FASTJSON 包含来自不可信控制范围的功能 · CVE-2025-70974 · GitHub Advisory Database · GitHub

漏洞详情

依赖项警报：0

软件包

• Maven: com.alibaba:fastjson

受影响版本

• < 1.2.48

已修复版本

• 1.2.48

描述

Fastjson 在 1.2.48 之前的版本错误地处理了 autoType 功能。原因是，当 JSON 文档中存在一个 @type 键，并且该键的值是一个 Java 类的名称时，可能会调用该类的某些公共方法。根据这些方法的行为，可能导致 JNDI 注入，其中攻击者提供的有效载荷位于该 JSON 文档的其他位置。该漏洞在 2023 年至 2025 年间已被在野利用。

注意：此问题的存在是由于对 CVE-2017-18349 的修复不完整。此外，后续的绕过问题在 CVE-2022-25845 中有所涉及。

参考

• https://nvd.nist.gov/vuln/detail/CVE-2025-70974
• alibaba/fastjson@1.2.47…1.2.48
• https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.47-rce
• https://www.cloudsek.com/blog/androxgh0st-continues-exploitation-operators-compromise-a-us-university-for-hosting-c2-logger
• https://www.cnvd.org.cn/flaw/show/CNVD-2019-22238
• https://www.freebuf.com/vuls/208339.html
• https://www.seebug.org/vuldb/ssvid-98020
• https://web.archive.org/web/20220121055754/https://cert.360.cn/warning/detail?id=7240aeab581c6dc2c9c5350756079955

发布日期（国家漏洞数据库）：2026年1月9日 发布到 GitHub Advisory Database 日期：2026年1月9日 审核日期：2026年1月9日 最后更新日期：2026年1月9日

严重程度

严重

CVSS 总分：10.0 / 10

CVSS v3 基础指标

• 攻击向量：网络
• 攻击复杂性：低
• 所需权限：无
• 用户交互：无
• 范围：已更改
• 机密性影响：高
• 完整性影响：高
• 可用性影响：高

CVSS 向量字符串：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

EPSS 分数：0.064% (第20百分位数)

弱点

弱点：CWE-829

来自不可信控制范围的功能包含 产品从预期控制范围之外的来源导入、要求或包含可执行功能（例如库）。

CVE ID：CVE-2025-70974 GHSA ID：GHSA-jm7w-5684-pvh8

源代码：alibaba/fastjson