前言
上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重视这次安全更新。
这次修复的CVE-2021-29505(任意代码执行漏洞),漏洞利用复杂度低,风险高,建议尽快修复,详情如下。
1. 漏洞概述
5月14日,XStream官方发布安全更新,修复了一个由TSRC(与白帽子沟通后)上报的严重漏洞CVE-2021-29505,并向TSRC白帽子公开致谢。
通过该漏洞,攻击者构造特定的XML,绕过XStream的黑名单,最终触发反序列化造成任意代码执行。
2. 时间线
2021/04/13
TSRC白帽子V3geB1rd在研究XStream的时候,发现存在绕过,随后立即报告给TSRC
2021/04/14
TSRC与白帽子沟通后报告给XStream官方
2021/05/08
XStream官方确认报告
2021/05/14
官方发布安全更新
2021/05/17</