Cwe 502

🧬 CWE Liées 70
slug: cwe-502

Explication

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 Exemple
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 494

ID Titre
CVE-2023-0669 KEV [KEV] Désérialisation non sécurisée dans Fortra goanywhere-mft (CVE-2023-0669)
CVE-2021-35587 KEV [KEV] Désérialisation non sécurisée dans Oracle fusion-middleware (CVE-2021-35587)
CVE-2022-21624 Désérialisation non sécurisée dans c (CVE-2022-21624)
CVE-2022-41082 KEV [KEV] Désérialisation non sécurisée dans Microsoft exchange-server (CVE-2022-41082)
CVE-2022-35405 KEV [KEV] Désérialisation non sécurisée dans Zoho manageengine (CVE-2022-35405)
CVE-2018-2628 KEV [KEV] Désérialisation non sécurisée dans Oracle weblogic-server (CVE-2018-2628)
CVE-2021-31010 KEV [KEV] Vulnérabilité dans Apple ios (CVE-2021-31010)
CVE-2022-32224 Désérialisation non sécurisée dans activerecord (CVE-2022-32224)
CVE-2021-36665 Désérialisation non sécurisée dans druva (CVE-2021-36665)
CVE-2019-15271 KEV [KEV] Désérialisation non sécurisée dans Cisco rv-series-routers (CVE-2019-15271)
CVE-2019-12868 Désérialisation non sécurisée dans deserialization (CVE-2019-12868)
CVE-2022-25647 Désérialisation non sécurisée dans com.google.code.gson:gson (CVE-2022-25647)
CVE-2022-29528 An issue was discovered in MISP before 2.4.158. PHAR deserialization can occur.
CVE-2021-27852 KEV [KEV] Désérialisation non sécurisée dans checkbox (CVE-2021-27852)
CVE-2021-42237 KEV [KEV] Désérialisation non sécurisée dans Sitecore xp (CVE-2021-42237)
CVE-2019-6340 KEV [KEV] Désérialisation non sécurisée dans Drupal core (CVE-2019-6340)
CVE-2019-10068 KEV [KEV] Désérialisation non sécurisée dans Kentico xperience (CVE-2019-10068)
CVE-2018-1000861 KEV [KEV] Désérialisation non sécurisée dans jenkins (CVE-2018-1000861)
CVE-2021-42631 Désérialisation non sécurisée dans printerlogic (CVE-2021-42631)
CVE-2022-23302 Désérialisation non sécurisée dans apache (CVE-2022-23302)
CVE-2022-23307 Désérialisation non sécurisée dans apache (CVE-2022-23307)
CVE-2021-4104 Désérialisation non sécurisée dans apache (CVE-2021-4104)
CVE-2017-12149 KEV [KEV] Désérialisation non sécurisée dans Red hat red-hat (CVE-2017-12149)
CVE-2021-44228 KEV [KEV] Vulnérabilité dans Apache log4j2 (CVE-2021-44228)
CVE-2021-42321 KEV [KEV] Vulnérabilité dans Microsoft exchange (CVE-2021-42321)
CVE-2018-4939 KEV [KEV] Désérialisation non sécurisée dans Adobe coldfusion (CVE-2018-4939)
CVE-2017-9805 KEV [KEV] Désérialisation non sécurisée dans Apache struts (CVE-2017-9805)
CVE-2021-35464 KEV [KEV] Désérialisation non sécurisée dans Forgerock access-management-am (CVE-2021-35464)
CVE-2020-7961 KEV [KEV] Désérialisation non sécurisée dans liferay (CVE-2020-7961)
CVE-2020-17144 KEV [KEV] Désérialisation non sécurisée dans Microsoft exchange-server (CVE-2020-17144)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →