Cwe 502

🧬 CWE Liées 70
slug: cwe-502

Explication

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 Exemple
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 492

ID Titre
CVE-2017-14141 Désérialisation non sécurisée dans kaltura (CVE-2017-14141)
CVE-2016-8744 Désérialisation non sécurisée dans apache (CVE-2016-8744)
CVE-2017-12612 Désérialisation non sécurisée dans apache (CVE-2017-12612)
CVE-2017-14035 CrushFTP 8.x before 8.2.0 has a serialization vulnerability.
CVE-2017-11153 Désérialisation non sécurisée dans deserialization (CVE-2017-11153)
CVE-2017-9785 Désérialisation non sécurisée dans csrf (CVE-2017-9785)
CVE-2017-1000034 Désérialisation non sécurisée dans deserialization (CVE-2017-1000034)
CVE-2017-1000053 Désérialisation non sécurisée dans deserialization (CVE-2017-1000053)
CVE-2016-6793 Désérialisation non sécurisée dans apache (CVE-2016-6793)
CVE-2017-11143 Use-After-Free dans c (CVE-2017-11143)
CVE-2016-4000 Désérialisation non sécurisée dans org.python:jython-standalone (CVE-2016-4000)
CVE-2017-2295 Désérialisation non sécurisée dans deserialization (CVE-2017-2295)
CVE-2017-10803 Désérialisation non sécurisée dans odoo (CVE-2017-10803)
CVE-2017-2292 Désérialisation non sécurisée dans puppet (CVE-2017-2292)
CVE-2017-9830 Désérialisation non sécurisée dans apache (CVE-2017-9830)
CVE-2017-9424 Désérialisation non sécurisée dans csharp (CVE-2017-9424)
CVE-2016-7050 Désérialisation non sécurisée dans redhat (CVE-2016-7050)
CVE-2016-3690 Désérialisation non sécurisée dans redhat (CVE-2016-3690)
CVE-2017-5878 Désérialisation non sécurisée dans deserialization (CVE-2017-5878)
CVE-2017-4914 Désérialisation non sécurisée dans deserialization (CVE-2017-4914)
CVE-2017-9363 Désérialisation non sécurisée dans soffid (CVE-2017-9363)
CVE-2017-7504 Désérialisation non sécurisée dans deserialization (CVE-2017-7504)
CVE-2017-8829 Désérialisation non sécurisée dans deserialization (CVE-2017-8829)
CVE-2017-8804 Désérialisation non sécurisée dans c (CVE-2017-8804)
CVE-2017-7293 Désérialisation non sécurisée dans csharp (CVE-2017-7293)
CVE-2017-5645 Désérialisation non sécurisée dans apache (CVE-2017-5645)
CVE-2016-0779 Désérialisation non sécurisée dans apache (CVE-2016-0779)
CVE-2016-4483 Désérialisation non sécurisée dans c (CVE-2016-4483)
CVE-2017-5983 Désérialisation non sécurisée dans dos (CVE-2017-5983)
CVE-2016-10304 Désérialisation non sécurisée dans dos (CVE-2016-10304)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →