【漏洞详情】

XStream是一个简单的基于Java库。近日，平安云安全中心监控到，Xstream官方发布了Xstream 安全更新，修复了多个高危安全漏洞：

1、CVE-2021-21341(拒绝服务漏洞)：击者可以操纵已处理的输入流，并替换或注入一个ByteArrayInputStream（或其子类），这可能导致一个无休止的循环，从而造成拒绝服务攻击。

2、CVE-2021-21342（服务端请求伪造漏洞）：攻击者可以操纵已处理的输入流并替换或注入对象，导致服务端请求伪造；

3、CVE-2021-21343（任意文件删除漏洞：攻击者可以操纵已处理的输入流并替换或注入对象，从而可以删除本地主机上的任意文件；

4、CVE-2021-21344（代码执行漏洞）：攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码；

5、CVE-2021-21345（代码执行漏洞）：攻击者可以操作已处理的输入流并替换或注入对象，从而在服务器上本地执行命令；

6、CVE-2021-21346（代码执行漏洞）：攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码；

7、CVE-2021-21347（代码执行漏洞）：攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码；

8、CVE-2021-21348（拒绝服务漏洞）：攻击者可以操纵已处理的输入流并替换或注入对象，导致执行恶意正则表达式的计算，从而造成拒绝服务攻击；

9、CVE-2021-21349（服务端请求伪造漏洞）：攻击者可以操纵已处理的输入流并替换或注入对象，从而导致服务端请求伪造；

10、CVE-2021-21350（代码执行漏洞）：攻击者可以操纵处理后的输入流并替换或注入对象，从而导致任意代码执行；

11、CVE-2021-21351: （代码执行漏洞）：攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

【风险评级】

高危

【影响范围】

l  Xstream:Xstream: <= 1.4.15

【修复建议】

官方已发布安全补丁，建议受影响的用户结合实际业务评估漏洞风险影响，及时升级至安全版本，以避免安全风险。

下载链接：https://x-stream.github.io/download.html。

【参考链接】

https://x-stream.github.io/security.html#workaround

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年3月15日