XStream 代码问题漏洞（CVE-2021-21345）

「已注销」

已于 2024-08-07 11:54:04 修改

阅读量271

点赞数 3

文章标签： java linux 服务器

于 2024-08-07 11:50:10 首次发布

本文链接：https://blog.csdn.net/f_15932950536/article/details/140987730

版权

XStream 代码问题漏洞（CVE-2021-21345）

修复方案

修复方案目前厂商已发布升级补丁以修复漏洞，建议受影响的用户，及时升级至1.4.16及以上版本。补丁获取链接：https://x-stream.github.io/download.html

参考链接

http://x-stream.github.io/changes.html#1.4.16

https://github.com/x-stream/xstream/security/advisories/GHSA-hwpc-8xqv-jvj4

https://x-stream.github.io/CVE-2021-21345.html

方案一：

1，在idea中全文件搜索xstream中没有搜索到，可以在 idea tearminal 中执行命令，查找对应的依赖

mvn dependency:tree

2，官方建议升级版本>=1.4.16

3，升级版本

4，Reload Maven Projects后再次在idea tearminal 中执行命令mvn dependency:tree

xstream:jar:1.4.20 >= 官方建议升级版本1.4.16

最后重新发布程序即可

方案二：

这里我们在这边利用 exclusion 排除weixin-java-mp的子依赖，然后再单独引入指定版本的xstream

最后重新发布程序即可

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

「已注销」

关注关注

3
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

OSCS开源安全周报第24期：XStream 栈缓冲区溢出漏洞

OSCS开源安全社区

01-03

807

OSCS 社区共收录安全漏洞 11 个，公开漏洞值得关注的是 XStream < 1.4.20 栈缓冲区溢出漏洞（CVE-2022-41966）,Linux Kernel ksmbd模块存在任意代码执行漏洞（CVE-2022-47939）,Squid 存在整数溢出漏洞（CVE-2022-41318）,MeterSphere

腾讯蓝军安全通告｜XStream远程代码执行漏洞(CVE-2021-29505)

Tencent_SRC的博客

05-17

5721

前言上周五XStream官方发布安全更新，由于官方把需要公告的CVE-2021-29505（任意代码执行漏洞）链接贴错成了CVE-2020-26258（SSRF漏洞）链接，导致很多人没有重...

参与评论您还未登录，请先登录后发表或查看评论

XStream 高危漏洞合集,XStream 组件反序列化漏洞

weixin_45314962的博客

11-27

2352

CVE-2021-29505反序列化代码执行漏洞

【组件攻击链】XStream组件高危漏洞分析与利用

further_eye的博客

12-01

2893

XStream组件漏洞主要是java反序列化造成的远程代码执行漏洞，目前官方通过黑名单的方式对java反序列化攻击进行防御，由于黑名单防御机制存在被绕过的风险，因此以后可能会出现类似java反序列化漏洞。

【已复现】XStream 拒绝服务漏洞(CVE-2022-41966)安全风险通告

smellycat000的专栏

12-28

4942

奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告XStream是一个Java对象和XML相互转换的工具，用来将对象序列化成XML(JSON)或将XML反序列化为对象，并提供所有的基础类型、数组、集合等类型直接转换的支持。近日，奇安信CERT监测到XStream中存在拒绝服务漏洞(CVE-2022-41966)，XStream在将XML反序列化为对象时存在堆栈溢出，未...

XStream远程代码执行漏洞

m0_57768075的博客

06-18

1436

受影响系统： XStream XStream < 1.4.16 描述： -------------------------------------------------------------------------------CVE(CAN) ID: CVE-2021-21345 XStream是XStream（Xstream）团队的一个轻量级的、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。XStream 1.4.16之前版本存在远程代码执行漏洞。远程攻

XStream反序列化漏洞分析

weixin_44825990的博客

11-25

1861

XStream反序列化漏洞分析

CVE-2021-29505 XStream远程代码执行漏洞复现

m0_56642842的博客

07-29

1971

0x00 简介 XStream是一个常用的Java对象和XML相互转换的工具，是用来处理XML文件序列化的框架，在将javaBean序列化，或将XML文件反序列化的时候，不需要其它辅助类和映射文件，大大简化了XML序列化工作。 0x01 漏洞概述 XStream官方发布安全更新，修复了多个XStream 反序列化漏洞，其中就包含了CVE-2021-29505。攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发反序列化，从而造成CVE-2021-29505反序列化代码执行漏洞等。漏洞复杂度低，

CVE-2021-21351 XStream反序列化远程代码执行漏洞

m0_56642842的博客

08-13

2675

0x00 简介 XStream是Java类库，用来将对象序列化成XML （JSON）或反序列化为对象。XStream是自由软件，可以在BSD许可证的许可下分发。它是一种OXMapping 技术，是用来处理XML文件序列化的框架在将javaBean序列化，或将XML文件反序列化的时候，不需要其它辅助类和映射文件，使得XML序列化不再繁琐。 0x01 漏洞概述在 1.4.16 版本之前的 XStream 中，存在一个漏洞，允许远程攻击者仅通过操纵处理后的输入流，解组时处理的流包含类型信息以重新创建以前编写的对

腾讯蓝军安全通告｜XStream远程代码执行漏洞(CVE-2021-29505).pdf

09-18

【XStream远程代码执行漏洞(CVE-2021-29505)】是腾讯蓝军发布的安全通告中的一个重要安全事件，涉及到一个高风险的软件漏洞。XStream是一款广泛使用的Java XML序列化库，它允许将Java对象转换为XML格式的数据，反之...

