CVE-2022-25845 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Fastjson 反序列化绕过 autoType 黑名单限制。 💥 **后果**：攻击者可远程执行任意代码（RCE），完全控制服务器。

🔍 **缺陷点**：`autoType` 关闭机制被绕过。 ⚠️ **CWE**：数据未提供具体 CWE ID，属反序列化安全缺陷。

📦 **组件**：`com.alibaba:fastjson`。 📅 **版本**：**1.2.83 之前**的所有版本均受影响。

👑 **权限**：服务器最高权限（System/Admin）。 📂 **数据**：可读取任意文件、执行系统命令，彻底沦陷。

🔑 **认证**：无需认证（PR:N）。 🌐 **网络**：远程利用（AV:N）。 🎯 **难度**：中等（AC:H），需构造特定 Payload。

💣 **Exp**：有现成 PoC。 🔗 **来源**：GitHub 多个仓库（如 hosch3n, nerowander）提供利用代码及复现教程。

🔎 **自查**：检查 Maven/Gradle 依赖。 📊 **特征**：若 `fastjson` 版本 < 1.2.83，即存在风险。

🛡️ **补丁**：已修复。 ✅ **方案**：升级至 **Fastjson 1.2.83** 或更高版本。

🚧 **临时规避**： 1. 严格校验输入 JSON。 2. 禁用不安全特性。 3. 使用 WAF 拦截特定 Payload 特征。

🔥 **优先级**：**极高**。 ⚡ **建议**：CVSS 9.8 分，立即升级版本，防止被自动化扫描利用。