Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70
slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 具体例
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 関連タグ

🛡 このタグに関連する脆弱性 492

ID タイトル
CVE-2017-14141 kaltura に 安全でないデシリアライゼーション (CVE-2017-14141)
CVE-2016-8744 apache に 安全でないデシリアライゼーション (CVE-2016-8744)
CVE-2017-12612 apache に 安全でないデシリアライゼーション (CVE-2017-12612)
CVE-2017-14035 CrushFTP 8.x before 8.2.0 has a serialization vulnerability.
CVE-2017-11153 deserialization に 安全でないデシリアライゼーション (CVE-2017-11153)
CVE-2017-9785 csrf に 安全でないデシリアライゼーション (CVE-2017-9785)
CVE-2017-1000034 deserialization に 安全でないデシリアライゼーション (CVE-2017-1000034)
CVE-2017-1000053 deserialization に 安全でないデシリアライゼーション (CVE-2017-1000053)
CVE-2016-6793 apache に 安全でないデシリアライゼーション (CVE-2016-6793)
CVE-2017-11143 c に 解放後使用 (Use-After-Free) (CVE-2017-11143)
CVE-2016-4000 org.python:jython-standalone に 安全でないデシリアライゼーション (CVE-2016-4000)
CVE-2017-2295 deserialization に 安全でないデシリアライゼーション (CVE-2017-2295)
CVE-2017-10803 odoo に 安全でないデシリアライゼーション (CVE-2017-10803)
CVE-2017-2292 puppet に 安全でないデシリアライゼーション (CVE-2017-2292)
CVE-2017-9830 apache に 安全でないデシリアライゼーション (CVE-2017-9830)
CVE-2017-9424 csharp に 安全でないデシリアライゼーション (CVE-2017-9424)
CVE-2016-7050 redhat に 安全でないデシリアライゼーション (CVE-2016-7050)
CVE-2016-3690 redhat に 安全でないデシリアライゼーション (CVE-2016-3690)
CVE-2017-5878 deserialization に 安全でないデシリアライゼーション (CVE-2017-5878)
CVE-2017-4914 deserialization に 安全でないデシリアライゼーション (CVE-2017-4914)
CVE-2017-9363 soffid に 安全でないデシリアライゼーション (CVE-2017-9363)
CVE-2017-7504 deserialization に 安全でないデシリアライゼーション (CVE-2017-7504)
CVE-2017-8829 deserialization に 安全でないデシリアライゼーション (CVE-2017-8829)
CVE-2017-8804 c に 安全でないデシリアライゼーション (CVE-2017-8804)
CVE-2017-7293 csharp に 安全でないデシリアライゼーション (CVE-2017-7293)
CVE-2017-5645 apache に 安全でないデシリアライゼーション (CVE-2017-5645)
CVE-2016-0779 apache に 安全でないデシリアライゼーション (CVE-2016-0779)
CVE-2016-4483 c に 安全でないデシリアライゼーション (CVE-2016-4483)
CVE-2017-5983 dos に 安全でないデシリアライゼーション (CVE-2017-5983)
CVE-2016-10304 dos に 安全でないデシリアライゼーション (CVE-2016-10304)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →