风险描述
XStream 是Java 类库中的常用组件,可将Java 对象序列化为XML,反之可将Java 对象和XML 文档相互转换。
XStream 官方发布安全公告,披露多个反序列化漏洞,包括:
1、拒绝服务漏洞(CVE-2021-21341/21348)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,执行恶意正则表达式的计算,从而造成拒绝服务攻击。
2、服务端请求伪造漏洞(CVE-2021-21342/21349)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,从而伪造服务端请求。
3、任意文件删除漏洞(CVE-2021-21343)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,从而删除本地主机上的任意文件。
4、利用代码执行漏洞(CVE-2021-21344 至CVE-2021-21347、CVE-2021-21350/21351)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
影响范围
XStream 版本<= 1.4.15
处置方法
排查方式
该库通常封装到Java 程序中引用,解包后能够看到xstream-1.4.*.jar文件。优先排查使用Java 开发且为XML 格式的应用系统。
修复更新方式
下载1.4.16 及以上版本的jar 包并替换原文件,新版本下载地址:https://x-stream.github.io/download.html