CVE-2022-25845は重大度の高いセキュリティ上の欠陥です (評価 8.1 から 10 CVSSスケールで) リモートコード実行攻撃で使用される可能性のある有名なFastjsonライブラリ内.
幸運, 脆弱性にはすでにパッチが適用されています. この脆弱性は、AutoType機能での信頼できないデータの逆シリアル化に起因します, プロジェクトメンテナによってバージョンが修正されました 1.2.83.
CVE-2022-25845技術的な詳細
JFrogのセキュリティ研究者UriyaYavnieliによると, 脆弱性は「まだ謎に包まれている」. 知られていることは、Fastjsonバージョンに依存するすべてのJavaアプリに影響を与えることです 1.2.80 またはそれ以前, 逆シリアル化する特定のクラスを指定せずに、ユーザー制御データをJSON.parseまたはJSON.parseObjectAPIに渡すバージョン.
「それについての公的な技術的詳細はほとんどありません–誰が正確に脆弱で、どのような条件下で?,」研究者は付け加えた.
公式の説明によると, 「Fastjsonは、JavaオブジェクトをJSON表現に変換するために使用できるJavaライブラリです。. JSON文字列を同等のJavaオブジェクトに変換するためにも使用できます。」ライブラリは、開発者がソースコードを持たない既存のオブジェクトを含む任意のJavaオブジェクトを処理できます。.
AutoType, 脆弱な機能, デフォルトで有効になっています. 特定のクラスのオブジェクトに逆シリアル化できるJSON入力を解析するときにカスタムタイプを指定します.
デシリアライズされたJSONがユーザー制御されている場合、セキュリティの問題が発生します, AutoTypeを有効にして解析する. これは、逆シリアル化の脆弱性につながる可能性があります, 脅威アクターは「クラスパスで利用可能なすべてのクラスをインスタンス化できるため」, コンストラクターに任意の引数をフィードします,” 研究者は彼の中で説明しました テクニカルライティング.
プロジェクトの所有者は、AutoTypeを無効にするセーフモードを導入することで脆弱性を回避しました. 彼らはまた、そのような将来の問題から保護するためにクラスのブロックリストを維持し始めました. でも, CVE-2022-25845は制限を回避し、作成することができます リモートコード実行 攻撃.
Fastjsonユーザーはバージョンに更新する必要があります 1.2.83 または、safeModeを有効にして機能をオフにし、逆シリアル化攻撃を回避します.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: