Xstream多处高危漏洞预警

发布时间:2021-09-07 信息来源:

近日,Xstream官方发布漏洞公告,公开了1.4.18之前的版本中多处高危漏洞详细信息。远程攻击者利用漏洞可造成任意代码执行、拒绝服务攻击、SSRF跨站请求伪造等危害。目前,漏洞利用细节已公开,建议受影响用户及时升级到安全版本。

一、基本情况

XStreamJava类库,用来将对象序列化成XMLJSON)或反序列化为对象。XStream在很多中间件中以第三方依赖的形式引入,使用广泛。Xstream官方此次公开漏洞如下:

(一)XStream任意代码执行漏洞(CVE-2021-39139CVE-2021-39141CVE-2021-39144CVE-2021-39145CVE-2021-39146CVE-2021-39147CVE-2021-39148CVE-2021-39149CVE-2021-39151CVE-2021-39153CVE-2021-39154)。

(二)XStream拒绝服务攻击漏洞(CVE-2021-39140)。

(三)XStreamSSRF漏洞(CVE-2021-39150CVE-2021-39152)。

二、影响分析

影响版本:

XStream<1.4.18

三、处置建议

目前Xstream官方在新版本中已修复了漏洞,请受影响的用户升级至安全版本:

http://x-stream.github.io/download.html

四、参考链接

http://x-stream.github.io/new.html

分享
TOP