Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70
slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 具体例
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 関連タグ

🛡 このタグに関連する脆弱性 492

ID タイトル
CVE-2022-21341 java に 安全でないデシリアライゼーション (CVE-2022-21341)
CVE-2026-34084 phpoffice/phpspreadsheet に 安全でないデシリアライゼーション (CVE-2026-34084)
CVE-2026-42027 org.apache.opennlp:opennlp-tools の脆弱性 (CVE-2026-42027)
CVE-2026-37552 deserialization に 安全でないデシリアライゼーション (CVE-2026-37552)
CVE-2025-60889 deserialization に 安全でないデシリアライゼーション (CVE-2025-60889)
CVE-2025-60887 deserialization に 安全でないデシリアライゼーション (CVE-2025-60887)
CVE-2026-27172 apache に 安全でないデシリアライゼーション (CVE-2026-27172)
CVE-2026-40858 apache に 安全でないデシリアライゼーション (CVE-2026-40858)
CVE-2026-33454 apache に 安全でないデシリアライゼーション (CVE-2026-33454)
CVE-2026-40860 apache に 安全でないデシリアライゼーション (CVE-2026-40860)
CVE-2026-40048 apache に 安全でないデシリアライゼーション (CVE-2026-40048)
CVE-2026-40473 apache に 安全でないデシリアライゼーション (CVE-2026-40473)
CVE-2026-41316 erb の脆弱性 (CVE-2026-41316)
CVE-2026-6857 org.apache.camel:camel-infinispan に 安全でないデシリアライゼーション (CVE-2026-6857)
CVE-2026-22016 c に 情報漏洩 (CVE-2026-22016)
CVE-2026-5426 csharp の脆弱性 (CVE-2026-5426)
CVE-2026-1462 keras に 安全でないデシリアライゼーション (CVE-2026-1462)
CVE-2026-25204 dos に 安全でないデシリアライゼーション (CVE-2026-25204)
CVE-2023-21529 KEV 【KEV】Microsoft exchange-server に 安全でないデシリアライゼーション (CVE-2023-21529)
CVE-2026-23869 react の脆弱性 (CVE-2026-23869)
CVE-2026-32590 redhat に 安全でないデシリアライゼーション (CVE-2026-32590)
CVE-2026-34877 arm の脆弱性 (CVE-2026-34877)
CVE-2026-33728 com.datadoghq:dd-java-agent に 安全でないデシリアライゼーション (CVE-2026-33728)
CVE-2026-33701 linuxfoundation に 安全でないデシリアライゼーション (CVE-2026-33701)
CVE-2026-0677 deserialization に 安全でないデシリアライゼーション (CVE-2026-0677)
CVE-2026-20131 KEV 【KEV】Cisco secure-firewall-management-center-fmc に 安全でないデシリアライゼーション (CVE-2026-20131)
CVE-2026-20963 KEV 【KEV】Microsoft sharepoint に 安全でないデシリアライゼーション (CVE-2026-20963)
CVE-2025-13913 inductiveautomation に 安全でないデシリアライゼーション (CVE-2025-13913)
CVE-2025-11739 deserialization に 安全でないデシリアライゼーション (CVE-2025-11739)
CVE-2026-1286 deserialization に 安全でないデシリアライゼーション (CVE-2026-1286)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →