XStream多个安全漏洞
发布时间 2021-03-150x00 漏洞概述
XStream是一个Java对象和XML相互转换的工具,在将JavaBean序列化、或将XML文件反序列化时,它不需要其它辅助类和映射文件,这使得XML序列化不再繁琐。
2021年03月15日,XStream官方发布安全公告,公开了XStream中的11个安全漏洞,攻击者可以利用这些漏洞造成拒绝服务、SSRF、删除任意文件、远程执行任意命令或代码。
0x01 漏洞详情
本次公开的11个漏洞如下:
CVE-ID | 类型 | 详情 |
CVE-2021-21341 | 拒绝服务 | XStream可能导致拒绝服务。 |
CVE-2021-21342 | SSRF | XStream中存在SSRF漏洞,攻击者可以利用此漏洞访问来自内部网或本地主机中资源的任意URL的数据流。 |
CVE-2021-21343 | 任意文件删除 | 当取消序列化时,只要执行进程具有足够权限,XStream存在本地主机任意文件删除漏洞。 |
CVE-2021-21344 | 任意代码执行 | XStream易受任意代码执行攻击。 |
CVE-2021-21345 | 远程命令执行 | XStream易受远程命令执行攻击。 |
CVE-2021-21346 | 任意代码执行 | XStream易受任意代码执行攻击。 |
CVE-2021-21347 | 任意代码执行 | XStream易受任意代码执行攻击。 |
CVE-2021-21348 | ReDos | XStream易受使用正则表达式的拒绝服务(ReDos)攻击。 |
CVE-2021-21349 | SSRF | XStream中存在SSRF漏洞,攻击者可以利用此漏洞访问来自内部网或本地主机中资源的任意URL的数据流。 |
CVE-2021-21350 | 任意代码执行 | XStream易受任意代码执行攻击。 |
CVE-2021-21351 | 任意代码执行 | XStream易受任意代码执行攻击。 |
XStream任意代码执行漏洞(CVE-2021-21344)
在反序列化时处理的流包含类型信息以重新创建以前写入的对象,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致执行从远程服务器加载的任意代码。
影响范围
XStream <= 1.4.15
0x02 处置建议
目前这些漏洞已经修复,建议升级至1.4.16或更高版本。
下载链接:
https://x-stream.github.io/download.html
0x03 参考链接
https://x-stream.github.io/security.html#workaround
https://x-stream.github.io/CVE-2021-21348.html
https://nvd.nist.gov/vuln/detail/CVE-2021-21341
0x04 时间线
2021-03-15 XStream发布安全公告
2021-03-15 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/