GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

XStream多个安全缝隙

颁布功夫 2021-03-15

0x00 缝隙概述

XStream是一个Java对象和XML相互转换的工具，在将JavaBean序列化、或将XML文件反序列化时，它不必要其它辅助类和映射文件，这使得XML序列化不再繁琐。

2021年03月15日，XStream官方颁布安全布告，公开了XStream中的11个安全缝隙，攻击者能够利用这些缝隙造成回绝服务、SSRF、删除肆意文件、远程执行肆意号令或代码。

0x01 缝隙详情

本次公开的11个缝隙如下：

CVE-ID	类型	详情
CVE-2021-21341	回绝服务	XStream可能导致回绝服务。
CVE-2021-21342	SSRF	XStream中存在SSRF缝隙，攻击者能够利用此缝隙接见来自内部网或本地主机中资源的肆意URL的数据流。
CVE-2021-21343	肆意文件删除	当取缔序列化时，只有执前过程拥有足够权限，XStream存在本地主机肆意文件删除缝隙。
CVE-2021-21344	肆意代码执行	XStream易受肆意代码执行攻击。
CVE-2021-21345	远程号令执行	XStream易受远程号令执行攻击。
CVE-2021-21346	肆意代码执行	XStream易受肆意代码执行攻击。
CVE-2021-21347	肆意代码执行	XStream易受肆意代码执行攻击。
CVE-2021-21348	ReDos	XStream易受使用正则表白式的回绝服务（ReDos）攻击。
CVE-2021-21349	SSRF	XStream中存在SSRF缝隙，攻击者能够利用此缝隙接见来自内部网或本地主机中资源的肆意URL的数据流。
CVE-2021-21350	肆意代码执行	XStream易受肆意代码执行攻击。
CVE-2021-21351	肆意代码执行	XStream易受肆意代码执行攻击。

XStream肆意代码执行缝隙（CVE-2021-21344）

在反序列化时处置的流蕴含类型信息以沉新创建以前写入的对象，XStream基于这些类型信息创建新的事俘。攻击者能够把持处置后的输入流并代替或注入对象，从而导致执行从远程服务器加载的肆意代码。

影响领域

XStream <= 1.4.15

0x02 措置建议

目前这些缝隙已经建复，建议升级至1.4.16或更高版本。

下载链接：

https://x-stream.github.io/download.html

0x03 参考链接

https://x-stream.github.io/security.html#workaround

https://x-stream.github.io/CVE-2021-21348.html

https://nvd.nist.gov/vuln/detail/CVE-2021-21341

0x04 功夫线

2021-03-15 XStream颁布安全布告

2021-03-15 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】