【安全通报】XStream 多个高危漏洞(CVE-2021-21341等)

image-20210315143805621.png

XStream是一个简单的基于Java库,Java对象序列化到xml,反之亦然(即:可以轻易的将Java对象和xml文档相互转换)。

近日,Xstream官方发布了Xstream 安全更新,建议广大用户及时将XStream升级到最新版本,避免遭到攻击。

CVE-2021-21341: 拒绝服务漏洞

攻击者可以操纵已处理的输入流,并替换或注入一个ByteArrayInputStream(或其子类),这可能导致一个无休止的循环,从而造成拒绝服务攻击。

CVE-2021-21342: 服务端请求伪造漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,导致服务端请求伪造。

CVE-2021-21343: 任意文件删除漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而可以删除本地主机上的任意文件。

CVE-2021-21344: 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

CVE-2021-21345: 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。

CVE-2021-21346: 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

CVE-2021-21347: 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

CVE-2021-21348: 拒绝服务漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,导致执行恶意正则表达式的计算,从而造成拒绝服务攻击。

CVE-2021-21349: 服务端请求伪造漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而导致服务端请求伪造。

CVE-2021-21350: 代码执行漏洞

攻击者可以操纵处理后的输入流并替换或注入对象,从而导致任意代码执行。

CVE-2021-21351: 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

CVE编号

CVE-2021-21341
CVE-2021-21342
CVE-2021-21343
CVE-2021-21344
CVE-2021-21345
CVE-2021-21346
CVE-2021-21347
CVE-2021-21348
CVE-2021-21349
CVE-2021-21350
CVE-2021-21351

影响范围

  • Xstream:Xstream: <= 1.4.15

Vulfocus靶场环境 

目前 Vulfocus 已经集成 XStream 环境,可通过以下命令进行拉取运行:

docker pull vulfocus/xstream-cve_2021_21351:latest docker run -d -P vulfocus/xstream-cve_2021_21351

也可使用线上环境 http://vulfocus.fofa.so/ 进行测试。


修复建议

  1. 建议立即升级到最新版本

    下载链接:https://x-stream.github.io/download.html

参考

[1] https://x-stream.github.io/security.html#workaround

[2] https://mp.weixin.qq.com/s/GhmEFmhnuGnFaSINQe--fg

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