近日,安全狗应急响应中心监测到 XStream 官方发布安全公告,披露多个反序列化漏洞。安全狗应急响应中心提醒 XStream 用户尽快采取安全措施阻止漏洞攻击。
一、漏洞描述
XStream是一个常用的Java对象和XML相互转换的工具。XStream官方此次修复了多个XStream 反序列化漏洞。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成 反序列化代码执行漏洞(CVE-2021-39139等)等。实际漏洞利用依赖于具体代码实现以及相关接口请求,无法批量远程利用。
CVE-2021-39139 任意代码执行 高危
CVE-2021-39140 拒绝服务 高危
CVE-2021-39141 任意代码执行 高危
CVE-2021-39144 任意代码执行 高危
CVE-2021-39145 任意代码执行 高危
CVE-2021-39146 任意代码执行 高危
CVE-2021-39147 任意代码执行 高危
CVE-2021-39148 任意代码执行 高危
CVE-2021-39149 任意代码执行 高危
CVE-2021-39150 SSRF漏洞 中危
CVE-2021-39151 任意代码执行 高危
CVE-2021-39152 SSRF漏洞 中危
CVE-2021-39153 任意代码执行 高危
CVE-2021-39154 任意代码执行 高危
二、安全通告信息
漏洞名称XStream多个高危漏洞风险通告
漏洞影响版本:XStream < 1.4.18
漏洞危害等级:高危
厂商是否已发布漏洞补丁:是
版本更新地址:http://x-stream.github.io/changes.html
三、处置措施
安全版本
XStream 1.4.18
安全建议
针对使用到XStream组件的web服务升级至最新版本:
http://x-stream.github.io/changes.html
安全狗安全解决方案
安全狗T-Sec主机安全(云眼)漏洞库日期2021-8-23之后的版本,已支持对XStream多个高危漏洞进行检测。