Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70
slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 具体例
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 関連タグ

🛡 このタグに関連する脆弱性 492

ID タイトル
CVE-2026-42211 React Router's vendored turbo-stream v2 allows arbitrary constructor invocation via TYPE_ERROR deserialization leading to Unauth RCE
CVE-2026-34993 aiohttp に 安全でないデシリアライゼーション (CVE-2026-34993)
CVE-2026-24237 deserialization に 安全でないデシリアライゼーション (CVE-2026-24237)
CVE-2026-24221 deserialization に 安全でないデシリアライゼーション (CVE-2026-24221)
CVE-2026-39555 Deserialization of Untrusted Data vulnerability in Elated-Themes Askka allows Object Injection. ...
CVE-2026-39551 deserialization に 安全でないデシリアライゼーション (CVE-2026-39551)
CVE-2026-39550 deserialization に 安全でないデシリアライゼーション (CVE-2026-39550)
CVE-2026-10566 deserialization の脆弱性 (CVE-2026-10566)
CVE-2026-9330 deserialization に 安全でないデシリアライゼーション (CVE-2026-9330)
CVE-2026-9319 deserialization に 安全でないデシリアライゼーション (CVE-2026-9319)
CVE-2026-49121 amd に 安全でないデシリアライゼーション (CVE-2026-49121)
CVE-2026-38950 deserialization に 安全でないデシリアライゼーション (CVE-2026-38950)
CVE-2026-10532 privilege-escalation に 安全でないデシリアライゼーション (CVE-2026-10532)
CVE-2026-7858 deserialization に 安全でないデシリアライゼーション (CVE-2026-7858)
CVE-2026-42359 apache-airflow に 安全でないデシリアライゼーション (CVE-2026-42359)
CVE-2026-45360 apache-airflow に 安全でないデシリアライゼーション (CVE-2026-45360)
CVE-2026-10042 deserialization に 安全でないデシリアライゼーション (CVE-2026-10042)
CVE-2025-11993 wordpress に 安全でないデシリアライゼーション (CVE-2025-11993)
CVE-2026-9828 ch.qos.logback:logback-core に 安全でないデシリアライゼーション (CVE-2026-9828)
CVE-2026-37579 CVE-2026-37579 に 安全でないデシリアライゼーション (CVE-2026-37579)
CVE-2026-47161 CVE-2026-47161 に 安全でないデシリアライゼーション (CVE-2026-47161)
CVE-2026-48919 org.jenkins-ci.plugins:active-directory に 安全でないデシリアライゼーション (CVE-2026-48919)
CVE-2026-48917 org.jenkins-ci.plugins:ldap に 安全でないデシリアライゼーション (CVE-2026-48917)
CVE-2026-24162 deserialization に 安全でないデシリアライゼーション (CVE-2026-24162)
CVE-2026-45247 KEV 【KEV】Mirasvit full-page-cache-warmer に 安全でないデシリアライゼーション (CVE-2026-45247)
CVE-2026-9497 org.mengyun:tcc-transaction の脆弱性 (CVE-2026-9497)
CVE-2026-4372 transformers に 安全でないデシリアライゼーション (CVE-2026-4372)
CVE-2026-45659 KEV 【KEV】Microsoft deserialization に 安全でないデシリアライゼーション (CVE-2026-45659)
CVE-2026-41104 deserialization に 安全でないデシリアライゼーション (CVE-2026-41104)
CVE-2026-39832 golang.org/x/crypto の脆弱性 (CVE-2026-39832)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →