Cwe 502

🧬 CWE Liées 70

slug: cwe-502

Explication

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。

📌 Exemple

CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔗 Liens utiles

MITRE CWE-502 公式ページ ↗

🔖 Étiquettes liées

Cwe 20125 Cwe 78120 Cwe 787105 Cwe 41699 Cwe 2296 Cwe 11990 Cwe 9484 Cwe 7966 Cwe 8954 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 Vulnérabilités associées 71

ID	Titre	Gravité	Détecté
CVE-2021-42321 KEV	[KEV] Vulnérabilité dans Microsoft exchange (CVE-2021-42321)	High	il y a 4 ans
CVE-2019-18935 KEV	[KEV] Désérialisation non sécurisée dans Progress telerik-ui-for-aspnet-ajax (CVE-2019-18935)	High	il y a 4 ans
CVE-2020-10189 KEV	[KEV] Désérialisation non sécurisée dans Zoho manageengine (CVE-2020-10189)	High	il y a 4 ans
CVE-2015-4852 KEV	[KEV] Désérialisation non sécurisée dans Oracle weblogic-server (CVE-2015-4852)	High	il y a 4 ans
CVE-2020-2555 KEV	[KEV] Désérialisation non sécurisée dans Oracle multiple-products (CVE-2020-2555)	High	il y a 4 ans
CVE-2021-26857 KEV	[KEV] Désérialisation non sécurisée dans Microsoft exchange-server (CVE-2021-26857)	High	il y a 4 ans
CVE-2020-17144 KEV	[KEV] Désérialisation non sécurisée dans Microsoft exchange-server (CVE-2020-17144)	High	il y a 4 ans
CVE-2020-7961 KEV	[KEV] Désérialisation non sécurisée dans liferay (CVE-2020-7961)	High	il y a 4 ans
CVE-2021-35464 KEV	[KEV] Désérialisation non sécurisée dans Forgerock access-management-am (CVE-2021-35464)	High	il y a 4 ans
CVE-2017-9805 KEV	[KEV] Désérialisation non sécurisée dans Apache struts (CVE-2017-9805)	High	il y a 4 ans
CVE-2018-4939 KEV	[KEV] Désérialisation non sécurisée dans Adobe coldfusion (CVE-2018-4939)	High	il y a 4 ans

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →