FastJSON オブジェクトの逆シリアル化

critical Web App Scanning プラグイン ID 114884

概要

FastJSON オブジェクトの逆シリアル化

説明

シリアル化は、オブジェクトをバイトストリームに変換して、保存したりネットワーク経由で送信したりするプロセスです。反対に、逆シリアル化は、このバイトストリームからオブジェクトを再構築するプロセスです。

FastJSON ライブラリを使用しているアプリケーションが信頼できないデータの逆シリアル化を実行すると、攻撃者がカスタムシリアル化された JSON オブジェクトを注入して、システム上で悪意あるコードの実行を誘発したり、サービス拒否攻撃DoSを発生させたりする可能性があります。

ユーザー指定のオブジェクトを逆シリアル化するため、FastJSON を使用する標的の Java アプリケーションはこの攻撃に対して脆弱であることが判明しました。

ソリューション

信頼できないデータをアプリケーションで逆シリアル化しないでください。必要に応じて、コードのレビューを行い、任意のクラスの逆シリアル化を防止し、プロセス全体を強化する必要があります。FastJSON ライブラリが最新バージョンに更新されていることを確認し、すぐに更新できない場合は、FastJSON のセーフモードを使用するか、逆シリアル化用クラスのカスタムホワイトリスト/ブラックリストを実装することを検討してください。

参考資料

https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

https://github.com/alibaba/fastjson

https://resources.infosecinstitute.com/10-steps-avoid-insecure-deserialization/#gref

https://www.owasp.org/index.php/Deserialization_of_untrusted_data

プラグインの詳細

深刻度: Critical

ID: 114884

タイプ: remote

ファミリー: Web Applications

公開日: 2025/6/17

更新日: 2025/6/17

スキャン テンプレート: api, pci, scan

リスク情報

VPR

リスクファクター: High

スコア: 8.5

CVSS v2

リスクファクター: High

基本値: 7.6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Critical

基本値: 9

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS スコアのソース: Tenable

CVSS v4

リスクファクター: Critical

Base Score: 9.2

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS スコアのソース: Tenable

脆弱性情報

エクスプロイトが利用可能: true

参照情報