Peneliti keamanan siber telah merinci kerentanan keamanan tingkat tinggi yang baru-baru ini ditambal di tempat populer Pustaka Fastjson yang berpotensi dieksploitasi untuk mencapai eksekusi kode jarak jauh.
Dilacak sebagai CVE-2022-25845 (skor CVSS: 8.1), masalah tersebut terkait dengan kasus deserialisasi data yang tidak tepercaya dalam fitur yang didukung yang disebut “JenisOtomatis”. Itu ditambal oleh pengelola proyek dalam versi 1.2.83 yang dirilis pada 23 Mei 2022.
“Kerentanan ini memengaruhi semua aplikasi Java yang mengandalkan Fastjson versi 1.2.80 atau lebih lama dan yang meneruskan data yang dikontrol pengguna ke JSON.parse atau JSON.parseObject API tanpa menentukan kelas khusus untuk deserialize,” kata Uriya Yavnieli dari JFrog dalam sebuah tulisan.
Fastjson adalah perpustakaan Java yang digunakan untuk mengubah Objek Java menjadi representasi JSON mereka dan sebaliknya. AutoType, fungsi yang rentan terhadap cacat, diaktifkan secara default dan dirancang untuk menentukan jenis kustom saat mengurai input JSON yang kemudian dapat dideserialisasi menjadi objek dari kelas yang sesuai.
“Namun, jika deserialized JSON dikendalikan pengguna, menguraikannya dengan AutoType yang diaktifkan dapat menyebabkan masalah keamanan deserialisasi, karena penyerang dapat membuat instance kelas apa pun yang tersedia di Classpath, dan memberi makan konstruktornya dengan argumen arbitrer,” jelas Yavnieli.
Sementara pemilik proyek sebelumnya memperkenalkan safeMode yang menonaktifkan AutoType dan mulai mempertahankan daftar blokir kelas untuk mempertahankan dari kekurangan deserialisasi, cacat yang baru ditemukan mengatasi pembatasan terakhir ini untuk menghasilkan eksekusi kode jarak jauh.
Pengguna Fastjson disarankan untuk memperbarui ke versi 1.2.83 atau mengaktifkan safeMode, yang mematikan fungsi terlepas dari daftar yang diizinkan dan daftar blokir yang digunakan, yang secara efektif menutup varian serangan deserialisasi.
“Meskipun ada eksploitasi PoC publik dan potensi dampaknya sangat tinggi (eksekusi kode jarak jauh), kondisi serangannya tidak sepele (melewati input yang tidak tepercaya ke API rentan tertentu) dan yang paling penting — penelitian spesifik target diperlukan untuk menemukan yang cocok. kelas gadget untuk dieksploitasi,” kata Yavnieli.