【漏洞详情】
XStream是一个简单的基于Java库。近日,平安云安全中心监控到,Xstream官方发布了Xstream 安全更新,修复了多个高危安全漏洞:
1、CVE-2021-21341(拒绝服务漏洞):击者可以操纵已处理的输入流,并替换或注入一个ByteArrayInputStream(或其子类),这可能导致一个无休止的循环,从而造成拒绝服务攻击。
2、CVE-2021-21342(服务端请求伪造漏洞):攻击者可以操纵已处理的输入流并替换或注入对象,导致服务端请求伪造;
3、CVE-2021-21343(任意文件删除漏洞:攻击者可以操纵已处理的输入流并替换或注入对象,从而可以删除本地主机上的任意文件;
4、CVE-2021-21344(代码执行漏洞):攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码;
5、CVE-2021-21345(代码执行漏洞):攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令;
6、CVE-2021-21346(代码执行漏洞):攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码;
7、CVE-2021-21347(代码执行漏洞):攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码;
8、CVE-2021-21348(拒绝服务漏洞):攻击者可以操纵已处理的输入流并替换或注入对象,导致执行恶意正则表达式的计算,从而造成拒绝服务攻击;
9、CVE-2021-21349(服务端请求伪造漏洞):攻击者可以操纵已处理的输入流并替换或注入对象,从而导致服务端请求伪造;
10、CVE-2021-21350(代码执行漏洞):攻击者可以操纵处理后的输入流并替换或注入对象,从而导致任意代码执行;
11、CVE-2021-21351: (代码执行漏洞):攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
【风险评级】
高危
【影响范围】
l Xstream:Xstream: <= 1.4.15
【修复建议】
官方已发布安全补丁,建议受影响的用户结合实际业务评估漏洞风险影响,及时升级至安全版本,以避免安全风险。
下载链接:https://x-stream.github.io/download.html。
【参考链接】
https://x-stream.github.io/security.html#workaround
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2021年3月15日