PT-2022-2951 · Alibaba · Fastjson
Unknown
·
Publicado
2022-05-06
·
Atualizado
2025-07-19
·
CVE-2022-25845
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
com.alibaba:fastjson versões anteriores à 1.2.83
Descrição
A vulnerabilidade está relacionada à desserialização de dados não confiáveis, contornando as restrições padrão de desativação do autoType na biblioteca Fastjson. Isso pode ser explorado sob certas condições, permitindo que invasores executem código remoto. O problema está associado ao mecanismo AutoTypeCheck no Fastjson, o que pode levar a problemas de segurança durante a desserialização se o JSON for controlado pelo usuário e o AutoType estiver habilitado.
Recomendações
Para versões anteriores à 1.2.83, atualize para a versão 1.2.83 ou posterior.
Como solução temporária, considere habilitar o safeMode, que desativa o recurso AutoType, fechando efetivamente os vetores de ataque de deserialização.
Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fastjson