つみかさね

CVE-2025-70974

Critical(10)

fastjsonのautoType経由RCE CVE-2025-70974:影響範囲と対応方法

公開日: 2026-07-16データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
fastjsonAlibaba< 1.2.48

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1依存関係にfastjson 1.2.48未満が含まれるか確認する
  2. 2fastjson 1.2.48以降へアップデートする
  3. 3autoTypeを無効化する運用を徹底し、fastjson2への移行を検討する

影響対象

fastjson利用者Javaアプリケーション開発者

対応不要な人

  • fastjsonを使用していない
  • fastjson 1.2.48以降またはfastjson2を利用している

補足

  • -2023〜2025年に実際に悪用が確認されたCVSS 10.0の脆弱性です。早急な対応を推奨します
CVEfastjsonJavaRCEJNDIインジェクション

30秒で判断

  • 対応すべき人: Javaアプリケーションでfastjson 1.2.48未満を直接・間接的に利用している方
  • 対応不要な人: fastjsonを使用していない、または1.2.48以降/fastjson2を利用している方
  • 確認コマンド: mvn dependency:tree | grep fastjson(Maven)/ ./gradlew dependencies | grep fastjson(Gradle)

概要

fastjsonはJavaで広く使われるJSONライブラリです。JSONドキュメント内の@typeキーでJavaクラス名を指定できるautoTypeの仕組みに不備があり、そのクラスの特定のpublicメソッドが呼び出される過程で、攻撃者が用意したペイロードを介したJNDIインジェクションが成立します。結果として、条件次第でリモートコード実行につながります。

本脆弱性はCVE-2017-18349の修正が不完全であったことに起因し、2023年から2025年にかけて実際に攻撃で悪用されたことが報告されています。CVSSは満点の10.0であり、優先度の高い対応が求められます。

CVSSベクトル

項目
CVSSスコア10.0
深刻度Critical
CWECWE-829 (信頼できない機能の組み込み)

影響を受けるソフトウェア

製品ベンダー影響バージョン
fastjsonAlibaba< 1.2.48

修正バージョンと回避策

  • 修正バージョン: fastjson 1.2.48以降へアップデート
  • 回避策: autoTypeを無効化した運用を徹底する。長期的には後継のfastjson2への移行を検討する

関連リンク


データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。