V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
CWE-502БазаЧерновик
Абстракция: База
Статус: Черновик
Источник ↗

Десериализация ненадёжных данных

Продукт десериализует ненадёжные данные без достаточной проверки того, что полученные данные окажутся допустимыми.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

CAPEC-586
Внедрение объектов

Связанные уязвимости

CVE-2026-26222Altec DocLink (теперь поддерживается Beyond Limits Inc.) версия 4.0.336.0 обнажает небезопасные конечные точки .NET Remoting по сравнению с TCP и HTTP/SOAP через Altec.RDCHostService.exe с использованием ObjectUI "doclinkServer.soap". Служба не требует аутентификации и уязвима для небезопасных объектов, что позволяет удаленным злоумышленникам считывать произвольные файлы из базовой системы, указывая локальные пути файлов. Кроме того, злоумышленники могут принудить аутентификацию SMB через пути UNC и записывать произвольные файлы в местоположения сервера. Поскольку записные пути могут быть доступными для веб-страниц в соответствии с IIS, это может привести к неаутентифицированному удаленному исполнению кода или отказу в обслуживании через перезапись файлов.
CVE-2026-25632EPyT-Flow - это пакет Python, предназначенный для легкого генерирования данных о гидравлических и водных сценарных сценариях водораспределительных сетей. До 0,16.1, REST API EPyT-Flow анализирует управляемые злоумышленниками JSON органы запроса, используя пользовательский дезериаизатор (my_load_from_json), который поддерживает поле типа. Когда тип присутствует, дезериаизатор динамически импортирует модуль/класс, указанный злоумышленником, и инстанцифицирует его с помощью аргументов, поставляемых злоумышленником. Это позволяет ссылаться на опасные классы, такие как subprocess.Popen, что может привести к выполнению команды ОС во время разбора JSON. Это также влияет на загрузку файлов JSON. Эта уязвимость зафиксирована в пункте 0.1.1.
CVE-2026-20131Выполнение произвольного кода в Cisco Secure Firewall Management Center and Cisco FTD
CVE-2025-58384В DOXENSE WATCHDOC до версии 6.1.1.5332 обнаружена уязвимость, связанная с десериализацией недоверенных данных, что может привести к удаленному выполнению кода через библиотеку .NET Remoting в интерфейсе администрирования Watchdoc [1]. Источники: - [1] https://update.doxense.com/ - [2] https://doc.doxense.com/Watchdoc/J_Securite/cve-2025-58384.htm
CVE-2025-55182Выполнение произвольного кода в React
CVE-2025-48200Расширение sr_feuser_register для TYPO3 до версии 12.4.8 позволяет выполнить удалённое выполнение кода (RCE) и содержит уязвимость небезопасной прямой ссылки на объект (IDOR). Расширение позволяет обмениваться сериализованным представлением объекта файла без надлежащей проверки, что позволяет злоумышленнику внедрять произвольные сериализованные объекты PHP, которые могут быть десериализованы на стороне сервера, потенциально приводя к RCE. Кроме того, расширение не проверяет, авторизован ли указанный идентификатор файла для загрузки, что позволяет злоумышленнику раскрывать и загружать произвольные файлы без дополнительной аутентификации, в результате чего возникает уязвимость IDOR [1]. Пользователям рекомендуется как можно скорее обновить расширение до версии 12.5.0, доступной в менеджере расширений TYPO3, packagist и по адресу https://extensions.typo3.org/extension/download/sr_feuser_register/12.5.0/zip. Источники: - [1] https://typo3.org/security/advisory/typo3-ext-sa-2025-008
CVE-2025-42944Уязвимость десериализации в SAP NetWeaver позволяет неаутентифицированному злоумышленнику эксплуатировать систему через модуль RMI-P4, отправляя вредоносный payload на открытый порт. Десериализация таких недоверенных Java-объектов может привести к выполнению произвольных команд ОС, что представляет высокий уровень воздействия на конфиденциальность, целостность и доступность приложения [1]. Источники: - [1] https://me.sap.com/notes/3634501 - [2] https://url.sap/sapsecuritypatchday
CVE-2025-34394Barracuda Service Center, реализованный в решении RMM, в версиях до 2025.1.1, представляет собой услугу .NET Remoting, которая недостаточно защищена от дезериализации произвольных типов. Это может привести к удаленному исполнению кода.
CVE-2025-34153Версии Hyland OnBase до 17.0.2.87 (могут быть затронуты другие версии) уязвимы для неаутентифицированного удаленного выполнения кода путем небезопасной дезьеризации на канале .NET Remoting TCP. Сервис регистрирует слушателя на порту 6031 с URI endpoint TimerServer, реализованный в Hyland.Core.Timers.dll. Эта конечная точка дезериализует ненадежным вводом с помощью .NET BinaryFormatter, позволяя злоумышленникам выполнять произвольный код в контексте NT AUTHORITY\SYSTEM.
CVE-2025-34067Неаутентифицированная уязвимость удаленного выполнения команд существует в компоненте прикладного CT платформы интегрированного управления безопасностью Hikvision из-за использования уязвимой версии библиотеки Fastjson. Конечная точка /bic/ssoService/v1/applyCT дезериализует ненадежным пользовательским вводом, позволяя злоумышленнику запускать функцию автоматического типа Fastjson для загрузки произвольных классов Java. Ссылаясь на вредоносный класс через URL-адрес LDAP, злоумышленник может добиться удаленного выполнения кода в базовой системе. Доказательства эксплуатации были замечены Фондом Shadowserver в 2025-02-05 UTC.
CVE-2025-30065Парсинг схемы в модуле parquet-avro Apache Parquet 1.15.0 и предыдущих версиях позволяет злоумышленникам выполнять произвольный код. Пользователям рекомендуется обновиться до версии 1.15.1, которая устраняет данную проблему.
CVE-2025-14931Удаленное лицо Удаленное лицо Удаленное использование исполнительного оператора Python Дезериализация ненадежных данных Уязвимости Исполнения Удаленных Кодов. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках сгламуляторов Hugging Face. Аутентификация не требуется для использования этой уязвимости. Конкретный недостаток существует в разборе данных о соленьях. Проблема возникает из-за отсутствия надлежащей проверки данных, поставляемых пользователям, что может привести к дезьеризации ненадежных данных. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте учетной записи сервиса. Это был ZDI-CAN-28312.
CVE-2025-11367N-центральный программный зонд < 2025.4 уязвим для выполнения удаленного кода посредством десерализации
CVE-2025-10363Дезериализация уязвимости ненадежных данных в Topal Solutions AG Topal Finanzbuchaltung в Windows позволяет осуществлять удаленный код.Эта проблема затрагивает по крайней мере Topal Finanzbuchhaltung: 10.1.5.20 и исправлена в версии 11.2.2.00
CVE-2024-52046ObjectSerializationDecoder в Apache MINA использует нативный протокол десериализации Java для обработки входящих сериализованных данных, но не имеет необходимых проверок безопасности и защит. Эта уязвимость позволяет атакующим использовать процесс десериализации, отправляя специально подготовленные вредоносные сериализованные данные, что потенциально может привести к атакам удаленного выполнения кода (RCE). Эта проблема затрагивает основные версии MINA 2.0.X, 2.1.X и 2.2.X и будет исправлена в версиях 2.0.27, 2.1.10 и 2.2.4. Важно также отметить, что приложение, использующее библиотеку MINA core, будет затронуто, только если метод IoBuffer#getObject() вызывается, и этот конкретный метод может быть вызван при добавлении экземпляра ProtocolCodecFilter с использованием класса ObjectSerializationCodecFactory в цепочке фильтров. Если ваше приложение конкретно использует эти классы, вам необходимо обновить до последней версии библиотеки MINA core. Обновление будет недостаточно: вам также нужно явно разрешить классы, которые декодер будет принимать в экземпляре ObjectSerializationDecoder, используя один из трех новых методов: /**      * Принимать имена классов, где предоставленный ClassNameMatcher соответствует * десериализации, если они не были отклонены. * * @param classNameMatcher матчеры для использования */ public void accept(ClassNameMatcher classNameMatcher) /** * Принимать имена классов, которые соответствуют предоставленному шаблону для * десериализации, если они не были отклонены. * * @param pattern стандартное регулярное выражение Java */ public void accept(Pattern pattern) /** * Принимать указанные классы wildcard для десериализации, * если они не были отклонены. * * @param patterns Шаблоны имен файлов wildcard, как определено * {@link org.apache.commons.io.FilenameUtils#wildcardMatch(String, String) FilenameUtils.wildcardMatch} */ public void accept(String... patterns) По умолчанию декодер будет отклонять *все* классы, которые будут присутствовать в входящих данных. Примечание: подпроекты FtpServer, SSHd и Vysper не затронуты этой проблемой.