Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70

slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。

📌 具体例

CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔗 関連リンク

MITRE CWE-502 公式ページ ↗

🔖 関連タグ

CWE-20: 入力検証の不備125 CWE-78: OSコマンドインジェクション120 CWE-787: 境界外書き込み105 CWE-416: 解放後使用 (Use-After-Free)99 CWE-22: パストラバーサル96 CWE-119: メモリの境界外操作90 CWE-94: コードインジェクション84 CWE-79: クロスサイトスクリプティング (XSS)66 CWE-89: SQLインジェクション54 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 このタグに関連する脆弱性 71

ID	タイトル	重要度	検知
CVE-2026-41486	CVE-2026-41486 にコードインジェクション (CVE-2026-41486)		20時間前
CVE-2026-44126	CVE-2026-44126 に安全でないデシリアライゼーション (CVE-2026-44126)		1日前
CVE-2026-5127	wordpress に安全でないデシリアライゼーション (CVE-2026-5127)	High	1日前
CVE-2025-69691	pfsense の脆弱性 (CVE-2025-69691)	Critical	1日前
CVE-2025-69690	deserialization に安全でないデシリアライゼーション (CVE-2025-69690)	Critical	1日前
CVE-2024-53326	deserialization に安全でないデシリアライゼーション (CVE-2024-53326)	High	1日前
CVE-2026-34084	phpoffice/phpspreadsheet に安全でないデシリアライゼーション (CVE-2026-34084)	Critical	3日前
CVE-2023-21529 KEV	【KEV】Microsoft exchange-server に安全でないデシリアライゼーション (CVE-2023-21529)	High	3週間前
CVE-2026-20131 KEV	【KEV】Cisco secure-firewall-management-center-fmc に安全でないデシリアライゼーション (CVE-2026-20131)	High	1ヶ月前
CVE-2026-20963 KEV	【KEV】Microsoft sharepoint に安全でないデシリアライゼーション (CVE-2026-20963)	High	1ヶ月前
CVE-2025-26399 KEV	【KEV】Solarwinds web-help-desk に安全でないデシリアライゼーション (CVE-2025-26399)	High	2ヶ月前
CVE-2025-49113 KEV	【KEV】Roundcube webmail に安全でないデシリアライゼーション (CVE-2025-49113)	High	2ヶ月前
CVE-2025-40551 KEV	【KEV】Solarwinds web-help-desk に安全でないデシリアライゼーション (CVE-2025-40551)	High	3ヶ月前
CVE-2025-59287 KEV	【KEV】Microsoft windows に安全でないデシリアライゼーション (CVE-2025-59287)	High	6ヶ月前
CVE-2025-10035 KEV	【KEV】Fortra goanywhere-mft に安全でないデシリアライゼーション (CVE-2025-10035)	High	7ヶ月前
CVE-2025-5086 KEV	【KEV】Dassault systèmes dassault-systemes に安全でないデシリアライゼーション (CVE-2025-5086)	High	7ヶ月前
CVE-2025-53690 KEV	【KEV】Sitecore multiple-products に安全でないデシリアライゼーション (CVE-2025-53690)	High	8ヶ月前
CVE-2024-8069 KEV	【KEV】Citrix session-recording に安全でないデシリアライゼーション (CVE-2024-8069)	High	8ヶ月前
CVE-2025-53770 KEV	【KEV】Microsoft sharepoint に安全でないデシリアライゼーション (CVE-2025-53770)	High	9ヶ月前
CVE-2025-24016 KEV	【KEV】wazuh に安全でないデシリアライゼーション (CVE-2025-24016)	High	10ヶ月前
CVE-2025-42999 KEV	【KEV】Sap netweaver に安全でないデシリアライゼーション (CVE-2025-42999)	High	11ヶ月前
CVE-2025-24813 KEV	【KEV】Apache tomcat の脆弱性 (CVE-2025-24813)	High	1年前
CVE-2019-9875 KEV	【KEV】Sitecore cms-and-experience-platform-xp に安全でないデシリアライゼーション (CVE-2019-9875)	High	1年前
CVE-2019-9874 KEV	【KEV】Sitecore cms-and-experience-platform-xp に安全でないデシリアライゼーション (CVE-2019-9874)	High	1年前
CVE-2017-3066 KEV	【KEV】Adobe coldfusion に安全でないデシリアライゼーション (CVE-2017-3066)	High	1年前
CVE-2024-20953 KEV	【KEV】Oracle agile-product-lifecycle-management-plm に安全でないデシリアライゼーション (CVE-2024-20953)	High	1年前
CVE-2025-0994 KEV	【KEV】Trimble cityworks に安全でないデシリアライゼーション (CVE-2025-0994)	High	1年前
CVE-2025-23006 KEV	【KEV】Sonicwall sma1000-appliances に安全でないデシリアライゼーション (CVE-2025-23006)	High	1年前
CVE-2024-38094 KEV	【KEV】Microsoft sharepoint に安全でないデシリアライゼーション (CVE-2024-38094)	High	1年前
CVE-2024-40711 KEV	【KEV】Veeam backup-replication に安全でないデシリアライゼーション (CVE-2024-40711)	High	1年前

解説

🔖 関連タグ

🛡 このタグに関連する脆弱性 71

🍪 Cookie について