本文介绍了XStream的CVE-2021-29505远程代码执行漏洞,该漏洞影响版本<=1.4.16,建议升级至1.4.17以修复。安全更新最初因链接错误未引起足够重视,但其风险较高,攻击者可通过构造特定XML实现任意代码执行。TSRC白帽子在研究中发现此漏洞并及时报告,目前腾讯安全系统已具备检测防护能力。
前言
上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重视这次安全更新。
这次修复的CVE-2021-29505(任意代码执行漏洞),漏洞利用复杂度低,风险高,建议尽快修复,详情如下。
1. 漏洞概述
5月14日,XStream官方发布安全更新,修复了一个由TSRC(与白帽子沟通后)上报的严重漏洞CVE-2021-29505,并向TSRC白帽子公开致谢。
通过该漏洞,攻击者构造特定的XML,绕过XStream的黑名单,最终触发反序列化造成任意代码执行。
2. 时间线
2021/04/13
TSRC白帽子V3geB1rd在研究XStream的时候,发现存在绕过,随后立即报告给TSRC
2021/04/14
TSRC与白帽子沟通后报告给XStream官方
2021/05/08
XStream官方确认报告
2021/05/14
官方发布安全更新
2021/05/17</
最低0.47元/天 解锁文章
扫一扫
368
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
