Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70
slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 具体例
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 関連タグ

🛡 このタグに関連する脆弱性 492

ID タイトル
CVE-2026-8135 concrete5/concrete5 に 安全でないデシリアライゼーション (CVE-2026-8135)
CVE-2026-48207 pyfory に 安全でないデシリアライゼーション (CVE-2026-48207)
CVE-2026-24216 dos に 安全でないデシリアライゼーション (CVE-2026-24216)
CVE-2026-7637 wordpress に 安全でないデシリアライゼーション (CVE-2026-7637)
CVE-2026-24163 dos に 安全でないデシリアライゼーション (CVE-2026-24163)
CVE-2026-24142 deserialization に 安全でないデシリアライゼーション (CVE-2026-24142)
CVE-2025-33255 dos に 安全でないデシリアライゼーション (CVE-2025-33255)
CVE-2026-6009 CVE-2026-6009 に 安全でないデシリアライゼーション (CVE-2026-6009)
CVE-2026-31072 apscheduler に 安全でないデシリアライゼーション (CVE-2026-31072)
CVE-2025-51427 modelscope に コードインジェクション (CVE-2025-51427)
CVE-2026-43633 deserialization に 安全でないデシリアライゼーション (CVE-2026-43633)
CVE-2026-46725 mmc/ceselector に 安全でないデシリアライゼーション (CVE-2026-46725)
CVE-2026-8727 tomasnorre/crawler に 安全でないデシリアライゼーション (CVE-2026-8727)
CVE-2026-33233 deserialization に コードインジェクション (CVE-2026-33233)
CVE-2026-26978 CVE-2026-26978 に 安全でないデシリアライゼーション (CVE-2026-26978)
CVE-2026-45829 chromadb に コードインジェクション (CVE-2026-45829)
CVE-2026-7304 sglang に 安全でないデシリアライゼーション (CVE-2026-7304)
CVE-2026-7301 sglang に 安全でないデシリアライゼーション (CVE-2026-7301)
CVE-2026-8751 deserialization の脆弱性 (CVE-2026-8751)
CVE-2026-8735 deserialization の脆弱性 (CVE-2026-8735)
CVE-2021-47952 deserialization に コードインジェクション (CVE-2021-47952)
CVE-2026-8612 oalders に 安全でないデシリアライゼーション (CVE-2026-8612)
CVE-2026-44501 react に 安全でないデシリアライゼーション (CVE-2026-44501)
CVE-2026-1184 gitlab に 安全でないデシリアライゼーション (CVE-2026-1184)
CVE-2026-41957 f5 に 安全でないデシリアライゼーション (CVE-2026-41957)
CVE-2026-45134 langsmith に 安全でないデシリアライゼーション (CVE-2026-45134)
CVE-2026-7635 wordpress に 安全でないデシリアライゼーション (CVE-2026-7635)
CVE-2026-34659 deserialization に 安全でないデシリアライゼーション (CVE-2026-34659)
CVE-2026-35439 deserialization に 安全でないデシリアライゼーション (CVE-2026-35439)
CVE-2026-40368 deserialization に 安全でないデシリアライゼーション (CVE-2026-40368)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →