Cwe 502

🧬 CWE Liées 70
slug: cwe-502

Explication

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 Exemple
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 Étiquettes liées

🛡 Vulnérabilités associées 492

ID Titre
CVE-2026-42211 React Router's vendored turbo-stream v2 allows arbitrary constructor invocation via TYPE_ERROR deserialization leading to Unauth RCE
CVE-2026-34993 Désérialisation non sécurisée dans aiohttp (CVE-2026-34993)
CVE-2026-24237 Désérialisation non sécurisée dans deserialization (CVE-2026-24237)
CVE-2026-24221 Désérialisation non sécurisée dans deserialization (CVE-2026-24221)
CVE-2026-39555 Deserialization of Untrusted Data vulnerability in Elated-Themes Askka allows Object Injection. ...
CVE-2026-39551 Désérialisation non sécurisée dans deserialization (CVE-2026-39551)
CVE-2026-39550 Désérialisation non sécurisée dans deserialization (CVE-2026-39550)
CVE-2026-10566 Vulnérabilité dans deserialization (CVE-2026-10566)
CVE-2026-9330 Désérialisation non sécurisée dans deserialization (CVE-2026-9330)
CVE-2026-9319 Désérialisation non sécurisée dans deserialization (CVE-2026-9319)
CVE-2026-49121 Désérialisation non sécurisée dans amd (CVE-2026-49121)
CVE-2026-38950 Désérialisation non sécurisée dans deserialization (CVE-2026-38950)
CVE-2026-10532 Désérialisation non sécurisée dans privilege-escalation (CVE-2026-10532)
CVE-2026-7858 Désérialisation non sécurisée dans deserialization (CVE-2026-7858)
CVE-2026-42359 Désérialisation non sécurisée dans apache-airflow (CVE-2026-42359)
CVE-2026-45360 Désérialisation non sécurisée dans apache-airflow (CVE-2026-45360)
CVE-2026-10042 Désérialisation non sécurisée dans deserialization (CVE-2026-10042)
CVE-2025-11993 Désérialisation non sécurisée dans wordpress (CVE-2025-11993)
CVE-2026-9828 Désérialisation non sécurisée dans ch.qos.logback:logback-core (CVE-2026-9828)
CVE-2026-37579 Désérialisation non sécurisée dans CVE-2026-37579 (CVE-2026-37579)
CVE-2026-47161 Désérialisation non sécurisée dans CVE-2026-47161 (CVE-2026-47161)
CVE-2026-48919 Désérialisation non sécurisée dans org.jenkins-ci.plugins:active-directory (CVE-2026-48919)
CVE-2026-48917 Désérialisation non sécurisée dans org.jenkins-ci.plugins:ldap (CVE-2026-48917)
CVE-2026-24162 Désérialisation non sécurisée dans deserialization (CVE-2026-24162)
CVE-2026-45247 KEV [KEV] Désérialisation non sécurisée dans Mirasvit full-page-cache-warmer (CVE-2026-45247)
CVE-2026-9497 Vulnérabilité dans org.mengyun:tcc-transaction (CVE-2026-9497)
CVE-2026-4372 Désérialisation non sécurisée dans transformers (CVE-2026-4372)
CVE-2026-45659 KEV [KEV] Désérialisation non sécurisée dans Microsoft deserialization (CVE-2026-45659)
CVE-2026-41104 Désérialisation non sécurisée dans deserialization (CVE-2026-41104)
CVE-2026-39832 Vulnérabilité dans golang.org/x/crypto (CVE-2026-39832)

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →