CVEbaza.plSłownik CWECWE-502
Common Weakness Enumeration

CWE-502

Deserialization of Untrusted Data

Kategoria: BaseCVE: 3393
Opis

Produkt deserializuje niezaufane dane bez wystarczającego zapewnienia, że wynikowe dane będą prawidłowe. Może to prowadzić do wykonania arbitralnego kodu lub innych ataków na bezpieczeństwo aplikacji.

Description (EN)

The product deserializes untrusted data without sufficiently ensuring that the resulting data will be valid.

Podatności CVE z CWE-502 (3393)
10.0
CVSS
CRITICAL
CVE-2026-41104

Podatność klasy deserialization of untrusted data (CWE-502) w Microsoft Planetary Computer Pro umożliwia nieuwierzytelnionemu atakującemu ujawnienie informacji przez sieć. Krytyczny wynik CVSS 10.0 oraz brak wymagań co do uprawnień i interakcji użytkownika czynią tę lukę szczególnie niebezpieczną.

pub. 2026-05-22
10.0
CVSS
CRITICAL
CVE-2026-45829

Podatność typu code injection w projekcie ChromaDB (wersja 1.0.0 i nowsze) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu na serwerze. Brak wymogu uwierzytelnienia oraz maksymalny wynik CVSS 10.0 czynią tę podatność krytycznym zagrożeniem dla każdej instancji ChromaDB dostępnej z sieci.

pub. 2026-05-18
10.0
CVSS
CRITICAL
CVE-2026-33819

Podatność w Microsoft Bing polega na deserializacji niezaufanych danych, co pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu (RCE) przez sieć. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją wyjątkowo krytyczną.

pub. 2026-04-23
10.0
CVSS
CRITICAL
CVE-2026-20131

Podatność w interfejsie webowym Cisco Secure Firewall Management Center (FMC) umożliwia nieuwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnego kodu Java z uprawnieniami root. Podatność otrzymała maksymalny wynik CVSS 10.0 i jest aktywnie wykorzystywana w atakach.

pub. 2026-03-04🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2026-26222

Altec DocLink w wersji 4.0.336.0 udostępnia niezabezpieczone endpointy .NET Remoting bez wymagania uwierzytelnienia, co umożliwia zdalnemu atakującemu wykonanie dowolnego kodu na serwerze. Podatność jest oceniana jako krytyczna z maksymalną oceną CVSS 10.0.

pub. 2026-02-24
10.0
CVSS
CRITICAL
CVE-2026-26333

Calero VeraSMART w wersjach wcześniejszych niż 2022 R1 udostępnia nieuwierzytelnioną usługę .NET Remoting HTTP na porcie TCP 8001, umożliwiając zdalnemu atakującemu odczyt i zapis dowolnych plików, a następnie wykonanie kodu w kontekście aplikacji IIS. Podatność otrzymała maksymalną ocenę CVSS 10.0, co oznacza pełne ryzyko kompromitacji systemu bez konieczności posiadania jakichkolwiek danych uwierzytelniających.

pub. 2026-02-13
10.0
CVSS
CRITICAL
CVE-2026-25632

EPyT-Flow, pakiet Python do symulacji sieci wodociągowych, zawiera krytyczną podatność w swoim REST API, umożliwiającą zdalne wykonanie kodu (RCE) przez spreparowany payload JSON. Brak wymagań uwierzytelnienia i pełny zakres uprawnień sprawia, że zagrożenie jest maksymalnie poważne (CVSS 10.0).

pub. 2026-02-06
10.0
CVSS
CRITICAL
CVE-2026-24815

Podatność krytyczna w platformie datavane TIS łączy dwa wektory ataku: nieograniczony upload plików niebezpiecznego typu (CWE-434) oraz deserializację niezaufanych danych (CWE-502). Możliwość zdalnego wykonania kodu bez uwierzytelnienia czyni ją wyjątkowo groźną dla każdej instalacji TIS przed wersją v4.3.0.

pub. 2026-01-27
10.0
CVSS
CRITICAL
CVE-2025-14931

Podatność w bibliotece Hugging Face smolagents umożliwia zdalnym atakującym wykonanie dowolnego kodu bez uwierzytelnienia. Wynika z braku walidacji danych wejściowych podczas deserializacji formatu pickle, co czyni ją wyjątkowo groźną dla każdej instalacji tego oprogramowania.

pub. 2025-12-23
10.0
CVSS
CRITICAL
CVE-2025-34394

Barracuda Service Center wchodzący w skład rozwiązania RMM eksponuje usługę .NET Remoting niewystarczająco zabezpieczoną przed deserializacją dowolnych typów. Luka otrzymała maksymalny wynik CVSS 10.0 i umożliwia zdalne wykonanie kodu bez uwierzytelnienia.

pub. 2025-12-10
10.0
CVSS
CRITICAL
CVE-2025-55182

Podatność umożliwia zdalne wykonanie kodu (RCE) bez jakiegokolwiek uwierzytelnienia w komponentach React Server Components w wersjach 19.0.0, 19.1.0, 19.1.1 oraz 19.2.0. Jest to podatność krytyczna (CVSS 10.0), aktywnie wykorzystywana w atakach.

pub. 2025-12-03🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2025-11367

Podatność w komponencie N-central Software Probe (wersje przed 2025.4) umożliwia zdalne wykonanie kodu (RCE) poprzez niebezpieczną deserializację danych. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla infrastruktury zarządzanej przez N-Able N-Central.

pub. 2025-11-12
10.0
CVSS
CRITICAL
CVE-2025-10363

Krytyczna podatność na deserializację niezaufanych danych (CWE-502) w oprogramowaniu Topal Finanzbuchhaltung firmy Topal Solutions AG umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie groźną dla każdej organizacji korzystającej z tego produktu.

pub. 2025-10-06
10.0
CVSS
CRITICAL
CVE-2025-58384

W produkcie DOXENSE WATCHDOC w wersjach przed 6.1.1.5332 istnieje podatność deserializacji niezaufanych danych (CWE-502), umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia. Krytyczna ocena CVSS 10.0 oznacza pełne zagrożenie dla poufności, integralności i dostępności systemu.

pub. 2025-09-26
10.0
CVSS
CRITICAL
CVE-2025-10035

Krytyczna podatność w komponencie License Servlet aplikacji Fortra GoAnywhere MFT umożliwia atakującemu, który potrafi sfałszować podpis odpowiedzi licencyjnej, deserializację dowolnego obiektu kontrolowanego przez atakującego. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i uzyskała maksymalny wynik CVSS 10.0.

pub. 2025-09-18🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2025-42944

SAP NetWeaver zawiera krytyczną podatność deserialization w module RMI-P4, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla każdej organizacji korzystającej z SAP NetWeaver.

pub. 2025-09-09
10.0
CVSS
CRITICAL
CVE-2024-13980

H3C Intelligent Management Center (IMC) w wersjach do E0632H07 włącznie zawiera krytyczną podatność umożliwiającą zdalne wykonanie poleceń (RCE) przez endpoint /byod/index.xhtml. Luka nie wymaga uwierzytelnienia ani sesji użytkownika, co czyni ją wyjątkowo niebezpieczną w środowiskach sieciowych.

pub. 2025-08-27
10.0
CVSS
CRITICAL
CVE-2025-34153

Hyland OnBase w wersjach wcześniejszych niż 17.0.2.87 (możliwe, że dotyczy też innych wersji) jest podatny na nieuwierzytelnione zdalne wykonanie kodu (RCE) przez niebezpieczną deserializację na kanale .NET Remoting TCP. Podatność umożliwia atakującemu bez żadnego uwierzytelnienia przejęcie pełnej kontroli nad systemem z uprawnieniami NT AUTHORITY\SYSTEM.

pub. 2025-08-13
10.0
CVSS
CRITICAL
CVE-2025-34067

W platformie Hikvision Integrated Security Management Platform (ISMP) istnieje krytyczna podatność umożliwiająca nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Przyczyną jest użycie podatnej wersji biblioteki Fastjson do deserializacji niezaufanych danych wejściowych w komponencie applyCT.

pub. 2025-07-02
10.0
CVSS
CRITICAL
CVE-2025-34060

Podatność PHP object injection w opartym na Laravel oprogramowaniu forum projektu Monero umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Wynika z niebezpiecznego przetwarzania niezaufanych danych wejściowych w endpoincie /get/image/, co przy CVSS 10.0 czyni ją podatnością krytyczną.

pub. 2025-07-01
Pokazano 20 z 3393 podatności
Informacje
ID: CWE-502
Typ: Base
Podatności: 3393
MITRE CWE ↗
← Słownik CWE
CWE-502 — Deserializacja niezaufanych danych | Słownik CWE | CVEbaza.pl