5SERVER
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Unsolved
    • Solved

    云安全日报210517:XStream Java序列化库发现远程代码执行漏洞

    China Mainland - 国内
    1
    1
    3
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • admin
      admin last edited by

      XStream是一个常用的Java对象和XML相互转换的工具。5月15日 XStream官方发布安全更新,修复了多个XStream 反序列化漏洞。以下是漏洞详情:

      漏洞详情

      来源: https://x-stream.github.io/security.html?spm=a2c4g.11174386.n2.4.54c11051CEr2c6#workaround

      CVE-2021-29505 严重程度: 高危

      攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成反序列化代码执行漏洞.实际漏洞利用依赖于具体代码实现以及相关接口请求,无法批量远程利用。

      受影响的产品和版本

      XStream 1.4.17之前版本

      解决方案

      XStream官方已发布安全更新,升级XStream 1.4.17版本可修复

      1 Reply Last reply Reply Quote 0
      • First post
        Last post
      Telegram Group | Telegram Channel | Telegram Discussion