Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70
slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 具体例
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 関連タグ

🛡 このタグに関連する脆弱性 492

ID タイトル
CVE-2022-21624 c に 安全でないデシリアライゼーション (CVE-2022-21624)
CVE-2022-41082 KEV 【KEV】Microsoft exchange-server に 安全でないデシリアライゼーション (CVE-2022-41082)
CVE-2022-35405 KEV 【KEV】Zoho manageengine に 安全でないデシリアライゼーション (CVE-2022-35405)
CVE-2018-2628 KEV 【KEV】Oracle weblogic-server に 安全でないデシリアライゼーション (CVE-2018-2628)
CVE-2021-31010 KEV 【KEV】Apple ios の脆弱性 (CVE-2021-31010)
CVE-2022-32224 activerecord に 安全でないデシリアライゼーション (CVE-2022-32224)
CVE-2021-36665 druva に 安全でないデシリアライゼーション (CVE-2021-36665)
CVE-2019-15271 KEV 【KEV】Cisco rv-series-routers に 安全でないデシリアライゼーション (CVE-2019-15271)
CVE-2019-12868 deserialization に 安全でないデシリアライゼーション (CVE-2019-12868)
CVE-2022-25647 com.google.code.gson:gson に 安全でないデシリアライゼーション (CVE-2022-25647)
CVE-2022-29528 An issue was discovered in MISP before 2.4.158. PHAR deserialization can occur.
CVE-2021-27852 KEV 【KEV】checkbox に 安全でないデシリアライゼーション (CVE-2021-27852)
CVE-2021-42237 KEV 【KEV】Sitecore xp に 安全でないデシリアライゼーション (CVE-2021-42237)
CVE-2019-6340 KEV 【KEV】Drupal core に 安全でないデシリアライゼーション (CVE-2019-6340)
CVE-2019-10068 KEV 【KEV】Kentico xperience に 安全でないデシリアライゼーション (CVE-2019-10068)
CVE-2018-1000861 KEV 【KEV】jenkins に 安全でないデシリアライゼーション (CVE-2018-1000861)
CVE-2021-42631 printerlogic に 安全でないデシリアライゼーション (CVE-2021-42631)
CVE-2022-23302 apache に 安全でないデシリアライゼーション (CVE-2022-23302)
CVE-2022-23307 apache に 安全でないデシリアライゼーション (CVE-2022-23307)
CVE-2021-4104 apache に 安全でないデシリアライゼーション (CVE-2021-4104)
CVE-2017-12149 KEV 【KEV】Red hat red-hat に 安全でないデシリアライゼーション (CVE-2017-12149)
CVE-2021-44228 KEV 【KEV】Apache log4j2 の脆弱性 (CVE-2021-44228)
CVE-2021-42321 KEV 【KEV】Microsoft exchange の脆弱性 (CVE-2021-42321)
CVE-2018-4939 KEV 【KEV】Adobe coldfusion に 安全でないデシリアライゼーション (CVE-2018-4939)
CVE-2017-9805 KEV 【KEV】Apache struts に 安全でないデシリアライゼーション (CVE-2017-9805)
CVE-2021-35464 KEV 【KEV】Forgerock access-management-am に 安全でないデシリアライゼーション (CVE-2021-35464)
CVE-2020-7961 KEV 【KEV】liferay に 安全でないデシリアライゼーション (CVE-2020-7961)
CVE-2020-17144 KEV 【KEV】Microsoft exchange-server に 安全でないデシリアライゼーション (CVE-2020-17144)
CVE-2021-26857 KEV 【KEV】Microsoft exchange-server に 安全でないデシリアライゼーション (CVE-2021-26857)
CVE-2020-2555 KEV 【KEV】Oracle multiple-products に 安全でないデシリアライゼーション (CVE-2020-2555)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →