JFrogは6月14日(米国時間)、公式ブログ「CVE-2022-25845 - Fastjson RCE vulnerability analysis」において、Java用のオープンソースのJSONライブラリ「Fastjson」に報告された脆弱性「CVE-2022-25845」に関する分析結果を公開した。この脆弱性を悪用されると、悪意のある攻撃者によってリモートから任意のコードを実行される危険性がある。 Fastjsonは、JavaプログラムでJSON形式のデータを扱うためのライブラリである。JavaオブジェクトをJSON表現に変換したり、逆にJSON文字列をJavaオブジェクトに変換するために使用したりすることができる。問題となった脆弱性は、このFastjsonでサポートされている「AutoType」と呼ばれる機能に関連したものだという。Fastjsonでは、JSONデータからJava