XStream 反序列化远程命令执行漏洞复现(CVE-2021-21351)

weixin_43223153的博客

03-30

5760

XStream 反序列化远程命令执行漏洞复现 1. 漏洞影响版本 XStream <= 1.4.15 2. 环境搭建安装漏洞靶场vulhub git clone git://github.com/vulhub/vulhub.git 3. 漏洞复现 1 进入到漏洞环境文件夹，启动漏洞环境。 cd /vulhub/xstream/CVE-2021-21351 docker-compose up -d 2 启动好之后，访问靶机的ip加8080端口 3 下载JNDI注入利用工具：下载地址：https

XStream 反序列化命令执行漏洞（CVE-2021-21351）

EC_Carrot的博客

08-21

1157

漏洞简介 XStream是一个轻量级、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞，但是其 1.4.15 及之前版本黑名单存在缺陷，攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入，进而执行任意命令。漏洞复现由于目标环境Java版本高于8u191，所以我们需要使用org.apache.naming.

『Java安全』XStream 1.4.15反序列化漏洞CVE-2021-21345复现与浅析

Ho1aAs‘s Blog

08-17

1462

一种绕过黑名单、触发造成RCE的姿势XStream ≤ 1.4.15 PoC XStream怎么序列化和反序列化PriorityQueue? 分析PoC之前先看看XStream是怎么对待PriorityQueue的：PriorityQueue继承了Serializable，因此使用的是SerializableConveter 因此在doMarshal和doUnMarshal时会调用write/readObject 看PoC使用的是优先级队列，CC链的常客了，写一个demo看看XStream是怎么反序.

Xstream反序列化漏洞

最新发布

qq_50296568的博客

08-08

705

Xstream库中部分类本身会做反射的 invoke()、序列化的 resovleClass()、readObject()等等，同时这些类的这些操作有被攻击者恶意利用的危险。例如CVE-2020-26217中我们可以通过构造一个包含恶意XML的类。XStream是一个Java库，用于将Java对象序列化为XML格式，也可以将XML格式的数据反序列化为Java对象。它是一个流行的开源库，常用于在分布式系统中传输和存储数据。

XStream CVE最新漏洞

pandamig的博客

04-12

1385

XStream CVE漏洞啦啦啦，我只是官网搬运工：https://x-stream.github.io/index.html 文章目录XStream CVE漏洞CVE-2021-21341CVE-2021-21342CVE-2021-21343CVE-2021-21344CVE-2021-21345CVE-2021-21346CVE-2021-21347CVE-2021-21348CVE-2021-21349CVE-2021-21350CVE-2021-21351 CVE-2021-21341 漏洞

Xstream漏洞复现（CVE-2021-29505）

Ashely的博客

09-24

3222

Vulhub漏洞环境搭建拉取漏洞镜像复现漏洞一、Vulhub漏洞环境搭建详见文章Vulhub靶场搭建（Centos7）二、拉取漏洞镜像 1.进入到vulhub/Xstream/CVE-2021-29505目录下，执行 docker-compose up -d 等待拉取镜像。（默认拉取镜像速度很慢，建议换源，可参考https://blog.csdn.net/weixin_30565327/article/details/101108079） 2. ...

xstream 相关漏洞学习

问题很多的小明

05-28

438

参考：https://www.bbsmax.com/A/kmzLWkWBdG/ 基本使用 xstream主要作用：类与XML互相转换引入依赖 <dependencies> <dependency> <groupId>com.thoughtworks.xstream</groupId> <artifactId>xstream</artifactId>

漏洞复现-Xstream(CVE-2021-29505)

aming小老弟

06-01

1973

Xstream

XStream 的漏洞编号是 CVE-2021-21351的应对措施

06-11

XStream 的漏洞编号 CVE-2021-21351 是由于 XStream 序列化时对恶意 XML 转换导致的安全漏洞。以下是一些应对措施： 1. 尽可能升级 XStream 的版本到 1.4.16 或更高版本，因为这些版本已经修复了该漏洞。 2. 如果无法升级到最新版本，可以通过在 XStream 实例中禁用 DTD 解析来缓解此漏洞。可以通过以下代码实现： ``` XStream xstream = new XStream(); xstream.ignoreUnknownElements(); ``` 3. 可以通过限制可反序列化的类或使用安全的转换器来减少攻击面。 4. 将 XStream 序列化作为一个不可信的输入，始终对其进行适当的验证和过滤。 5. 使用其他序列化库，例如 Jackson 或 Gson，来代替 XStream。以上是一些常见的应对措施，但实际上解决此漏洞的最好方法是升级 XStream 到最新版本。