Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70
slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 具体例
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 関連タグ

🛡 このタグに関連する脆弱性 492

ID タイトル
CVE-2015-4852 KEV 【KEV】Oracle weblogic-server に 安全でないデシリアライゼーション (CVE-2015-4852)
CVE-2019-18935 KEV 【KEV】Progress telerik-ui-for-aspnet-ajax に 安全でないデシリアライゼーション (CVE-2019-18935)
CVE-2020-10189 KEV 【KEV】Zoho manageengine に 安全でないデシリアライゼーション (CVE-2020-10189)
CVE-2020-24914 qcubed に 安全でないデシリアライゼーション (CVE-2020-24914)
CVE-2020-24036 fork-cms に 安全でないデシリアライゼーション (CVE-2020-24036)
CVE-2019-17571 log4j:log4j に 安全でないデシリアライゼーション (CVE-2019-17571)
CVE-2014-9515 dozer-project に 安全でないデシリアライゼーション (CVE-2014-9515)
CVE-2017-5641 apache に 安全でないデシリアライゼーション (CVE-2017-5641)
CVE-2017-17672 deserialization に 安全でないデシリアライゼーション (CVE-2017-17672)
CVE-2017-11283 deserialization に 安全でないデシリアライゼーション (CVE-2017-11283)
CVE-2017-11284 deserialization に 安全でないデシリアライゼーション (CVE-2017-11284)
CVE-2017-1000207 swagger に 安全でないデシリアライゼーション (CVE-2017-1000207)
CVE-2017-4995 deserialization に 安全でないデシリアライゼーション (CVE-2017-4995)
CVE-2017-8045 pivotal-software に 安全でないデシリアライゼーション (CVE-2017-8045)
CVE-2017-1000248 Redis-store
CVE-2017-1000208 swagger に 安全でないデシリアライゼーション (CVE-2017-1000208)
CVE-2017-1000195 octobercms に 安全でないデシリアライゼーション (CVE-2017-1000195)
CVE-2017-12633 apache に 安全でないデシリアライゼーション (CVE-2017-12633)
CVE-2017-12634 apache に 安全でないデシリアライゼーション (CVE-2017-12634)
CVE-2015-7501 apache に 安全でないデシリアライゼーション (CVE-2015-7501)
CVE-2017-1000148 mahara に 安全でないデシリアライゼーション (CVE-2017-1000148)
CVE-2016-5003 apache に 安全でないデシリアライゼーション (CVE-2016-5003)
CVE-2017-12796 openmrs に 安全でないデシリアライゼーション (CVE-2017-12796)
CVE-2017-12628 apache に 安全でないデシリアライゼーション (CVE-2017-12628)
CVE-2015-5164 pulpproject に 安全でないデシリアライゼーション (CVE-2015-5164)
CVE-2016-8736 apache に 安全でないデシリアライゼーション (CVE-2016-8736)
CVE-2017-0903 deserialization に 安全でないデシリアライゼーション (CVE-2017-0903)
CVE-2017-0806 google に 安全でないデシリアライゼーション (CVE-2017-0806)
CVE-2017-14702 deserialization に 安全でないデシリアライゼーション (CVE-2017-14702)
CVE-2017-10932 c に 安全でないデシリアライゼーション (CVE-2017-10932)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →