CRITICAL🇬🇧 English

CVE-2025-70974

Fastjson < 1.2.48 — JNDI injection przez mechanizm autoType

CVSS 10.0v3.1pub. 2026-01-09upd. 2026-06-27

Biblioteka Fastjson w wersjach przed 1.2.48 nieprawidłowo obsługuje mechanizm autoType, co umożliwia atakującemu przeprowadzenie ataku JNDI injection poprzez spreparowany dokument JSON. Podatność posiada maksymalny wynik CVSS 10.0 i była aktywnie wykorzystywana w środowiskach produkcyjnych.

Pokaż oryginał (EN)

Fastjson before 1.2.48 mishandles autoType because, when an @type key is in a JSON document, and the value of that key is the name of a Java class, there may be calls to certain public methods of that class. Depending on the behavior of those methods, there may be JNDI injection with an attacker-supplied payload located elsewhere in that JSON document. This was exploited in the wild in 2023 through 2025. NOTE: this issue exists because of an incomplete fix for CVE-2017-18349. Also, a later bypass is covered by CVE-2022-25845.

🤖 Analiza AI
Jak działa

Gdy dokument JSON zawiera klucz @type, Fastjson odczytuje jego wartość jako nazwę klasy Java i wywołuje publiczne metody tej klasy. Atakujący może umieścić w dokumencie JSON złośliwy payload, który poprzez mechanizm JNDI (Java Naming and Directory Interface) powoduje nawiązanie połączenia do kontrolowanego przez atakującego serwera i załadowanie zdalnego kodu. Podatność jest skutkiem niekompletnej poprawki wcześniejszego błędu CVE-2017-18349, a jej późniejszy wariant obejścia jest opisany w CVE-2022-25845.

Skutki

Skuteczny atak umożliwia zdalne wykonanie kodu (RCE) na serwerze przetwarzającym dane JSON, bez konieczności posiadania uprawnień ani interakcji użytkownika. Atakujący może uzyskać pełną kontrolę nad podatnym systemem, w tym naruszenie poufności, integralności i dostępności danych.

Mitygacja

Należy niezwłocznie zaktualizować bibliotekę Fastjson do wersji 1.2.48 lub nowszej. Szczegóły zmian dostępne są w referencjach producenta (GitHub: alibaba/fastjson, porównanie wersji 1.2.47 → 1.2.48). Zaleca się również weryfikację, czy w środowisku nie są używane wersje podatne na powiązany bypass opisany w CVE-2022-25845, który może wymagać aktualizacji do jeszcze nowszej wersji.

Kogo dotyczy

Biblioteka Alibaba Fastjson we wszystkich wersjach przed 1.2.48. Dotyczy każdej aplikacji Java przetwarzającej dane JSON przy użyciu tej biblioteki z włączonym mechanizmem autoType.

Uwagi

Według opisu podatność była aktywnie eksploatowana w środowiskach produkcyjnych w latach 2023–2025. Podatność wynika z niekompletnej poprawki CVE-2017-18349. Powiązany wariant obejścia zabezpieczeń opisano w CVE-2022-25845. Pole CISA KEV wskazuje brak oficjalnego wpisu, pomimo potwierdzonej eksploatacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje