Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70
slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 具体例
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 関連タグ

🛡 このタグに関連する脆弱性 492

ID タイトル
CVE-2026-57527 deserialization に 安全でないデシリアライゼーション (CVE-2026-57527)
CVE-2026-56055 Subscriber PHP Object Injection in RealHomes <= 4.5.3 versions.
CVE-2026-56057 Subscriber PHP Object Injection in Uncanny Automator Pro <= 7.3.0.6 versions.
CVE-2026-56032 Subscriber PHP Object Injection in Buddyboss Platform <= 3.0.4 versions.
CVE-2026-56031 Unauthenticated PHP Object Injection in Uncanny Automator <= 7.3.1.2 versions.
CVE-2026-53914 deserialization に 安全でないデシリアライゼーション (CVE-2026-53914)
CVE-2026-12578 cisa に 安全でないデシリアライゼーション (CVE-2026-12578)
CVE-2025-71340 CVE-2025-71340 に 安全でないデシリアライゼーション (CVE-2025-71340)
CVE-2026-56053 Subscriber PHP Object Injection in EventPrime <= 4.3.4.1 versions.
CVE-2026-10043 deserialization に 安全でないデシリアライゼーション (CVE-2026-10043)
CVE-2026-56121 deserialization に 安全でないデシリアライゼーション (CVE-2026-56121)
CVE-2026-54512 com.fasterxml.jackson.core:jackson-databind の脆弱性 (CVE-2026-54512)
CVE-2026-41862 CVE-2026-41862 に 安全でないデシリアライゼーション (CVE-2026-41862)
CVE-2026-39253 CVE-2026-39253 に 安全でないデシリアライゼーション (CVE-2026-39253)
CVE-2025-71376 CVE-2025-71376 に 安全でないデシリアライゼーション (CVE-2025-71376)
CVE-2025-71370 CVE-2025-71370 に 安全でないデシリアライゼーション (CVE-2025-71370)
CVE-2025-71365 CVE-2025-71365 に 安全でないデシリアライゼーション (CVE-2025-71365)
CVE-2025-71341 CVE-2025-71341 に 安全でないデシリアライゼーション (CVE-2025-71341)
CVE-2026-48517 MessagePack の脆弱性 (CVE-2026-48517)
CVE-2026-48502 MessagePack に 境界外読み取り (CVE-2026-48502)
CVE-2026-46607 glances に 安全でないデシリアライゼーション (CVE-2026-46607)
CVE-2025-71357 mmaitre314 に 安全でないデシリアライゼーション (CVE-2025-71357)
CVE-2025-71378 mmaitre314 に 安全でないデシリアライゼーション (CVE-2025-71378)
CVE-2025-71348 mmaitre314 に 安全でないデシリアライゼーション (CVE-2025-71348)
CVE-2026-12787 deserialization の脆弱性 (CVE-2026-12787)
CVE-2026-56304 dos に 安全でないデシリアライゼーション (CVE-2026-56304)
CVE-2026-48909 CVE-2026-48909 に 安全でないデシリアライゼーション (CVE-2026-48909)
CVE-2026-49286 pontedilana/php-weasyprint に 安全でないデシリアライゼーション (CVE-2026-49286)
CVE-2026-12046 flask の脆弱性 (CVE-2026-12046)
CVE-2026-8024 deserialization に 安全でないデシリアライゼーション (CVE-2026-8024)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →