Cwe 502

CWE-502: 安全でないデシリアライゼーション 🧬 CWE 関連 70
slug: cwe-502

解説

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
📌 具体例
CVE-2017-9805 (Apache Struts2 REST Plugin): XMLデシリアライズによるRCEで、Equifax事件 (1.4億人個人情報流出) の直接原因となった。

🔖 関連タグ

🛡 このタグに関連する脆弱性 492

ID タイトル
CVE-2026-12569 KEV 【KEV】Ptc deserialization の脆弱性 (CVE-2026-12569)
CVE-2026-53805 CVE-2026-53805 に 安全でないデシリアライゼーション (CVE-2026-53805)
CVE-2026-53874 picklescan に 安全でないデシリアライゼーション (CVE-2026-53874)
CVE-2025-71321 picklescan に 安全でないデシリアライゼーション (CVE-2025-71321)
CVE-2026-49108 Unauthenticated PHP Object Injection in Moderno < 1.43 versions.
CVE-2026-40757 Unauthenticated PHP Object Injection in Château <= 1.2.1 versions.
CVE-2026-40733 Unauthenticated PHP Object Injection in ShiftUp <= 1.3 versions.
CVE-2026-40752 Unauthenticated PHP Object Injection in Manufaktur Solutions <= 1.1.1 versions.
CVE-2026-39576 Unauthenticated PHP Object Injection in SingleMalt <= 1.5 versions.
CVE-2026-40756 Unauthenticated PHP Object Injection in Zoya <= 1.4 versions.
CVE-2026-39560 Unauthenticated PHP Object Injection in Hiroshi <= 1.5.1 versions.
CVE-2026-39445 Unauthenticated PHP Object Injection in Alukas < 3.0.0 versions.
CVE-2026-40738 Unauthenticated PHP Object Injection in Eldon <= 1.4.1 versions.
CVE-2026-39556 Unauthenticated PHP Object Injection in Konsept <= 1.9 versions.
CVE-2025-69130 wordpress に 安全でないデシリアライゼーション (CVE-2025-69130)
CVE-2026-39442 Unauthenticated PHP Object Injection in PressMart <= 1.2.26 versions.
CVE-2025-69111 Unauthenticated PHP Object Injection in Reisen <= 1.4.1 versions.
CVE-2025-60229 deserialization に 安全でないデシリアライゼーション (CVE-2025-60229)
CVE-2025-69127 Unauthenticated PHP Object Injection in Plumbing <= 1.6 versions.
CVE-2025-60231 deserialization に 安全でないデシリアライゼーション (CVE-2025-60231)
CVE-2025-60236 deserialization に 安全でないデシリアライゼーション (CVE-2025-60236)
CVE-2025-60230 deserialization に 安全でないデシリアライゼーション (CVE-2025-60230)
CVE-2026-54194 Contributor PHP Object Injection in Fusion Builder <= 3.15.4 versions.
CVE-2026-54806 Unauthenticated PHP Object Injection in WP Activity Log <= 5.6.3.1 versions.
CVE-2026-52706 Unauthenticated PHP Object Injection in JetEngine <= 3.8.10 versions.
CVE-2026-49107 Unauthenticated PHP Object Injection in Thrive Apprentice < 10.8.10.2 versions.
CVE-2026-49075 Contributor PHP Object Injection in JetEngine <= 3.8.9.1 versions.
CVE-2026-40761 Unauthenticated PHP Object Injection in Valeska <= 1.2.2 versions.
CVE-2026-40759 Unauthenticated PHP Object Injection in Esmée <= 1.4 versions.
CVE-2026-40735 Unauthenticated PHP Object Injection in Reina <= 2.1 versions.

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →