Cwe 502

🧬 CWE Liées 70
slug: cwe-502

Explication

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 Exemple
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 494

ID Titre
CVE-2021-26857 KEV [KEV] Désérialisation non sécurisée dans Microsoft exchange-server (CVE-2021-26857)
CVE-2020-2555 KEV [KEV] Désérialisation non sécurisée dans Oracle multiple-products (CVE-2020-2555)
CVE-2015-4852 KEV [KEV] Désérialisation non sécurisée dans Oracle weblogic-server (CVE-2015-4852)
CVE-2019-18935 KEV [KEV] Désérialisation non sécurisée dans Progress telerik-ui-for-aspnet-ajax (CVE-2019-18935)
CVE-2020-10189 KEV [KEV] Désérialisation non sécurisée dans Zoho manageengine (CVE-2020-10189)
CVE-2020-24914 Désérialisation non sécurisée dans qcubed (CVE-2020-24914)
CVE-2020-24036 Désérialisation non sécurisée dans fork-cms (CVE-2020-24036)
CVE-2019-17571 Désérialisation non sécurisée dans log4j:log4j (CVE-2019-17571)
CVE-2014-9515 Désérialisation non sécurisée dans dozer-project (CVE-2014-9515)
CVE-2017-5641 Désérialisation non sécurisée dans apache (CVE-2017-5641)
CVE-2017-17672 Désérialisation non sécurisée dans deserialization (CVE-2017-17672)
CVE-2017-11283 Désérialisation non sécurisée dans deserialization (CVE-2017-11283)
CVE-2017-11284 Désérialisation non sécurisée dans deserialization (CVE-2017-11284)
CVE-2017-1000207 Désérialisation non sécurisée dans swagger (CVE-2017-1000207)
CVE-2017-4995 Désérialisation non sécurisée dans deserialization (CVE-2017-4995)
CVE-2017-8045 Désérialisation non sécurisée dans pivotal-software (CVE-2017-8045)
CVE-2017-1000248 Redis-store
CVE-2017-1000208 Désérialisation non sécurisée dans swagger (CVE-2017-1000208)
CVE-2017-1000195 Désérialisation non sécurisée dans octobercms (CVE-2017-1000195)
CVE-2017-12633 Désérialisation non sécurisée dans apache (CVE-2017-12633)
CVE-2017-12634 Désérialisation non sécurisée dans apache (CVE-2017-12634)
CVE-2015-7501 Désérialisation non sécurisée dans apache (CVE-2015-7501)
CVE-2017-1000148 Désérialisation non sécurisée dans mahara (CVE-2017-1000148)
CVE-2016-5003 Désérialisation non sécurisée dans apache (CVE-2016-5003)
CVE-2017-12796 Désérialisation non sécurisée dans openmrs (CVE-2017-12796)
CVE-2017-12628 Désérialisation non sécurisée dans apache (CVE-2017-12628)
CVE-2015-5164 Désérialisation non sécurisée dans pulpproject (CVE-2015-5164)
CVE-2016-8736 Désérialisation non sécurisée dans apache (CVE-2016-8736)
CVE-2017-0903 Désérialisation non sécurisée dans deserialization (CVE-2017-0903)
CVE-2017-0806 Désérialisation non sécurisée dans google (CVE-2017-0806)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →