Katalog CVE

CVE-2025-70974

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.69%

Percentyl 48 - wyżej niż 48% wszystkich znanych CVE

Streszczenie

Podatność w Fastjson przed wersją 1.2.48 umożliwia atakującemu wstrzyknięcie kodu JNDI poprzez specjalnie spreparowany dokument JSON z kluczem @type. Atak polega na wywołaniu publicznych metod wskazanej klasy Java, co może prowadzić do zdalnego wykonania kodu. Luka była aktywnie wykorzystywana w latach 2023-2025.

Ocena ryzyka

Organizacja narażona jest na zdalne przejęcie kontroli nad serwerem aplikacyjnym poprzez wstrzyknięcie JNDI, co może skutkować kradzieżą danych, instalacją backdoorów lub całkowitym przejęciem systemu.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę Fastjson do wersji 1.2.48 lub nowszej. W przypadku braku możliwości aktualizacji, należy wyłączyć funkcję autoType lub zastosować odpowiednie filtry bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

Fastjson before 1.2.48 mishandles autoType because, when an @type key is in a JSON document, and the value of that key is the name of a Java class, there may be calls to certain public methods of that class. Depending on the behavior of those methods, there may be JNDI injection with an attacker-supplied payload located elsewhere in that JSON document. This was exploited in the wild in 2023 through 2025. NOTE: this issue exists because of an incomplete fix for CVE-2017-18349. Also, a later bypass is covered by CVE-2022-25845.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS