Casa > Ciber Noticias > CVE-2022-25845: Vulnerabilidad de Fastjson RCE que afecta a las aplicaciones de Java
CYBER NOTICIAS

CVE-2022-25845: Vulnerabilidad de Fastjson RCE que afecta a las aplicaciones de Java

CVE-2022-25845: Vulnerabilidad de Fastjson RCE que afecta a las aplicaciones de Java
CVE-2022-25845 es una falla de seguridad de alta gravedad (clasificación 8.1 de 10 en la escala CVSS) en la conocida biblioteca Fastjson que podría usarse en ataques de ejecución remota de código.

Afortunadamente, la vulnerabilidad ya esta parcheada. La vulnerabilidad se deriva de la deserialización de datos que no son de confianza en la función AutoType, y fue corregido por los mantenedores del proyecto en la versión 1.2.83.




CVE-2022-25845 Detalles técnicos

Según el investigador de seguridad Uriya Yavnieli de JFrog, la vulnerabilidad “todavía está envuelta en misterio”. Lo que se sabe es que afecta a todas las aplicaciones de Java que dependen de las versiones de Fastjson. 1.2.80 o antes, y versiones que pasan datos controlados por el usuario a las API JSON.parse o JSON.parseObject sin especificar una clase específica para deserializar.
“Apenas hay detalles técnicos públicos al respecto: quién es exactamente vulnerable y en qué condiciones.?,”El investigador añadió.

Según la descripción oficial, “Fastjson es una biblioteca de Java que se puede usar para convertir objetos de Java en su representación JSON. También se puede usar para convertir una cadena JSON en un objeto Java equivalente”. La biblioteca puede trabajar con objetos Java arbitrarios, incluidos objetos preexistentes para los que los desarrolladores no tienen código fuente..

Tipo automático, la función vulnerable, está habilitado por defecto. Especifica un tipo personalizado al analizar una entrada JSON que se puede deserializar en un objeto de la clase específica.

Aparece un problema de seguridad si el JSON deserializado está controlado por el usuario, analizándolo con AutoType habilitado. Esto puede conducir a una vulnerabilidad de deserialización., ya que los actores de amenazas pueden "crear instancias de cualquier clase que esté disponible en Classpath, y alimentar a su constructor con argumentos arbitrarios,” explicó el investigador en su redacción técnica.

Los propietarios del proyecto sortearon la vulnerabilidad al introducir un modo seguro que deshabilita AutoType. También comenzaron a mantener una lista de bloqueo de clases para protegerse contra tales problemas futuros.. Sin embargo, CVE-2022-25845 pasa por alto las restricciones y puede crear un ejecución remota de código ataque.

Los usuarios de Fastjson deben actualizar a la versión 1.2.83 o habilite SafeMode para desactivar la función y evitar ataques de deserialización.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo