Unsichere Deserialisierung

Wenn eine Anwendung serialisierte Daten (Binärformate von Java/PHP/Python/.NET, YAML oder JSON mit Typ-Metadaten) wieder in Objekte zurückwandelt, kann der Deserialiser Konstruktoren, Magic-Methoden oder Gadget-Chains aufrufen. Mit untrusted Input bauen Angreifer Payloads, die während der Deserialisierung gefährliches Verhalten auslösen — RCE, Auth-Bypass, Dateischreiben, DoS. Gadget-Chains in Apache Commons Collections (Java), Pickle (Python) oder .NET BinaryFormatter haben kritische Vorfälle verursacht. Schutz: untrusted Daten nicht deserialisieren, Formate ohne Typ-Recovery (reines JSON mit Schema), Payloads signieren, Allow-Listen deserialisierbarer Typen, Runtime-Patches.