流行的Fastjson库中报告的高严重性RCE漏洞

网络安全研究人员详细介绍了最近在流行的Fastjson库这可能被用来实现远程代码执行。

跟踪号为CVE-2022-25845（CVSS分数：8.1），该问题与在一个名为“自动类型”的受支持功能中反序列化不受信任数据的情况有关项目维护人员在2022年5月23日发布的版本1.2.83中对其进行了修补。

JFrog的Uriya Yavnieli在一篇文章中说：“该漏洞影响所有依赖Fastjson版本1.2.80或更早版本的Java应用程序，这些应用程序将用户控制的数据传递给JSON.parse或JSON.parseObject API，而无需指定要反序列化的特定类。”。

Fastjson是一个Java库，用于将Java对象转换为其JSON表示，反之亦然。默认情况下会启用易受此漏洞攻击的函数AutoType，该函数用于在解析JSON输入时指定自定义类型，然后可以将JSON输入反序列化为相应类的对象。

Yavnieli解释说：“然而，如果反序列化的JSON由用户控制，那么启用自动类型对其进行解析可能会导致反序列化安全问题，因为攻击者可以实例化类路径上可用的任何类，并向其构造函数提供任意参数。”。

虽然项目负责人之前引入了一种禁用自动类型的安全模式，并开始维护一个类的阻止列表以防范反序列化缺陷，但新发现的漏洞绕过了这些限制中的后者，导致远程代码执行。

建议Fastjson用户更新到1.2.83版本或启用safeMode，无论使用的是什么允许列表和阻止列表，它都会关闭该功能，从而有效地关闭反序列化攻击的变体。

Yavnieli说：“虽然存在公共PoC攻击，并且潜在影响非常大（远程代码执行），但攻击的条件并不简单（将不受信任的输入传递给特定的易受攻击的API），最重要的是，需要进行针对特定目标的研究，以找到合适的小工具类进行攻击。”。