XStream < 1.4.20 栈缓冲区溢出漏洞

最新推荐文章于 2024-08-07 11:50:10 发布
最新推荐文章于 2024-08-07 11:50:10 发布
阅读量2.2k 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: 安全 开源 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/128478998
版权
XStream 1.4.20及以前版本存在栈缓冲区溢出漏洞,允许远程攻击者通过操纵输入流导致拒绝服务。受影响的范围包括com.thoughtworks.xstream:xstream@(-∞, 1.4.20)。解决方案是升级到1.4.20或更高版本。参考链接提供了更多信息和官方补丁。" 80439736,7508806,Oracle与Java控制语句比较,"['数据库', '编程语言', 'Oracle语法', 'Java语法', '循环结构']
摘要由CSDN通过智能技术生成

漏洞描述

XStream 是一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。

在1.4.20之前的版本中存在栈缓冲区溢出漏洞,从而导致通过操纵已处理的输入流来造成拒绝服务。

在使用集合和映射的哈希码来实现强制递归哈希计算时,远程攻击者可以通过栈缓冲区溢出的错误来终止应用程序造成拒绝服务攻击。

通过在调用应用程序中捕获 StackOverflowError,可以避免此漏洞的这种影响。

该漏洞已存在 POC。

漏洞名称 XStream < 1.4.20 栈缓冲区溢出漏洞
漏洞类型 栈缓冲区溢出
发现时间 2022/12/28
漏洞影响广度 一般
MPS编号 MPS-2022-58603
CVE编号 CVE-2022-41966
CNVD编号 -

影响范围

com.thoughtworks.xstream:xstream@(-∞, 1.4.20)

修复方案

升级com.thoughtworks.xstream:xstream到 1.4.20 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSCS开源安全周报第24期:XStream 缓冲区溢出漏洞
OSCS开源安全社区
01-03 797
OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 XStream < 1.4.20 缓冲区溢出漏洞(CVE-2022-41966),Linux Kernel ksmbd模块存在任意代码执行漏洞(CVE-2022-47939),Squid 存在整数溢出漏洞(CVE-2022-41318),MeterSphere
xstream1.4.18升级版本问题
qq_29423323的博客
12-12 899
xstream 升级版本问题
xstream-1.4.20.jar
01-11
xstream-1.4.20.jar
XStream问题合集(升级版本,字段缺失)
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
06-07 669
了解具体用法的可以借鉴这篇文章xstream运用,JAVA对象转xml,xml转JAVA对象-CSDN博客目录升级问题异常报错信息1com.thoughtworks.xstream.security.ForbiddenClassException解决方法需要降低限制权限异常报错信息2com.thoughtworks.xstream.converters.reflection.AbstractReflectionConverter$UnknownFieldException: No such field解决方
XML:XStream
熊诗言的博客
11-24 439
1 XStream的作用 XStream可以把JavaBean对象转换成XML! 通常服务器向客户端响应的数据都是来自数据库的一组对象,而我们不能直接把对象响应给响应端,所以我们需要把对象转换成XML再响应给客户端,这时就需要使用XStream组合了。   2 XStream入门 为了演示XStream的作用,我们需要先写两个类,Province和City。 City.java
XML处理利器:XStream
程序员
02-24 1257
在项目中进行一些类似黑名单、白名单的配置时,需要多个文本文件,很麻烦。本文要通过XStream实现一个XML文件,配置多个功能。本文主要参考《Spring 3.X 企业应用开发实战》第14章内容,加了一下自己的理解,自己的应用。XStream概述XStream是一套简洁易用的开源框架,用于将java对象序列化为XML文件或者XML文件反序列化为java对象,是java对象和XML相互转换的利器。XS
xstream-1.4.2
04-08
XStream深度解析:探索1.4.2版本的魅力》 XStream,作为一个强大的Java库,主要用于对象到XML以及XML到对象的序列化和反序列化。它的出现为开发者提供了便利,使得处理XML数据如同操作Java对象一般简单。在...
【WEB安全Xstream最新反序列化poc执行报错问题
hhhhhggghbhh的博客
12-13 605
最近有个需求,用Xstream反序列化打个内存马,从通用性来讲,肯定用1.4.17的洞去打应用范围最广。众所周知,Xstream官方会提供其漏洞的poc。在我实验之下,1.4.17的几个poc只要涉及到任意java代码执行的都会报错,纯调用java.lang.Runtime.exec()的却不会报错。在我调试之下发现了其奥秘,本文就是解决Xstream任意java代码执行报错的问题。
xstream1.4 下载
ab874379178的博客
11-06 1828
xstream1.4.2.jar下载
XStream的.NET版本
03-10
XStreamJava版本的对XML进行序列化以及反系列化的开源工具包 这是一个.net版本的XStream类库,使用方便
xstream-1.3.1.zip
11-02
包含xstream-1.3.1.jar一个jar包,可以根据实际需要下载使用。 由于是比较难找的jar,所以上传共享
xstream最新版 - xstream-1.4.18.jar
12-21
xstream最新版jar
xstream-1.4.3.jar.zip
04-30
XStream是一个简单的基于Java库,Java对象序列化到XML,反之亦然(即:可以轻易的将Java对象和xml文档相互转换)。
xstream-1.4.jar
12-21
xstream jar包,java对象转xml以及xml转java对象,操作很简单。
XStream 代码问题漏洞(CVE-2021-21345)
最新发布
FCH的博客
08-07 259
目前厂商已发布升级补丁以修复漏洞,建议受影响的用户,及时升级至1.4.16及以上版本。补丁获取链接:https://x-stream.github.io/download.html。这里我们在这边利用 exclusion 排除weixin-java-mp的子依赖,然后再单独引入指定版本的xstream。1,在idea中全文件搜索xstream中没有搜索到,可以在 idea tearminal 中执行命令,查找对应的依赖。xstream:jar:1.4.20 >= 官方建议升级版本1.4.16。
XStream 从1.3.X升级到1.4.X版本遇到问题
傲慢的上校的专栏
04-15 1493
原来为第三方提供jar包使用XStream1.3.X版本,后来升级到1.4.X版本,第三方系统使用时遇到com.thoughtworks.xstream.security.ForbiddenClassException 问题。在xml转成bean类时,发现xml中user_name 中有值,但是转换的bean类中 user_name 为空,$也是关键字,默认为_-,这2个参数一个改变$的显示,一个改变_的显示。修改后,user_name 可以转换正常。因为_是关键字,默认的会变为__
xstream最新版本_【漏洞预警】XStream小于1.4.14远程代码执行漏洞(CVE202026217)
weixin_39819576的博客
11-28 1766
01漏洞概述近日,XSteam官方发布版本更新,修复了一个安全漏洞。该漏洞编号为CVE-2020-26217,其最初报告为CVE-2017-9805,即未初始化安全框架的XStream实例取消任务时,存在任意命令执行漏洞。02影响范围XStream < 1.4.1403安全版本XStream 1.4.1404修复建议官方已在最新版本中修复了该漏洞,请受影响的用户尽快通过下方链接升级...
如何升级XStream 1.4.20
05-18
<version>1.4.20</version> </dependency> ``` Gradle: ``` implementation 'com.thoughtworks.xstream:xstream:1.4.20' ``` 2. 如果您使用的是旧版本的 XStream,请确保您的代码与新版本兼容。您可以查看 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值