 |
Investigadores de ciberseguridad han detallado una vulnerabilidad de seguridad de alta gravedad recientemente parcheada en la popular biblioteca Fastjson que podría ser potencialmente explotada para lograr la ejecución remota de código. Rastreado como CVE-2022-25845 (puntuación CVSS: 8,1), el problema está relacionado con un caso de deserialización de datos no fiables en una función soportada llamada "AutoType". Fue parcheado por los responsables del proyecto en la versión 1.2.83 publicada el 23 de mayo de 2022. |
Investigadores de ciberseguridad han detallado una vulnerabilidad de seguridad de alta gravedad recientemente parcheada en la popular biblioteca Fastjson que podría ser potencialmente explotada para lograr la ejecución remota de código.
Rastreado como CVE-2022-25845 (puntuación CVSS: 8,1), el problema está relacionado con un caso de deserialización de datos no fiables en una función soportada llamada "AutoType". Fue parcheado por los responsables del proyecto en la versión 1.2.83 publicada el 23 de mayo de 2022.
"Esta vulnerabilidad afecta a todas las aplicaciones Java que dependen de las versiones 1.2.80 o anteriores de Fastjson y que pasan datos controlados por el usuario a las APIs JSON.parse o JSON.parseObject sin especificar una clase específica para deserializar", dijo Uriya Yavnieli de JFrog en un escrito.
Fastjson es una biblioteca Java que se utiliza para convertir objetos Java en su representación JSON y viceversa. AutoType, la función vulnerable al fallo, está activada por defecto y está diseñada para especificar un tipo personalizado al analizar una entrada JSON que luego puede ser deserializada en un objeto de la clase apropiada.
"Sin embargo, si el JSON deserializado es controlado por el usuario, analizarlo con AutoType activado puede llevar a un problema de seguridad en la deserialización, ya que el atacante puede instanciar cualquier clase que esté disponible en el Classpath, y alimentar su constructor con argumentos arbitrarios", explicó Yavnieli.
Mientras que los propietarios del proyecto introdujeron previamente un safeMode que deshabilita AutoType y comenzaron a mantener una lista de bloqueo de clases para defenderse de los fallos de deserialización, la vulnerabilidad recién descubierta sortea la última de estas restricciones para dar lugar a la ejecución remota de código.
Se recomienda a los usuarios de Fastjson que actualicen a la versión 1.2.83 o que habiliten el safeMode, que desactiva la función independientemente de la allowlist y la blocklist utilizadas, cerrando de forma efectiva las variantes del ataque de deserialización.
"Aunque existe un exploit PoC público y el impacto potencial es muy alto (ejecución remota de código) las condiciones para el ataque no son triviales (pasar entrada no confiable a APIs vulnerables específicas) y lo más importante - se requiere una investigación específica del objetivo para encontrar una clase de gadget adecuada para explotar", dijo Yavnieli.
Fuente: https://thehackernews.com/2022/06/high-severity-rce-vulnerability.html