XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。
反序列化漏洞
-
XStream远程代码执行漏洞(CVE-2020-26217):攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成远程代码执行漏洞,控制服务器
-
XStream任意文件删除漏洞(CVE-2020-26259):如果XStream服务有足够的权限,在XStream在反序列化数据时,攻击者可构造特定的XML/JSON请求,造成任意文件删除。
-
XStream服务端请求伪造漏洞(CVE-2020-26258):XStream的服务在反序列化数据时,攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端进行伪造请求。
-
XStream远程代码执行漏洞(CVE-2021-29505):攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成 CVE-2021-29505 反序列化代码执行漏洞。 5
-
CVE-2021-39139CVE-2021-39141,CVE-2021-39144CVE-2021-39154:多个高危漏(任意代码执行漏洞、拒绝服务漏洞、远程命令执行漏洞、SSRF跨站请求伪造漏洞) 影响版本 XStream < 1.4.18
出现范围
- eureka
处理建议
安全版本:XStream >=1.4.18 针对使用到XStream组件的web服务升级至最新版本:http://x-stream.github.io/changes.html 并建议使用白名单配置XStream安全框架允许的类型
网友评论