近日,我中心技术支持单位监测到XStream官方发布漏洞公告,公开XStream远程代码执行漏洞、XStream拒绝服务漏洞在内的多个高危漏洞,攻击者利用上述漏洞可进行远程代码执行、拒绝服务、文件删除以及服务端请求伪造等攻击。现将部分高危漏洞通报如下:
一、漏洞情况
XStream是一个Java对象和XML相互转换的工具,提供所有的基础类型、数组、集合等类型直接转换的支持。
(一)XStream 远程代码执行高危漏洞(CVE-2021-21344 、CVE-2021-21346 、CVE-2021-21347 、CVE-2021-21350 、CVE-2021-21351):本次共公开了5个XStream远程代码执行漏洞。XStream在解组时,处理的流包含类型信息,其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致从远程服务器加载的任意代码的执行。
(二)XStream拒绝服务漏洞(CVE-2021-21341):XStream 在解组时,处理的流包含类型信息,其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流,并替换或注入操纵后的ByteArrayInputStream(或派生类),这可能导致无限循环,从而导致拒绝服务。
(三)XStream服务端请求伪造漏洞(CVE-2021-21342、CVE-2021-21349):XStream存在服务端请求伪造漏洞。XStream 在解组时,处理的流包含类型信息,其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端进行伪造请求。
(四)XStream任意文件删除漏洞(CVE-2021-21343):XStream在解组时,处理的流包含类型信息,其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而删除本地主机上的文件。
二、影响范围
使用了默认配置的以下版本的XStream受这些漏洞影响:
XStream version<=1.4.15。
三、处置建议
XStream1.4.16版本修复了以上漏洞,请广大用户及时更新修复漏洞做好安全加固工作。
附件:参考链接:
https://x-stream.github.io/download.html