开源组件XStream 修复11个漏洞并公开 PoC
编译:奇安信代码卫士团队
XStream 发布新版本 1.4.16,修复了11个漏洞:CVE-2021-21341、CVE-2021-21342、CVE-2021-21343、CVE-2021-21344、CVE-2021-21345、CVE-2021-21346、CVE-2021-21347、CVE-2021-21348、CVE-2021-21349、CVE-2021-21350 和 CVE-2021-21351。另外,XStream 还发布了这些漏洞的 PoC,建议用户尽快修复。
在解组时处理的流包含类型信息,用于重新创建之前写入的对象。XStream因此基于这些类型信息创建新的实例。攻击者可:
操纵处理后的输入流,并替换或注入操纵后的ByteArrayInputStream(或派生类),可能导致无限循环,从而导致拒绝服务 (CVE-2021-21341)。
操纵处理后的输入流并替换或注入对象,从而导致服务器端伪造请求(CVE-2021-21342/21349) ;或导致删除本地主机上的文件 (CVE-2021-21343);或导致在服务器上执行本地命令 (CVE-2021-21345) ;或导致恶意正则表达式评估执行,进而引发拒绝服务 (CVE-2021-21348);或导致执行从远程服务器加载的任意代码 (CVE-2021-21344/21346/21347/21350/21351)。
这些漏洞影响XStream 1.4.15及之前版本,用户应尽快更新至最新版本。
XStream 1.4.16 版本下载地址:
https://x-stream.github.io/download.html
奇安信开源卫士20210315. 623版本已支持对这些Xstream高危漏洞的检测。
【缺陷周话】第 38期——不安全的反序列化:XStream
GitHub谈软件供应链安全及其重要性
https://x-stream.github.io/news.html
题图:Pixabay License(莫奈作品)
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。