首頁 > 安全研究 > 安全通報 > 安全通告

XStream多個安全漏洞

發布時間 2021-03-15

0x00 漏洞概述

XStream是一個Java對象和XML相互轉換的工具,在將JavaBean序列化、或將XML文件反序列化時,它不需要其它輔助類和映射文件,這使得XML序列化不再繁瑣。

2021年03月15日,XStream官方發布安全公告,公開了XStream中的11個安全漏洞,攻擊者可以利用這些漏洞造成拒絕服務、SSRF、刪除任意文件、遠程執行任意命令或代碼。

 

0x01 漏洞詳情

image.png

 

本次公開的11個漏洞如下:

CVE-ID

類型

詳情

CVE-2021-21341

拒絕服務

XStream可能導致拒絕服務。

CVE-2021-21342

SSRF

XStream中存在SSRF漏洞,攻擊者可以利用此漏洞訪問來自內部網或本地主機中資源的任意URL的數據流。

CVE-2021-21343

任意文件刪除

當取消序列化時,只要執行進程具有足夠權限,XStream存在本地主機任意文件刪除漏洞。

CVE-2021-21344

任意代碼執行

XStream易受任意代碼執行攻擊。

CVE-2021-21345

遠程命令執行

XStream易受遠程命令執行攻擊。

CVE-2021-21346

任意代碼執行

XStream易受任意代碼執行攻擊。

CVE-2021-21347

任意代碼執行

XStream易受任意代碼執行攻擊。

CVE-2021-21348

ReDos

XStream易受使用正則表達式的拒絕服務(ReDos)攻擊。

CVE-2021-21349

SSRF

XStream中存在SSRF漏洞,攻擊者可以利用此漏洞訪問來自內部網或本地主機中資源的任意URL的數據流。

CVE-2021-21350

任意代碼執行

XStream易受任意代碼執行攻擊。

CVE-2021-21351

任意代碼執行

XStream易受任意代碼執行攻擊。

 

XStream任意代碼執行漏洞(CVE-2021-21344)

在反序列化時處理的流包含類型信息以重新創建以前寫入的對象,XStream基于這些類型信息創建新的實例。攻擊者可以操縱處理后的輸入流并替換或注入對象,從而導致執行從遠程服務器加載的任意代碼。

 

影響范圍

XStream <= 1.4.15

 

0x02 處置建議

目前這些漏洞已經修復,建議升級至1.4.16或更高版本。

下載鏈接:

https://x-stream.github.io/download.html

 

0x03 參考鏈接

https://x-stream.github.io/security.html#workaround

https://x-stream.github.io/CVE-2021-21348.html

https://nvd.nist.gov/vuln/detail/CVE-2021-21341

 

0x04 時間線

2021-03-15  XStream發布安全公告

2021-03-15  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

上一篇 下一篇