查看原文
其他

开源组件XStream 修复11个漏洞并公开 PoC

XStream 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队


XStream 发布新版本 1.4.16,修复了11个漏洞:CVE-2021-21341、CVE-2021-21342、CVE-2021-21343、CVE-2021-21344、CVE-2021-21345、CVE-2021-21346、CVE-2021-21347、CVE-2021-21348、CVE-2021-21349、CVE-2021-21350 和 CVE-2021-21351。另外,XStream 还发布了这些漏洞的 PoC,建议用户尽快修复。


漏洞概述


在解组时处理的流包含类型信息,用于重新创建之前写入的对象。XStream因此基于这些类型信息创建新的实例。攻击者可:

  • 操纵处理后的输入流,并替换或注入操纵后的ByteArrayInputStream(或派生类),可能导致无限循环,从而导致拒绝服务 (CVE-2021-21341)。

  • 操纵处理后的输入流并替换或注入对象,从而导致服务器端伪造请求(CVE-2021-21342/21349) ;或导致删除本地主机上的文件 (CVE-2021-21343);或导致在服务器上执行本地命令 (CVE-2021-21345) ;或导致恶意正则表达式评估执行,进而引发拒绝服务 (CVE-2021-21348);或导致执行从远程服务器加载的任意代码 (CVE-2021-21344/21346/21347/21350/21351)。

这些漏洞影响XStream 1.4.15及之前版本,用户应尽快更新至最新版本。

XStream 1.4.16 版本下载地址:

https://x-stream.github.io/download.html

奇安信开源卫士20210315. 623版本已支持对这些Xstream高危漏洞的检测。





推荐阅读
XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现与分析
【缺陷周话】第 38期——不安全的反序列化:XStream
GitHub谈软件供应链安全及其重要性



参考链接

https://x-stream.github.io/news.html


题图:Pixabay License(莫奈作品)


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存