-xp (CVE-2019-9874)
CVE-2024-20953 KEV [KEV] Désérialisation non sécurisée dans Oracle agile-product-lifecycle-management-plm (CVE-2024-20953)
CVE-2017-3066 KEV [KEV] Désérialisation non sécurisée dans Adobe coldfusion (CVE-2017-3066)
CVE-2025-0994 KEV [KEV] Désérialisation non sécurisée dans Trimble cityworks (CVE-2025-0994)
CVE-2025-23006 KEV [KEV] Désérialisation non sécurisée dans Sonicwall sma1000-appliances (CVE-2025-23006)
CVE-2024-38094 KEV [KEV] Désérialisation non sécurisée dans Microsoft sharepoint (CVE-2024-38094)
CVE-2024-40711 KEV [KEV] Désérialisation non sécurisée dans Veeam backup-replication (CVE-2024-40711)
CVE-2019-0344 KEV [KEV] Désérialisation non sécurisée dans Sap commerce-cloud (CVE-2019-0344)
CVE-2022-21445 KEV [KEV] Désérialisation non sécurisée dans Oracle adf-faces (CVE-2022-21445)
CVE-2020-0618 KEV [KEV] Désérialisation non sécurisée dans Microsoft sql-server (CVE-2020-0618)
CVE-2024-44902 Désérialisation non sécurisée dans deserialization (CVE-2024-44902)
CVE-2024-28986 KEV [KEV] Désérialisation non sécurisée dans Solarwinds web-help-desk (CVE-2024-28986)
CVE-2018-0824 KEV [KEV] Désérialisation non sécurisée dans Microsoft windows (CVE-2018-0824)
CVE-2023-43208 KEV [KEV] Désérialisation non sécurisée dans Nextgen healthcare nextgen-healthcare (CVE-2023-43208)
CVE-2018-15133 KEV [KEV] Désérialisation non sécurisée dans laravel (CVE-2018-15133)
CVE-2023-29300 KEV [KEV] Désérialisation non sécurisée dans Adobe coldfusion (CVE-2023-29300)
CVE-2023-38203 KEV [KEV] Désérialisation non sécurisée dans Adobe coldfusion (CVE-2023-38203)
CVE-2023-46604 KEV [KEV] Désérialisation non sécurisée dans Apache activemq (CVE-2023-46604)
CVE-2023-40044 KEV [KEV] Désérialisation non sécurisée dans Progress ws-ftp-server (CVE-2023-40044)
CVE-2023-43176 Désérialisation non sécurisée dans deserialization (CVE-2023-43176)
CVE-2023-26359 KEV [KEV] Désérialisation non sécurisée dans Adobe coldfusion (CVE-2023-26359)
CVE-2022-31199 KEV [KEV] Désérialisation non sécurisée dans Netwrix auditor (CVE-2022-31199)
CVE-2020-29312 Désérialisation non sécurisée dans zend (CVE-2020-29312)
CVE-2021-39144 KEV [KEV] Injection de code dans xstream (CVE-2021-39144)
CVE-2020-5741 KEV [KEV] Désérialisation non sécurisée dans Plex media-server (CVE-2020-5741)
CVE-2022-47986 KEV [KEV] Désérialisation non sécurisée dans Ibm aspera-faspex (CVE-2022-47986)
CVE-2023-0669 KEV [KEV] Désérialisation non sécurisée dans Fortra goanywhere-mft (CVE-2023-0669)
CVE-2021-35587 KEV [KEV] Désérialisation non sécurisée dans Oracle fusion-middleware (CVE-2021-35587)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →