Los investigadores de seguridad cibern\u00e9tica han detallado una vulnerabilidad de seguridad de alta gravedad parcheada recientemente en el popular biblioteca fastjson<\/b> que podr\u00eda ser potencialmente explotado para lograr la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n
rastreado como CVE-2022-25845<\/a> (puntaje CVSS: 8.1), el tema<\/a> se refiere a un caso de deserializaci\u00f3n de datos no confiables<\/a> en una funci\u00f3n compatible llamada “Autotipo”. Fue parcheado por los mantenedores del proyecto en versi\u00f3n 1.2.83<\/a> publicado el 23 de mayo de 2022.<\/p>\n “Esta vulnerabilidad afecta a todas las aplicaciones Java que se basan en Fastjson versiones 1.2.80 o anteriores y que pasan datos controlados por el usuario a las API JSON.parse o JSON.parseObject sin especificar un clase<\/a> para deserializar”, Uriya Yavnieli de JFrog dijo<\/a> en un escrito.<\/p>\n fastjson<\/a> es una biblioteca Java que se utiliza para convertir objetos Java en sus JSON<\/a> representaci\u00f3n y viceversa. Tipo autom\u00e1tico<\/a>la funci\u00f3n vulnerable a la falla, est\u00e1 habilitada de forma predeterminada y est\u00e1 dise\u00f1ada para especificar un tipo personalizado al analizar una entrada JSON que luego puede ser deserializado<\/a> en un objeto de la clase apropiada.<\/p>\n “Sin embargo, si el JSON deserializado est\u00e1 controlado por el usuario, analizarlo con AutoType habilitado puede provocar un problema de seguridad de deserializaci\u00f3n, ya que el atacante puede instanciar cualquier clase que est\u00e9 disponible en el ruta de clases<\/a>y alimentar a su constructor con argumentos arbitrarios”, explic\u00f3 Yavnieli.<\/p>\n Si bien los propietarios del proyecto introdujeron previamente un modo seguro que deshabilita AutoType y comenzaron a mantener un lista de bloqueo de clases<\/a> para defenderse contra fallas de deserializaci\u00f3n, la falla reci\u00e9n descubierta sortea la \u00faltima de estas restricciones para dar como resultado la ejecuci\u00f3n remota de c\u00f3digo<\/a>.<\/p>\n Se recomienda a los usuarios de Fastjson que actualicen a la versi\u00f3n 1.2.83 o habiliten el modo seguro, que desactiva la funci\u00f3n independientemente de la lista de permitidos y la lista de bloqueo utilizada, cerrando efectivamente las variantes del ataque de deserializaci\u00f3n.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Investigadores-encuentran-nuevos-ataques-de-malware-dirigidos-a-entidades-gubernamentales.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n