آسیب پذیری RCE با جدایی بالا در کتابخانه محبوب Fastjson گزارش شده است

[Bot]

1401/03/26

محققان امنیت سایبری یک آسیب پذیری امنیتی با شدت بالا را که اخیراً در آن قرار گرفته اند به تفصیل ارائه داده اند کتابخانه Fastjson این می تواند به طور بالقوه برای دستیابی به اجرای کد از راه دور مورد سوء استفاده قرار گیرد.

به عنوان CVE-2022-25845 (امتیاز CVSS: 8.1) ، شماره مربوط به یک مورد دفع داده های غیرقابل اعتماد در یک ویژگی پشتیبانی شده به نام "Autotype".توسط نگهدارنده پروژه در نسخه 1.2.83 منتشر شده در 23 مه 2022.

"این آسیب پذیری بر همه برنامه های جاوا که به نسخه های FastJson 1.2.80 یا قبل از آن متکی هستند ، تأثیر می گذارد و داده های کنترل شده توسط کاربر را به API های JSON.PARSE یا JSON.PARSEOBJECT منتقل می کند بدون مشخص کردن یک کلاس به deserialize ، "uriya yavnieli jfrog گفت در نوشتن.

FastJson یک کتابخانه جاوا است که برای تبدیل اشیاء جاوا به json نمایندگی و بالعکس. خودکار ، تابع آسیب پذیر در برابر نقص ، به طور پیش فرض فعال شده است و برای مشخص کردن نوع سفارشی هنگام تجزیه ورودی JSON طراحی شده است که می تواند باشد deserialized به یک شی از کلاس مناسب.

"با این حال ، اگر JSON deserialized تحت کنترل کاربر باشد ، تجزیه آن با Autotype فعال می تواند به یک مسئله امنیتی deserialization منجر شود ، زیرا مهاجم می تواند هر کلاس موجود در ClassPath ، و سازنده خود را با استدلال های دلخواه تغذیه کنید. "/p>

در حالی که صاحبان پروژه قبلاً یک Safemode را معرفی می کردند که خودکار را غیرفعال می کند و شروع به حفظ یک بلوک کلاس ها برای دفاع در برابر نقص deserialization ، نقص تازه کشف شده در اطراف این محدودیت ها به نتیجه در اجرای کد از راه دور .

به کاربران FastJson توصیه می شود که نسخه 1.2.83 را به روز کنید یا Safemode را فعال کنید ، که این عملکرد را بدون در نظر گرفتن لیست لیست و لیست بلوک های مورد استفاده ، خاموش می کند ، به طور مؤثر انواع مختلفی از حمله deserialization.

"گرچه بهره برداری عمومی POC وجود دارد و تأثیر بالقوه بسیار زیاد است (اجرای کد از راه دور) شرایط برای حمله بی اهمیت نیست (انتقال ورودی غیر قابل اعتماد به API های آسیب پذیر خاص) و از همه مهمتر-برای یافتن یک کلاس ابزار مناسب برای بهره برداری ، تحقیقات خاص هدف مورد نیاز است."یاونلی گفت.