CVE-2022-25845 é uma falha de segurança de alta gravidade (Avaliação 8.1 fora de 10 na escala CVSS) na conhecida biblioteca Fastjson que pode ser usada em ataques de execução remota de código.
Felizmente, a vulnerabilidade já está corrigida. A vulnerabilidade decorre da desserialização de dados não confiáveis no recurso AutoType, e foi corrigido pelos mantenedores do projeto na versão 1.2.83.
CVE-2022-25845 Detalhes Técnicos
De acordo com o pesquisador de segurança Uriya Yavnieli do JFrog, a vulnerabilidade “ainda está envolta em mistério”. O que se sabe é que afeta todos os aplicativos Java que dependem de versões Fastjson 1.2.80 Ou mais cedo, e versões que passam dados controlados pelo usuário para as APIs JSON.parse ou JSON.parseObject sem especificar uma classe específica para desserializar.
“Quase não há detalhes técnicos públicos sobre isso – quem exatamente é vulnerável e sob quais condições.?,”O pesquisador acrescentou.
Conforme a descrição oficial, “Fastjson é uma biblioteca Java que pode ser usada para converter objetos Java em sua representação JSON. Ele também pode ser usado para converter uma string JSON em um objeto Java equivalente.” A biblioteca pode trabalhar com objetos Java arbitrários, incluindo objetos pré-existentes para os quais os desenvolvedores não têm código-fonte.
AutoType, a função vulnerável, está habilitado por padrão. Ele especifica um tipo personalizado ao analisar uma entrada JSON que pode ser desserializada em um objeto da classe específica.
Um problema de segurança aparece se o JSON desserializado for controlado pelo usuário, analisando-o com AutoType ativado. Isso pode levar a uma vulnerabilidade de desserialização, já que os agentes de ameaças podem “instanciar qualquer classe disponível no Classpath, e alimente seu construtor com argumentos arbitrários,” o pesquisador explicou em seu redação técnica.
Os proprietários do projeto contornaram a vulnerabilidade introduzindo um modo de segurança que desativa o AutoType. Eles também começaram a manter uma lista de bloqueio de classes para proteger contra esses problemas futuros. Contudo, CVE-2022-25845 ignora as restrições e pode criar um execução remota de código ataque.
Os usuários do Fastjson devem atualizar para a versão 1.2.83 ou habilite o safeMode para desligar o recurso e evitar ataques de desserialização.