Cwe 502

🧬 CWE Liées 70
slug: cwe-502

Explication

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 Exemple
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 492

ID Titre
CVE-2026-12569 KEV [KEV] Vulnérabilité dans Ptc deserialization (CVE-2026-12569)
CVE-2026-53805 Désérialisation non sécurisée dans CVE-2026-53805 (CVE-2026-53805)
CVE-2026-53874 Désérialisation non sécurisée dans picklescan (CVE-2026-53874)
CVE-2025-71321 Désérialisation non sécurisée dans picklescan (CVE-2025-71321)
CVE-2026-49108 Unauthenticated PHP Object Injection in Moderno < 1.43 versions.
CVE-2026-40757 Unauthenticated PHP Object Injection in Château <= 1.2.1 versions.
CVE-2026-40733 Unauthenticated PHP Object Injection in ShiftUp <= 1.3 versions.
CVE-2026-40752 Unauthenticated PHP Object Injection in Manufaktur Solutions <= 1.1.1 versions.
CVE-2026-39576 Unauthenticated PHP Object Injection in SingleMalt <= 1.5 versions.
CVE-2026-40756 Unauthenticated PHP Object Injection in Zoya <= 1.4 versions.
CVE-2026-39560 Unauthenticated PHP Object Injection in Hiroshi <= 1.5.1 versions.
CVE-2026-39445 Unauthenticated PHP Object Injection in Alukas < 3.0.0 versions.
CVE-2026-40738 Unauthenticated PHP Object Injection in Eldon <= 1.4.1 versions.
CVE-2026-39556 Unauthenticated PHP Object Injection in Konsept <= 1.9 versions.
CVE-2025-69130 Désérialisation non sécurisée dans wordpress (CVE-2025-69130)
CVE-2026-39442 Unauthenticated PHP Object Injection in PressMart <= 1.2.26 versions.
CVE-2025-69111 Unauthenticated PHP Object Injection in Reisen <= 1.4.1 versions.
CVE-2025-60229 Désérialisation non sécurisée dans deserialization (CVE-2025-60229)
CVE-2025-69127 Unauthenticated PHP Object Injection in Plumbing <= 1.6 versions.
CVE-2025-60231 Désérialisation non sécurisée dans deserialization (CVE-2025-60231)
CVE-2025-60236 Désérialisation non sécurisée dans deserialization (CVE-2025-60236)
CVE-2025-60230 Désérialisation non sécurisée dans deserialization (CVE-2025-60230)
CVE-2026-54194 Contributor PHP Object Injection in Fusion Builder <= 3.15.4 versions.
CVE-2026-54806 Unauthenticated PHP Object Injection in WP Activity Log <= 5.6.3.1 versions.
CVE-2026-52706 Unauthenticated PHP Object Injection in JetEngine <= 3.8.10 versions.
CVE-2026-49107 Unauthenticated PHP Object Injection in Thrive Apprentice < 10.8.10.2 versions.
CVE-2026-49075 Contributor PHP Object Injection in JetEngine <= 3.8.9.1 versions.
CVE-2026-40761 Unauthenticated PHP Object Injection in Valeska <= 1.2.2 versions.
CVE-2026-40759 Unauthenticated PHP Object Injection in Esmée <= 1.4 versions.
CVE-2026-40735 Unauthenticated PHP Object Injection in Reina <= 2.1 versions.

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →