其他
高危!XStream多个高危漏洞安全风险通告
漏洞描述
8月23日,亚信安全CERT监控到XStream官方发布安全更新,修复了CVE-2021-39139在内的多个漏洞(PoC已公开)。XStream是一个常用的能将Java对象转化成XML格式数据并能从XML反序列化的工具,攻击者可以利用相关漏洞,并让目标解析其构造的恶意的XML时,可执行任意代码。并且此次修复的部分漏洞仅需依赖JDK库即可触发反序列化造成任意代码执行。
鉴于该组件使用量较多,漏洞危害较大,建议客户及时进行自查和更新。
漏洞编号
CVE-2021-39140,拒绝服务漏洞,高危CVE-2021-39141,任意代码执行漏洞,高危CVE-2021-39144,远程命令执行漏洞,高危CVE-2021-39145,任意代码执行漏洞,高危CVE-2021-39146,任意代码执行漏洞,高危CVE-2021-39147,任意代码执行漏洞,高危CVE-2021-39148,任意代码执行漏洞,高危CVE-2021-39149,任意代码执行漏洞,高危CVE-2021-39150,SSRF漏洞,中危CVE-2021-39151,任意代码执行漏洞,高危CVE-2021-39152,SSRF漏洞,中危CVE-2021-39153,任意代码执行漏洞,高危CVE-2021-39154,任意代码执行漏洞,高危
受影响的版本
修复建议
2.目前官方已经发布安全版本修复相关漏洞,请及时更新到安全版本XStream 1.4.18:
3.XStream以往版本默认使用黑名单进行安全防护,而黑名单极易被绕过。在此次更新中,XStream将默认使用白名单的方式进行过滤,强烈建议客户升级默认使用白名单对应的1.4.18版本。
参考链接
了解亚信安全,请点击“阅读原文”