当前位置:首页 > 漏洞预警 > 正文

XStream多个高危漏洞预警

发布时间:2021-08-24 22:54:43,来源:上海观安、安恒信息、奇安信、奇虎科技、上海斗象、天融信、深信服

      一、 基本情况

8月22日,XStream发布安全更新公告,共修复了14个安全漏洞,其中包括11个远程代码执行漏洞,1个拒绝服务漏洞,2个服务器端请求伪造漏洞。攻击者可利用这些漏洞在目标服务器上执行任意代码,发起拒绝服务攻击,最终可接管目标服务器。目前漏洞细节和POC已公开,建议受影响用户及时升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

XStream是XStream团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或将XML反序列化为对象。

1. CVE-2021-39139、CVE-2021-39141、CVE-2021-39144、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39153、CVE-2021-39154:远程代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。

2.CVE-2021-39140:拒绝服务漏洞

该漏洞可能允许远程攻击者根据CPU类型或此类负载的并行执行在目标系统上分配100%的CPU时间,从而仅通过操纵处理过的输入流导致拒绝服务。

3.CVE-2021-39150、CVE-2021-39152:服务器端请求伪造漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而导致服务端请求伪造。

      四、 影响范围

XStream <= 1.4.17

      五、 安全建议

建议受影响的用户尽快将XStream升级至1.4.18版本或更高版本。

下载链接:

https://x-stream.github.io/download.html

      六、 参考链接

https://x-stream.github.io/security.html

http://x-stream.github.io/changes.html