Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70
slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 具体例
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 関連タグ

🛡 このタグに関連する脆弱性 492

ID タイトル
CVE-2025-56422 deserialization に 安全でないデシリアライゼーション (CVE-2025-56422)
CVE-2025-26399 KEV 【KEV】Solarwinds web-help-desk に 安全でないデシリアライゼーション (CVE-2025-26399)
CVE-2026-27830 deserialization に コードインジェクション (CVE-2026-27830)
CVE-2026-27727 mchange の脆弱性 (CVE-2026-27727)
CVE-2026-25747 apache に 安全でないデシリアライゼーション (CVE-2026-25747)
CVE-2025-49113 KEV 【KEV】Roundcube webmail に 安全でないデシリアライゼーション (CVE-2025-49113)
CVE-2025-69872 CVE-2025-69872 に コードインジェクション (CVE-2025-69872)
CVE-2025-40551 KEV 【KEV】Solarwinds web-help-desk に 安全でないデシリアライゼーション (CVE-2025-40551)
CVE-2025-61140 The value function in jsonpath 1.1.1 lib/index.js is vulnerable to Prototype Pollution.
CVE-2026-24747 linuxfoundation に コードインジェクション (CVE-2026-24747)
CVE-2026-23864 react の脆弱性 (CVE-2026-23864)
CVE-2025-56005 dabeaz に 安全でないデシリアライゼーション (CVE-2025-56005)
CVE-2025-11157 CVE-2025-11157 に 安全でないデシリアライゼーション (CVE-2025-11157)
CVE-2025-71339 picklescan に 安全でないデシリアライゼーション (CVE-2025-71339)
CVE-2025-61168 sigb に 安全でないデシリアライゼーション (CVE-2025-61168)
CVE-2025-59287 KEV 【KEV】Microsoft windows に 安全でないデシリアライゼーション (CVE-2025-59287)
CVE-2025-10035 KEV 【KEV】Fortra goanywhere-mft に 安全でないデシリアライゼーション (CVE-2025-10035)
CVE-2025-5086 KEV 【KEV】Dassault systèmes dassault-systemes に 安全でないデシリアライゼーション (CVE-2025-5086)
CVE-2025-53690 KEV 【KEV】Sitecore multiple-products に 安全でないデシリアライゼーション (CVE-2025-53690)
CVE-2025-71344 picklescan に 安全でないデシリアライゼーション (CVE-2025-71344)
CVE-2025-71358 picklescan に 安全でないデシリアライゼーション (CVE-2025-71358)
CVE-2025-71354 picklescan に 安全でないデシリアライゼーション (CVE-2025-71354)
CVE-2024-8069 KEV 【KEV】Citrix session-recording に 安全でないデシリアライゼーション (CVE-2024-8069)
CVE-2024-54678 CVE-2024-54678 に 安全でないデシリアライゼーション (CVE-2024-54678)
CVE-2025-25691 deserialization に コマンドインジェクション (CVE-2025-25691)
CVE-2025-25692 deserialization に コマンドインジェクション (CVE-2025-25692)
CVE-2025-53770 KEV 【KEV】Microsoft sharepoint に 安全でないデシリアライゼーション (CVE-2025-53770)
CVE-2025-24016 KEV 【KEV】wazuh に 安全でないデシリアライゼーション (CVE-2025-24016)
CVE-2025-42999 KEV 【KEV】Sap netweaver に 安全でないデシリアライゼーション (CVE-2025-42999)
CVE-2025-2251 deserialization に 安全でないデシリアライゼーション (CVE-2025-2251)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →