Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70
slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 具体例
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 関連タグ

🛡 このタグに関連する脆弱性 492

ID タイトル
CVE-2025-24813 KEV 【KEV】Apache tomcat の脆弱性 (CVE-2025-24813)
CVE-2019-9875 KEV 【KEV】Sitecore cms-and-experience-platform-xp に 安全でないデシリアライゼーション (CVE-2019-9875)
CVE-2019-9874 KEV 【KEV】Sitecore cms-and-experience-platform-xp に 安全でないデシリアライゼーション (CVE-2019-9874)
CVE-2024-20953 KEV 【KEV】Oracle agile-product-lifecycle-management-plm に 安全でないデシリアライゼーション (CVE-2024-20953)
CVE-2017-3066 KEV 【KEV】Adobe coldfusion に 安全でないデシリアライゼーション (CVE-2017-3066)
CVE-2025-0994 KEV 【KEV】Trimble cityworks に 安全でないデシリアライゼーション (CVE-2025-0994)
CVE-2025-23006 KEV 【KEV】Sonicwall sma1000-appliances に 安全でないデシリアライゼーション (CVE-2025-23006)
CVE-2024-38094 KEV 【KEV】Microsoft sharepoint に 安全でないデシリアライゼーション (CVE-2024-38094)
CVE-2024-40711 KEV 【KEV】Veeam backup-replication に 安全でないデシリアライゼーション (CVE-2024-40711)
CVE-2019-0344 KEV 【KEV】Sap commerce-cloud に 安全でないデシリアライゼーション (CVE-2019-0344)
CVE-2022-21445 KEV 【KEV】Oracle adf-faces に 安全でないデシリアライゼーション (CVE-2022-21445)
CVE-2020-0618 KEV 【KEV】Microsoft sql-server に 安全でないデシリアライゼーション (CVE-2020-0618)
CVE-2024-44902 deserialization に 安全でないデシリアライゼーション (CVE-2024-44902)
CVE-2024-28986 KEV 【KEV】Solarwinds web-help-desk に 安全でないデシリアライゼーション (CVE-2024-28986)
CVE-2018-0824 KEV 【KEV】Microsoft windows に 安全でないデシリアライゼーション (CVE-2018-0824)
CVE-2023-43208 KEV 【KEV】Nextgen healthcare nextgen-healthcare に 安全でないデシリアライゼーション (CVE-2023-43208)
CVE-2018-15133 KEV 【KEV】laravel に 安全でないデシリアライゼーション (CVE-2018-15133)
CVE-2023-29300 KEV 【KEV】Adobe coldfusion に 安全でないデシリアライゼーション (CVE-2023-29300)
CVE-2023-38203 KEV 【KEV】Adobe coldfusion に 安全でないデシリアライゼーション (CVE-2023-38203)
CVE-2023-46604 KEV 【KEV】Apache activemq に 安全でないデシリアライゼーション (CVE-2023-46604)
CVE-2023-40044 KEV 【KEV】Progress ws-ftp-server に 安全でないデシリアライゼーション (CVE-2023-40044)
CVE-2023-43176 deserialization に 安全でないデシリアライゼーション (CVE-2023-43176)
CVE-2023-26359 KEV 【KEV】Adobe coldfusion に 安全でないデシリアライゼーション (CVE-2023-26359)
CVE-2022-31199 KEV 【KEV】Netwrix auditor に 安全でないデシリアライゼーション (CVE-2022-31199)
CVE-2020-29312 zend に 安全でないデシリアライゼーション (CVE-2020-29312)
CVE-2021-39144 KEV 【KEV】xstream に コードインジェクション (CVE-2021-39144)
CVE-2020-5741 KEV 【KEV】Plex media-server に 安全でないデシリアライゼーション (CVE-2020-5741)
CVE-2022-47986 KEV 【KEV】Ibm aspera-faspex に 安全でないデシリアライゼーション (CVE-2022-47986)
CVE-2023-0669 KEV 【KEV】Fortra goanywhere-mft に 安全でないデシリアライゼーション (CVE-2023-0669)
CVE-2021-35587 KEV 【KEV】Oracle fusion-middleware に 安全でないデシリアライゼーション (CVE-2021-35587)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →