CVE-2025-70974 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Fastjson 自动类型处理不当。<br>💥 **后果**:引发 **JNDI注入**,攻击者可远程执行代码(RCE),彻底接管服务器。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-829**:不信任的功能性控制项。<br>🔍 **缺陷点**:JSON 反序列化时的 **自动类型转换** 逻辑存在漏洞,未严格校验类名。
Q3影响谁?(版本/组件)
📦 **组件**:Alibaba **Fastjson**。<br>📉 **版本**:**1.2.48 之前** 的所有版本(含 1.2.47 等)。
Q4黑客能干啥?(权限/数据)
👑 **权限**:服务器 **最高权限**(System/Admin)。<br>💾 **数据**:任意文件读取、写入,内网横向移动,数据完全泄露。
Q5利用门槛高吗?(认证/配置)
📶 **门槛**:**极低**。<br>🔓 **条件**:无需认证(PR:N),无需用户交互(UI:N),网络可达即可利用(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp**:**有现成利用链**。<br>🔗 参考 Vulhub 和 Freebuf 上的公开 PoC,利用成熟,在野风险高。
Q7怎么自查?(特征/扫描)
🔍 **自查**:扫描 Java 应用依赖。<br>📋 **特征**:检查 `pom.xml` 或 classpath 中是否存在 `fastjson` 且版本 **< 1.2.48**。
Q8官方修了吗?(补丁/缓解)
🩹 **补丁**:**已修复**。<br>✅ **方案**:升级至 **Fastjson 1.2.48** 或更高安全版本(建议最新版)。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:<br>1. 开启 **安全模式**(`ParserConfig.getGlobalInstance().setAutoTypeSupport(false)`)。<br>2. 部署 WAF 拦截 JNDI 相关 Payload。<br>3. 限制 Java 进程权限。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。<br>⚠️ CVSS 评分 **9.8**(Critical),无需认证即可远程 RCE,建议 **立即升级** 或隔离。