Xstream多处高危漏洞预警
发布时间:2021-09-07 信息来源:
近日,Xstream官方发布漏洞公告,公开了1.4.18之前的版本中多处高危漏洞详细信息。远程攻击者利用漏洞可造成任意代码执行、拒绝服务攻击、SSRF跨站请求伪造等危害。目前,漏洞利用细节已公开,建议受影响用户及时升级到安全版本。
一、基本情况
XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream在很多中间件中以第三方依赖的形式引入,使用广泛。Xstream官方此次公开漏洞如下:
(一)XStream任意代码执行漏洞(CVE-2021-39139、CVE-2021-39141、CVE-2021-39144、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39153、CVE-2021-39154)。
(二)XStream拒绝服务攻击漏洞(CVE-2021-39140)。
(三)XStream SSRF漏洞(CVE-2021-39150、CVE-2021-39152)。
二、影响分析
影响版本:
XStream<1.4.18
三、处置建议
目前Xstream官方在新版本中已修复了漏洞,请受影响的用户升级至安全版本:
http://x-stream.github.io/download.html
四、参考链接
http://x-stream.github.io/new.html