CVE-2025-70974
La biblioteca Fastjson anterior a la versión 1.2.48 permite que atacantes ejecuten código arbitrario incrustando nombres de clases Java maliciosas en documentos JSON. Al procesar JSON con campos @type, la biblioteca instancia estas clases e invoca sus métodos, que pueden ser explotados para inyectar y ejecutar código remoto.
La característica autoType de Fastjson deserializa clases Java arbitrarias especificadas mediante claves @type en entrada JSON sin validación suficiente, habilitando ataques de inyección JNDI. Un atacante puede elaborar un payload JSON que dispare la instanciación de clases gadget cuyos constructores o métodos ejecutan código arbitrario; es una vulnerabilidad de RCE por deserialización que elude correcciones incompletas del CVE-2017-18349.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →