漏洞安全|XStream多个反序列化漏洞急需修复

作者：安全狗

发布时间：2021-08-23

　　近日，安全狗应急响应中心监测到 XStream 官方发布安全公告，披露多个反序列化漏洞。安全狗应急响应中心提醒 XStream 用户尽快采取安全措施阻止漏洞攻击。

XStream漏洞

　　一、漏洞描述

　　XStream是一个常用的Java对象和XML相互转换的工具。XStream官方此次修复了多个XStream 反序列化漏洞。攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发反序列化，从而造成反序列化代码执行漏洞(CVE-2021-39139等)等。实际漏洞利用依赖于具体代码实现以及相关接口请求，无法批量远程利用。

　　CVE-2021-39139 任意代码执行高危

　　CVE-2021-39140 拒绝服务高危

　　CVE-2021-39141 任意代码执行高危

　　CVE-2021-39144 任意代码执行高危

　　CVE-2021-39145 任意代码执行高危

　　CVE-2021-39146 任意代码执行高危

　　CVE-2021-39147 任意代码执行高危

　　CVE-2021-39148 任意代码执行高危

　　CVE-2021-39149 任意代码执行高危

　　CVE-2021-39150 SSRF漏洞中危

　　CVE-2021-39151 任意代码执行高危

　　CVE-2021-39152 SSRF漏洞中危

　　CVE-2021-39153 任意代码执行高危

　　CVE-2021-39154 任意代码执行高危

　　二、安全通告信息

　　漏洞名称XStream多个高危漏洞风险通告

　　漏洞影响版本：XStream < 1.4.18

　　漏洞危害等级：高危

　　厂商是否已发布漏洞补丁：是

　　版本更新地址：http://x-stream.github.io/changes.html

　　三、处置措施

　　安全版本

　　XStream 1.4.18

　　安全建议

　　针对使用到XStream组件的web服务升级至最新版本：

　　http://x-stream.github.io/changes.html

　　安全狗安全解决方案

　　安全狗T-Sec主机安全(云眼)漏洞库日期2021-8-23之后的版本，已支持对XStream多个高危漏洞进行检测。

标签：漏洞安全

上一篇：三级等保多少钱

下一篇：漏洞安全|Atlassian Confluence 远程代码执行漏洞介绍

最新资讯: 网络安全合规性报告包括哪些内容; 网络安全中态势感知解决方案; 容器安全防护服务有哪些？; 什么是日志审计系统?日志审计系统有什么用?; 企业面对网络安全应该怎么做？; 云堡垒机是什么有什么用?; 如何免费获取企业服务器安全检测报告？; 免费服务器安全体检报告怎么获取; SaaS是什么意思_SaaS有什么作用; 2024年十大网络安全威胁预测

相关资讯: 2022年5月微软漏洞安全更新含3个0day漏洞等75个; OpenSSH权限提升漏洞风险修复（CVE-2021-41617）; 漏洞安全|Apache Dubbo远程代码执行漏洞修复通告; 漏洞安全|Atlassian Confluence 远程代码执行漏洞介绍; 漏洞安全|XStream多个反序列化漏洞急需修复; Windows Defender远程代码执行漏洞CVE-2021-31985详情通告; Windows Print Spooler 蠕虫级远程代码执行0day漏洞通告; ForgeRock AM远程代码执行漏洞安全通告