XStream 多个高危漏洞通告

　　漏洞详情

　　XStream是一个开源的Java类库，它能够将对象序列化成XML或将XML反序列化为对象。近日，XStream官方发布新版本，修复多个高危漏洞，漏洞被利用可导致远程代码执行、SSRF、拒绝服务等安全问题。

　　此次更新修复了以下安全漏洞：

　　CVE-2021-21341：

　　XStream拒绝服务漏洞。

　　CVE-2021-21342：

　　XStream服务器端伪造请求漏洞，可通过该漏洞访问内部网或本地主机中的资源。

　　CVE-2021-21343：

　　XStream任意文件删除漏洞。

　　CVE-2021-21344：

　　XStream任意代码执行漏洞。

　　CVE-2021-21345：

　　XStream“远程代码执行”漏洞。

　　CVE-2021-21346：

　　XStream任意代码执行漏洞。

　　CVE-2021-21347：

　　XStream任意代码执行漏洞。

　　CVE-2021-21348：

　　XStream正则表达式的拒绝服务(ReDos)漏洞。

　　CVE-2021-21349：

　　XStream服务器端伪造请求漏洞，可通过该漏洞访问内部网或本地主机中的资源。

　　CVE-2021-21350：

　　XStream任意代码执行漏洞。

　　CVE-2021-21351：

　　XStream任意代码执行漏洞。

　　风险等级

　　高

　　漏洞风险

　　攻击者可利用该漏洞执行远程代码。

　　影响版本

　　XStream < 1.4.16

　　安全版本

　　XStream 1.4.16

　　修复建议

　　建议升级到最新版本，并按照官方提供的缓解措施进行修复：

　　下载链接：http://x-stream.github.io/download.html

　　漏洞参考

　　http://x-stream.github.io/changes.html