漏洞信息
2021年3月15日,Xstream发布了安全通告,其中包含了CVE-2021-21341,CVE-2021-21343,CVE-2021-21344等多个反序列化漏洞的漏洞修复。
CVE-2021-21341/CVE-2021-21348:
当 XStream 在反序列化数据时,攻击者构造特定的XML序列化数据,将可能导致无限循环,从而造成拒绝服务漏洞。
CVE-2021-21342/CVE-2021-21349:
当 XStream 在反序列化数据时,攻击者构造特定的XML序列化数据,将导致服务端请求伪造漏洞,攻击者通过该漏洞可以访问内网资源。
CVE-2021-21343
当 XStream 在反序列化数据时,攻击者构造特定的XML序列化数据,将导致任意文件删除漏洞,只要执行进程具有足够的权限,攻击者可以删除目标主机上的任意文件
CVE-2021-21344/CVE-2021-21345/CVE-2021-21346/CVE-2021-21347/CVE-2021-21350/CVE-2021-21351
当 XStream 在反序列化数据时,攻击者构造特定的XML序列化数据,将导致远程代码执行漏洞
漏洞危害
CVE-2021-21341/CVE-2021-21348:
当 XStream 在反序列化数据时,攻击者构造特定的XML序列化数据,将可能导致无限循环,从而造成拒绝服务漏洞。
CVE-2021-21342/CVE-2021-21349:
当 XStream 在反序列化数据时,攻击者构造特定的XML序列化数据,将导致服务端请求伪造漏洞,攻击者通过该漏洞可以访问内网资源。
CVE-2021-21343
当 XStream 在反序列化数据时,攻击者构造特定的XML序列化数据,将导致任意文件删除漏洞,只要执行进程具有足够的权限,攻击者可以删除目标主机上的任意文件 微软2021年3月补丁日漏洞通告 CVE-2021-21344/CVE-2021-21345/CVE-2021-21346/CVE-2021-21347/CVE-2021-21350/CVE-2021-21351
当 XStream 在反序列化数据时,攻击者构造特定的XML序列化数据,将导致远程代码执行漏洞
影响范围
1.4.16
修复方案
Xstream官方已经发布了解决此漏洞的软件更新,建议受影响用户尽快升级到安全版本:
- 安全版本: 1.4.16
安装和更新方式可以参考以下链接:
- http://x-stream.github.io/download.html
参考链接