人気のあるFastjsonライブラリで報告された重大度の高いRCEの脆弱性 from thehackernews.com

サイバーセキュリティの研究者は、リモートコード実行を実現するために悪用される可能性のある、人気のあるFastjsonライブラリに最近パッチが適用された重大度の高いセキュリティの脆弱性について詳しく説明しています。
「この脆弱性は、Fastjsonバージョン1.2.80以前に依存し、逆シリアル化する特定のクラスを指定せずにユーザー制御データをJSON.parseまたはJSON.parseObjectAPIに渡すすべてのJavaアプリケーションに影響します」とJFrogのUriyaYavnieliは書いています。
この入力は、適切なクラスのオブジェクトに逆シリアル化できます。
「ただし、逆シリアル化されたJSONがユーザー制御の場合、AutoTypeを有効にして解析すると、逆シリアル化のセキュリティ問題が発生する可能性があります。攻撃者は、クラスパスで使用可能なクラスをインスタンス化し、コンストラクターに任意の引数を与えることができるためです」とYavnieli氏は説明します。
プロジェクトの所有者は以前、AutoTypeを無効にするsafeModeを導入し、逆シリアル化の欠陥から保護するためにクラスのブロックリストの維持を開始しましたが、新たに発見された脆弱性は、これらの制限の後者を回避して、リモートでコードが実行される結果になります。