XStream<1.4.11 远程代码执行高危漏洞

最新推荐文章于 2024-05-21 18:02:25 发布
最新推荐文章于 2024-05-21 18:02:25 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 项目问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dushan1234/article/details/108785797
版权

今天早上收到了腾讯云的短信,说系统监测到了漏洞,要去解决,登录腾讯云后,发现控制台首页的监控报警是0,最近30天的告警历史也是0,很奇怪,最后在腾讯云的文档中找到了漏洞。文档地址:腾讯云安全运营中心

漏洞如图,
在这里插入图片描述
解决顺序如下:
1.首先什么是XStream,我原先以为这个是系统引入的jar包,但是在pom文件中没有,没办法,在idea的Terminal中输入 mvn dependency:tree 查看项目的依赖树
再接着搜索XStream,找到了这个jar包,
在这里插入图片描述
往上看根目录,发现是spring-cloud-starter-eureka依赖下的子依赖。XSteam的版本又取决于spring-cloud-starter-eureka的版本。如果直接改动根依赖的版本号或许会造成其他未知影响,因此选择只修改XSream的版本。

腾讯云的告警信息中有解决方案,版本号也告诉你了,换一下即可
在这里插入图片描述

		<dependency>
			<groupId>com.thoughtworks.xstream</groupId>
			<artifactId>xstream</artifactId>
			<version>1.4.11.1</version>
		</dependency>

顺便说下,阿里的fastjson真的是到处都是漏洞,这次又一个漏洞是因为fastjson

增删改查科学家
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XStream 1.4.11 jar
04-14
java对象转xml以及xml转java对象,操作很简单 xml与java互相转换,比较简单的一个工具类,对xml的支持比较完美
xstream-1.4.11.1.zip jar
02-01
java jar包,亲测试可用 安全,可以对其进行数字签名,只让能够识别数字签名的用户使用里面的东西。 加快下载速度; 压缩,使文件变小,与ZIP压缩机制完全相同。 包封装。能够让JAR包里面的文件依赖于统一版本的类文件。 可移植性,能够在各种平台上直接使用。 把一个JAR文件添加到系统的classpath环境变量之后,java通常会把这个JAR文件当做一个路径来处理。通常使用jar命令来压缩,可以把一个或多个路径全部压缩成一个JAR文件。
XStream远程代码执行漏洞
m0_57768075的博客
06-18 1421
受影响系统: XStream XStream < 1.4.16 描述: -------------------------------------------------------------------------------CVE(CAN) ID: CVE-2021-21345 XStreamXStreamXstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 1.4.16之前版本存在远程代码执行漏洞远程
小白实战 | spring Eureka Xstream Deserialization RCE 漏洞复现
最新发布
伏一
05-21 733
将Spring Eureka的版本升级到安全的版本,例如,如果你使用的是Spring Cloud版本,可以升级到最新的修复版本(例如,如果是Hoxton.SR10,那么应该升级到Hoxton.SR11或更高)。5.使用 python 在自己控制的服务器上运行以上的脚本,并根据实际情况修改脚本中反弹 shell 的 ip 地址和 端口号,在修改完成就 启动脚本即可。4.利用目标<command></command>标签中攻击载荷达成反弹shell。2.python 脚本。1.访问网站服务器是否出网。
xstream_1.4.11.1.jar
04-17
xstream_1.4.11.1.jar 是list转化为xml必须的jar包,通过下载导入可以正常使用
XStream小于1.4.11远程代码执行高危漏洞问题
weixin_42855103的博客
05-18 2453
依赖树mvn dependency:help 起因: 接手了公共服务的众多项目后,这种线上的远程代码执行漏洞问题,上一个是fastjson的问题,没有什么体验,升级了版本号就上线了,这次到了XSteam,依旧按照这个流程来,但是上线前,师父问了我一句,你知道怎么判断这个依赖的添加对项目造成的影响吗? 后续说了什么就不重要了,重点记录下,这个问题后,我得到的答案和收获的体验 1 首先,项目中,没有对XSteam依赖明显的调用,无从下手这个版本过低会造成什么样的影响,也不知道之前为什么会添加这个依赖
xstream-1.4.11-API文档-中文版.zip
07-14
赠送jar包:xstream-1.4.11.jar; 赠送原API文档:xstream-1.4.11-javadoc.jar; 赠送源代码xstream-1.4.11-sources.jar; 赠送Maven依赖信息文件:xstream-1.4.11.pom; 包含翻译后的API文档:xstream-1.4.11-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.thoughtworks.xstream:xstream:1.4.11; 标签:thoughtworks、xstream、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
xstream-1.4.11-API文档-中英对照版.zip
07-13
赠送源代码xstream-1.4.11-sources.jar; 赠送Maven依赖信息文件:xstream-1.4.11.pom; 包含翻译后的API文档:xstream-1.4.11-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:...
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505).pdf
09-18
XStream远程代码执行漏洞(CVE-2021-29505)】是腾讯蓝军发布的安全通告中的一个重要安全事件,涉及到一个高风险的软件漏洞XStream是一款广泛使用的Java XML序列化库,它允许将Java对象转换为XML格式的数据,反之...
xstream-1.4.11.jar中文-英文对照文档.zip
03-09
代码下载地址:【***-sources.jar下载地址(官方地址+国内镜像地址).txt】 # 本文件关键字: 中文-英文对照文档,中英对照文档,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,...
xstream-1.4.11.1-sources.jar
02-27
java运行依赖jar
xstream-1.4.1.jar
10-20
xstream-1.4.1.jar XML解析
dom4j、XStreamjar
09-20
dom4j用于解析xml 文档,而XStream则是将Java对象转成xml文件。使用这两个工具就很好的解决了xml文件的解析与Java对象转成xml的麻烦了!
XStream介绍
weixin_41629964的博客
04-17 2556
XStream是一个实现javaBean与XML互相转换的工具,极大地简化了开发人员的对XML的处理 1、添加依赖 <dependency> <groupId>com.thoughtworks.xstream</groupId> <artifactId>xstream</artifactId> <version>1.4.11.1</version> </dependency> 2、
如何通过gradle来导入jar
热门推荐
qq_20369621的博客
03-02 2万+
很多android项目在lib文件夹下看不到任何的jar包,但是项目中确实导入了很多的第三方jar包.这里我们来看看androidstudio通过gradle来导入jar包的方法. 首先我们需要进入ProjectStructure界面,打开这个界面的方式有两种: 方法1:File->ProjectStructure. 方法2: 然后我们就可以看见ProjectStructu
Maven错误问题解决无法传输com.thoughtworks.xstreamxstreamjar:1.3.1......
QingCheng_g的博客
01-12 4402
错误问题描述 无法传输com.thoughtworks.xstreamxstreamjar:1.3.1 from https://repo.maven.apache.org/  maven2被缓存在本地存储库中,直到 中央更新间隔过去后才会重新解析分辨率 或更新被强制。原始错误:无法传输工件  com.thoughtworks.xstreamxstreamjar:1.3.1从/
XStream自定义enum转换器
jfqqqqq的博客
06-09 336
public class MyEnumConverter implements Converter { public static MyEnumConverter getInstance() { return new MyEnumConverter(); } public void marshal(Object value, HierarchicalStreamWriter writer, MarshallingContext context)..
XStream1.4的几个变化
pangwu86的专栏
09-09 778
正着手XBlink新版本的开发,想着去找XStream取取经的,结果意外发现几乎3年没有更新过的XStream在今年8月份竟然发布了新版本,最新的为1.4.1,已经是一个BugFix版了。   稍微扫了下,发现1.4比起1.3版主要有这么几个改变:     官方表示不再支持JDK1.3了,所以老系统还是继续用1.3.1版吧。 增加了对JDK7与android系统的支持。 XPP3不...
xstream 1.4.11
05-17
XStream是一个Java库,可用于将Java对象序列化为XML(反之亦然)。XStream版本1.4.11是该库的一个版本,通过解决一些已知的漏洞和引入功能改进,可以提高稳定性和性能。该版本还包含许多API的改进,例如对集合类的支持。 其中最显着的变化是XStream 1.4.11在对Java 8的支持方面有了极大的改进。它还支持Lambda表达式和方法引用参数。此外,该库还支持对通配符泛型类型的反序列化。这使得开发人员能够更方便地序列化和反序列化对象,同时仍然保持在Java 8和更高版本上的兼容性。 除此之外,XStream还在性能方面做出了显著改进,尤其是在XML序列化和反序列化大型数据结构时。该版本还提供了更好的类型转换支持,以避免数据损失。 总体而言,XStream 1.4.11是该Java库的一个非常强大的版本,具有大量功能和改进,为Java开发人员提供了一种快速、简便的方式,将Java对象转换为XML,并进行反向转换。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值