首页> 通知公告 >正文

Xstream多处高危漏洞预警

时间：2021-09-10 来源：四川省公安厅 作者：佚名

　　 

　　近日，Xstream官方发布漏洞公告，公开了1.4.18之前的版本中多处高危漏洞详细信息。远程攻击者利用漏洞可造成任意代码执行、拒绝服务攻击、SSRF跨站请求伪造等危害。目前，漏洞利用细节已公开，建议受影响用户及时升级到安全版本。

　　一、基本情况

　　XStream是Java类库，用来将对象序列化成XML（JSON）或反序列化为对象。XStream在很多中间件中以第三方依赖的形式引入，使用广泛。Xstream官方此次公开漏洞如下：

　　（一）XStream任意代码执行漏洞（CVE-2021-39139、CVE-2021-39141、CVE-2021-39144、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39153、CVE-2021-39154）。

　　（二）XStream拒绝服务攻击漏洞（CVE-2021-39140）。

　　（三）XStream SSRF漏洞（CVE-2021-39150、CVE-2021-39152）。

　　二、影响分析

　　影响版本：

　　XStream<1.4.18

　　三、处置建议

　　目前Xstream官方在新版本中已修复了漏洞，请受影响的用户升级至安全版本：

　　http://x-stream.github.io/download.html

　　四、参考链接

　　http://x-stream.github.io/new.html

　　

　　

原文链接：http://gat.sc.gov.cn/scgat/c103388/2021/9/7/c1b52403c19949e78116211daaf55cfa.shtml