30秒で判断
- 対応すべき人: Javaアプリケーションでfastjson 1.2.48未満を直接・間接的に利用している方
- 対応不要な人: fastjsonを使用していない、または1.2.48以降/fastjson2を利用している方
- 確認コマンド:
mvn dependency:tree | grep fastjson(Maven)/./gradlew dependencies | grep fastjson(Gradle)
概要
fastjsonはJavaで広く使われるJSONライブラリです。JSONドキュメント内の@typeキーでJavaクラス名を指定できるautoTypeの仕組みに不備があり、そのクラスの特定のpublicメソッドが呼び出される過程で、攻撃者が用意したペイロードを介したJNDIインジェクションが成立します。結果として、条件次第でリモートコード実行につながります。
本脆弱性はCVE-2017-18349の修正が不完全であったことに起因し、2023年から2025年にかけて実際に攻撃で悪用されたことが報告されています。CVSSは満点の10.0であり、優先度の高い対応が求められます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 10.0 |
| 深刻度 | Critical |
| CWE | CWE-829 (信頼できない機能の組み込み) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| fastjson | Alibaba | < 1.2.48 |
修正バージョンと回避策
- 修正バージョン: fastjson 1.2.48以降へアップデート
- 回避策: autoTypeを無効化した運用を徹底する。長期的には後継のfastjson2への移行を検討する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
