尊敬的用户,您好!
近日,互联网安全运营中心监测到,XStream官方发布新版本,修复多个高危漏洞,漏洞被利用可导致远程代码执行、SSRF、拒绝服务等安全问题。
为避免您的业务受影响,棉花云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。
此次更新修复了以下安全漏洞:
CVE-2021-21341:
XStream拒绝服务漏洞。
CVE-2021-21342:
XStream服务器端伪造请求漏洞,可通过该漏洞访问内部网或本地主机中的资源。
CVE-2021-21343:
XStream任意文件删除漏洞。
CVE-2021-21344:
XStream任意代码执行漏洞。
CVE-2021-21345:
XStream“远程代码执行”漏洞。
CVE-2021-21346:
XStream任意代码执行漏洞。
CVE-2021-21347:
XStream任意代码执行漏洞。
CVE-2021-21348:
XStream正则表达式的拒绝服务(ReDos)漏洞。
CVE-2021-21349:
XStream服务器端伪造请求漏洞,可通过该漏洞访问内部网或本地主机中的资源。
CVE-2021-21350:
XStream任意代码执行漏洞。
CVE-2021-21351:
XStream任意代码执行漏洞。
风险等级
高
漏洞风险
攻击者可利用该漏洞执行远程代码。
影响版本
XStream < 1.4.16
安全版本
XStream 1.4.16
修复建议
XStream官方已发布安全版本,棉花云安全建议您尽快升级相关组件,避免影响业务。
下载链接:http://x-stream.github.io/download.html
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
http://x-stream.github.io/changes.html
棉花云运营部
Copyright © 2014-2023 棉花云. All Rights Reserved. 2014IDC 版权所有 江西乐网网络科技有限公司 赣ICP备15007148号-5
使用本网站产品请严格遵守当地法律法规。用户严禁任何触犯中华人民共和国或香港特别行政区以及所在地相关法律规定。
本站部分服务由以下合作商提供:西数 新网 DNSPOD 商务中国 新网互联 阿里云 腾讯云 PDR
棉花云®为我司注册商标,受商标法保护,未经授权许可,严禁个人或组织使用
棉花云网址:www.88sup.com 、mianhuayun.net、www.mianhuayun.net
以我所能,为你而+,助力轻松触及云端。
《中华人民共和国公安部网安备案》编号 赣公网安备
36010302000229号
《中华人民共和国增值电信业务经营许可证》编号 云牌照/IDC/ISP:B1-20224338
