Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70

slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。

📌 具体例

CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔗 関連リンク

MITRE CWE-502 公式ページ ↗

🔖 関連タグ

CWE-20: 入力検証の不備125 CWE-78: OSコマンドインジェクション120 CWE-787: 境界外書き込み105 CWE-416: 解放後使用 (Use-After-Free)99 CWE-22: パストラバーサル96 CWE-119: メモリの境界外操作90 CWE-94: コードインジェクション84 CWE-79: クロスサイトスクリプティング (XSS)66 CWE-89: SQLインジェクション54 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 このタグに関連する脆弱性 71

ID	タイトル	重要度	検知
CVE-2019-0344 KEV	【KEV】Sap commerce-cloud に安全でないデシリアライゼーション (CVE-2019-0344)	High	1年前
CVE-2022-21445 KEV	【KEV】Oracle adf-faces に安全でないデシリアライゼーション (CVE-2022-21445)	High	1年前
CVE-2020-0618 KEV	【KEV】Microsoft sql-server に安全でないデシリアライゼーション (CVE-2020-0618)	High	1年前
CVE-2024-28986 KEV	【KEV】Solarwinds web-help-desk に安全でないデシリアライゼーション (CVE-2024-28986)	High	1年前
CVE-2018-0824 KEV	【KEV】Microsoft windows に安全でないデシリアライゼーション (CVE-2018-0824)	High	1年前
CVE-2023-43208 KEV	【KEV】Nextgen healthcare nextgen-healthcare に安全でないデシリアライゼーション (CVE-2023-43208)	High	1年前
CVE-2018-15133 KEV	【KEV】laravel に安全でないデシリアライゼーション (CVE-2018-15133)	High	2年前
CVE-2023-29300 KEV	【KEV】Adobe coldfusion に安全でないデシリアライゼーション (CVE-2023-29300)	High	2年前
CVE-2023-38203 KEV	【KEV】Adobe coldfusion に安全でないデシリアライゼーション (CVE-2023-38203)	High	2年前
CVE-2023-46604 KEV	【KEV】Apache activemq に安全でないデシリアライゼーション (CVE-2023-46604)	High	2年前
CVE-2023-40044 KEV	【KEV】Progress ws-ftp-server に安全でないデシリアライゼーション (CVE-2023-40044)	High	2年前
CVE-2023-26359 KEV	【KEV】Adobe coldfusion に安全でないデシリアライゼーション (CVE-2023-26359)	High	2年前
CVE-2022-31199 KEV	【KEV】Netwrix auditor に安全でないデシリアライゼーション (CVE-2022-31199)	High	2年前
CVE-2020-5741 KEV	【KEV】Plex media-server に安全でないデシリアライゼーション (CVE-2020-5741)	High	3年前
CVE-2021-39144 KEV	【KEV】xstream にコードインジェクション (CVE-2021-39144)	High	3年前
CVE-2022-47986 KEV	【KEV】Ibm aspera-faspex に安全でないデシリアライゼーション (CVE-2022-47986)	High	3年前
CVE-2023-0669 KEV	【KEV】Fortra goanywhere-mft に安全でないデシリアライゼーション (CVE-2023-0669)	High	3年前
CVE-2021-35587 KEV	【KEV】Oracle fusion-middleware に安全でないデシリアライゼーション (CVE-2021-35587)	High	3年前
CVE-2022-41082 KEV	【KEV】Microsoft exchange-server に安全でないデシリアライゼーション (CVE-2022-41082)	High	3年前
CVE-2022-35405 KEV	【KEV】Zoho manageengine に安全でないデシリアライゼーション (CVE-2022-35405)	High	3年前
CVE-2018-2628 KEV	【KEV】Oracle weblogic-server に安全でないデシリアライゼーション (CVE-2018-2628)	High	3年前
CVE-2021-31010 KEV	【KEV】Apple ios の脆弱性 (CVE-2021-31010)	High	3年前
CVE-2019-15271 KEV	【KEV】Cisco rv-series-routers に安全でないデシリアライゼーション (CVE-2019-15271)	High	3年前
CVE-2021-27852 KEV	【KEV】checkbox に安全でないデシリアライゼーション (CVE-2021-27852)	High	4年前
CVE-2021-42237 KEV	【KEV】Sitecore xp に安全でないデシリアライゼーション (CVE-2021-42237)	High	4年前
CVE-2019-6340 KEV	【KEV】Drupal core に安全でないデシリアライゼーション (CVE-2019-6340)	High	4年前
CVE-2019-10068 KEV	【KEV】Kentico xperience に安全でないデシリアライゼーション (CVE-2019-10068)	High	4年前
CVE-2018-1000861 KEV	【KEV】jenkins に安全でないデシリアライゼーション (CVE-2018-1000861)	High	4年前
CVE-2017-12149 KEV	【KEV】Red hat red-hat に安全でないデシリアライゼーション (CVE-2017-12149)	High	4年前
CVE-2021-44228 KEV	【KEV】Apache log4j2 の脆弱性 (CVE-2021-44228)	High	4年前

解説

🔖 関連タグ

🛡 このタグに関連する脆弱性 71

🍪 Cookie について