鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

XStream多个清静误差

宣布时间 2021-03-15

0x00 误差概述

XStream是一个Java工具和XML相互转换的工具，，，，，在将JavaBean序列化、或将XML文件反序列化时，，，，，它不需要其它辅助类和映射文件，，，，，这使得XML序列化不再繁琐。。。

2021年03月15日，，，，，XStream官方宣布清静通告，，，，，果真了XStream中的11个清静误差，，，，，攻击者可以使用这些误差造成拒绝效劳、SSRF、删除恣意文件、远程执行恣意下令或代码。。。

0x01 误差详情

本次果真的11个误差如下：

CVE-ID	类型	详情
CVE-2021-21341	拒绝效劳	XStream可能导致拒绝效劳。。。
CVE-2021-21342	SSRF	XStream中保存SSRF误差，，，，，攻击者可以使用此误差会见来自内部网或当田主机中资源的恣意URL的数据流。。。
CVE-2021-21343	恣意文件删除	当作废序列化时，，，，，只要执行历程具有足够权限，，，，，XStream保存当田主机恣意文件删除误差。。。
CVE-2021-21344	恣意代码执行	XStream易受恣意代码执行攻击。。。
CVE-2021-21345	远程下令执行	XStream易受远程下令执行攻击。。。
CVE-2021-21346	恣意代码执行	XStream易受恣意代码执行攻击。。。
CVE-2021-21347	恣意代码执行	XStream易受恣意代码执行攻击。。。
CVE-2021-21348	ReDos	XStream易受使用正则表达式的拒绝效劳（ReDos）攻击。。。
CVE-2021-21349	SSRF	XStream中保存SSRF误差，，，，，攻击者可以使用此误差会见来自内部网或当田主机中资源的恣意URL的数据流。。。
CVE-2021-21350	恣意代码执行	XStream易受恣意代码执行攻击。。。
CVE-2021-21351	恣意代码执行	XStream易受恣意代码执行攻击。。。

XStream恣意代码执行误差（CVE-2021-21344）

在反序列化时处置惩罚的流包括类型信息以重新建设以前写入的工具，，，，，XStream基于这些类型信息建设新的实例。。。攻击者可以使用处置惩罚后的输入流并替换或注入工具，，，，，从而导致执行从远程效劳器加载的恣意代码。。。

影响规模

XStream <= 1.4.15

0x02 处置惩罚建议

现在这些误差已经修复，，，，，建议升级至1.4.16或更高版本。。。

下载链接：

https://x-stream.github.io/download.html

0x03 参考链接

https://x-stream.github.io/security.html#workaround

https://x-stream.github.io/CVE-2021-21348.html

https://nvd.nist.gov/vuln/detail/CVE-2021-21341

0x04 时间线

2021-03-15 XStream宣布清静通告

2021-03-15 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】