Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70

slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。

📌 具体例

CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔗 関連リンク

MITRE CWE-502 公式ページ ↗

🔖 関連タグ

CWE-20: 入力検証の不備125 CWE-78: OSコマンドインジェクション120 CWE-787: 境界外書き込み105 CWE-416: 解放後使用 (Use-After-Free)99 CWE-22: パストラバーサル96 CWE-119: メモリの境界外操作90 CWE-94: コードインジェクション84 CWE-79: クロスサイトスクリプティング (XSS)66 CWE-89: SQLインジェクション54 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 このタグに関連する脆弱性 71

ID	タイトル	重要度	検知
CVE-2021-42321 KEV	【KEV】Microsoft exchange の脆弱性 (CVE-2021-42321)	High	4年前
CVE-2019-18935 KEV	【KEV】Progress telerik-ui-for-aspnet-ajax に安全でないデシリアライゼーション (CVE-2019-18935)	High	4年前
CVE-2020-10189 KEV	【KEV】Zoho manageengine に安全でないデシリアライゼーション (CVE-2020-10189)	High	4年前
CVE-2015-4852 KEV	【KEV】Oracle weblogic-server に安全でないデシリアライゼーション (CVE-2015-4852)	High	4年前
CVE-2020-2555 KEV	【KEV】Oracle multiple-products に安全でないデシリアライゼーション (CVE-2020-2555)	High	4年前
CVE-2021-26857 KEV	【KEV】Microsoft exchange-server に安全でないデシリアライゼーション (CVE-2021-26857)	High	4年前
CVE-2020-17144 KEV	【KEV】Microsoft exchange-server に安全でないデシリアライゼーション (CVE-2020-17144)	High	4年前
CVE-2020-7961 KEV	【KEV】liferay に安全でないデシリアライゼーション (CVE-2020-7961)	High	4年前
CVE-2021-35464 KEV	【KEV】Forgerock access-management-am に安全でないデシリアライゼーション (CVE-2021-35464)	High	4年前
CVE-2017-9805 KEV	【KEV】Apache struts に安全でないデシリアライゼーション (CVE-2017-9805)	High	4年前
CVE-2018-4939 KEV	【KEV】Adobe coldfusion に安全でないデシリアライゼーション (CVE-2018-4939)	High	4年前

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →