Biblioteka Fastjson w wersjach przed 1.2.48 nieprawidłowo obsługuje mechanizm autoType, co umożliwia atakującemu przeprowadzenie ataku JNDI injection poprzez spreparowany dokument JSON. Podatność posiada maksymalny wynik CVSS 10.0 i była aktywnie wykorzystywana w środowiskach produkcyjnych.
▸ Pokaż oryginał (EN)
Fastjson before 1.2.48 mishandles autoType because, when an @type key is in a JSON document, and the value of that key is the name of a Java class, there may be calls to certain public methods of that class. Depending on the behavior of those methods, there may be JNDI injection with an attacker-supplied payload located elsewhere in that JSON document. This was exploited in the wild in 2023 through 2025. NOTE: this issue exists because of an incomplete fix for CVE-2017-18349. Also, a later bypass is covered by CVE-2022-25845.
Gdy dokument JSON zawiera klucz @type, Fastjson odczytuje jego wartość jako nazwę klasy Java i wywołuje publiczne metody tej klasy. Atakujący może umieścić w dokumencie JSON złośliwy payload, który poprzez mechanizm JNDI (Java Naming and Directory Interface) powoduje nawiązanie połączenia do kontrolowanego przez atakującego serwera i załadowanie zdalnego kodu. Podatność jest skutkiem niekompletnej poprawki wcześniejszego błędu CVE-2017-18349, a jej późniejszy wariant obejścia jest opisany w CVE-2022-25845.
Skuteczny atak umożliwia zdalne wykonanie kodu (RCE) na serwerze przetwarzającym dane JSON, bez konieczności posiadania uprawnień ani interakcji użytkownika. Atakujący może uzyskać pełną kontrolę nad podatnym systemem, w tym naruszenie poufności, integralności i dostępności danych.
Należy niezwłocznie zaktualizować bibliotekę Fastjson do wersji 1.2.48 lub nowszej. Szczegóły zmian dostępne są w referencjach producenta (GitHub: alibaba/fastjson, porównanie wersji 1.2.47 → 1.2.48). Zaleca się również weryfikację, czy w środowisku nie są używane wersje podatne na powiązany bypass opisany w CVE-2022-25845, który może wymagać aktualizacji do jeszcze nowszej wersji.
Biblioteka Alibaba Fastjson we wszystkich wersjach przed 1.2.48. Dotyczy każdej aplikacji Java przetwarzającej dane JSON przy użyciu tej biblioteki z włączonym mechanizmem autoType.
Według opisu podatność była aktywnie eksploatowana w środowiskach produkcyjnych w latach 2023–2025. Podatność wynika z niekompletnej poprawki CVE-2017-18349. Powiązany wariant obejścia zabezpieczeń opisano w CVE-2022-25845. Pole CISA KEV wskazuje brak oficjalnego wpisu, pomimo potwierdzonej eksploatacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H