Sign in Sign up
JA · EN · FR
SecPulse

Cwe 502

🧬 CWE Related 70
slug: cwe-502

Explanation

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 Example
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。
🔗 Related links

🔖 Related tags

Cwe 20125 Cwe 78120 Cwe 787105 Cwe 41699 Cwe 2296 Cwe 11990 Cwe 9484 Cwe 7966 Cwe 8954 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 Vulnerabilities tagged with this 71

ID Title
CVE-2021-42321 KEV [KEV] Vulnerability in Microsoft exchange (CVE-2021-42321)
CVE-2019-18935 KEV [KEV] Unsafe Deserialization in Progress telerik-ui-for-aspnet-ajax (CVE-2019-18935)
CVE-2020-10189 KEV [KEV] Unsafe Deserialization in Zoho manageengine (CVE-2020-10189)
CVE-2015-4852 KEV [KEV] Unsafe Deserialization in Oracle weblogic-server (CVE-2015-4852)
CVE-2020-2555 KEV [KEV] Unsafe Deserialization in Oracle multiple-products (CVE-2020-2555)
CVE-2021-26857 KEV [KEV] Unsafe Deserialization in Microsoft exchange-server (CVE-2021-26857)
CVE-2020-17144 KEV [KEV] Unsafe Deserialization in Microsoft exchange-server (CVE-2020-17144)
CVE-2020-7961 KEV [KEV] Unsafe Deserialization in liferay (CVE-2020-7961)
CVE-2021-35464 KEV [KEV] Unsafe Deserialization in Forgerock access-management-am (CVE-2021-35464)
CVE-2017-9805 KEV [KEV] Unsafe Deserialization in Apache struts (CVE-2017-9805)
CVE-2018-4939 KEV [KEV] Unsafe Deserialization in Adobe coldfusion (CVE-2018-4939)

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →