Los investigadores de seguridad cibernética han detallado una vulnerabilidad de seguridad de alta gravedad parcheada recientemente en el popular biblioteca fastjson que podría ser potencialmente explotado para lograr la ejecución remota de código.
rastreado como CVE-2022-25845 (puntaje CVSS: 8.1), el tema se refiere a un caso de deserialización de datos no confiables en una función compatible llamada «Autotipo». Fue parcheado por los mantenedores del proyecto en versión 1.2.83 publicado el 23 de mayo de 2022.
«Esta vulnerabilidad afecta a todas las aplicaciones Java que se basan en Fastjson versiones 1.2.80 o anteriores y que pasan datos controlados por el usuario a las API JSON.parse o JSON.parseObject sin especificar un clase para deserializar», Uriya Yavnieli de JFrog dijo en un escrito.
fastjson es una biblioteca Java que se utiliza para convertir objetos Java en sus JSON representación y viceversa. Tipo automáticola función vulnerable a la falla, está habilitada de forma predeterminada y está diseñada para especificar un tipo personalizado al analizar una entrada JSON que luego puede ser deserializado en un objeto de la clase apropiada.
«Sin embargo, si el JSON deserializado está controlado por el usuario, analizarlo con AutoType habilitado puede provocar un problema de seguridad de deserialización, ya que el atacante puede instanciar cualquier clase que esté disponible en el ruta de clasesy alimentar a su constructor con argumentos arbitrarios», explicó Yavnieli.
Si bien los propietarios del proyecto introdujeron previamente un modo seguro que deshabilita AutoType y comenzaron a mantener un lista de bloqueo de clases para defenderse contra fallas de deserialización, la falla recién descubierta sortea la última de estas restricciones para dar como resultado la ejecución remota de código.
Se recomienda a los usuarios de Fastjson que actualicen a la versión 1.2.83 o habiliten el modo seguro, que desactiva la función independientemente de la lista de permitidos y la lista de bloqueo utilizada, cerrando efectivamente las variantes del ataque de deserialización.
«Aunque un explotación PoC pública existe y el impacto potencial es muy alto (ejecución remota de código), las condiciones para el ataque no son triviales (pasar información no confiable a API vulnerables específicas) y, lo que es más importante, se requiere una investigación específica del objetivo para encontrar una clase de dispositivo adecuada para explotar». Yavnieli dijo.