Vulnerabilidad en Fastjson de Alibaba (CVE-2025-70974)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/01/2026
Última modificación:
15/04/2026
Descripción
Fastjson anterior a 1.2.48 maneja incorrectamente autoType porque, cuando una clave @type está en un documento JSON y el valor de esa clave es el nombre de una clase Java, puede haber llamadas a ciertos métodos públicos de esa clase. Dependiendo del comportamiento de esos métodos, puede haber inyección JNDI con una carga útil proporcionada por el atacante ubicada en otra parte de ese documento JSON. Esto fue explotado en la naturaleza entre 2023 y 2025. NOTA: este problema existe debido a una corrección incompleta para CVE-2017-18349. Además, una omisión posterior está cubierta por CVE-2022-25845.
Impacto
Puntuación base 3.x
10.00
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://cert.360.cn/warning/detail?id=7240aeab581c6dc2c9c5350756079955
- https://github.com/alibaba/fastjson/compare/1.2.47...1.2.48
- https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.47-rce
- https://www.cloudsek.com/blog/androxgh0st-continues-exploitation-operators-compromise-a-us-university-for-hosting-c2-logger
- https://www.cnvd.org.cn/flaw/show/CNVD-2019-22238
- https://www.freebuf.com/vuls/208339.html
- https://www.seebug.org/vuldb/ssvid-98020