【高危】- XStream 多个高危漏洞预警
■ 漏洞描述
2021年03月15日,Xstream官方发布了Xstream 安全更新:
CVE-2021-21341: 拒绝服务漏洞
攻击者可以操纵已处理的输入流,并替换或注入一个ByteArrayInputStream(或其子类),这可能导致一个无休止的循环,从而造成拒绝服务攻击。
CVE-2021-21342: 服务端请求伪造漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,导致服务端请求伪造。
CVE-2021-21343: 任意文件删除漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而可以删除本地主机上的任意文件。
CVE-2021-21344: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
CVE-2021-21345: 代码执行漏洞
攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。
CVE-2021-21346: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
CVE-2021-21347: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
CVE-2021-21348: 拒绝服务漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,导致执行恶意正则表达式的计算,从而造成拒绝服务攻击。
CVE-2021-21349: 服务端请求伪造漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而导致服务端请求伪造。
CVE-2021-21350: 代码执行漏洞
攻击者可以操纵处理后的输入流并替换或注入对象,从而导致任意代码执行。
CVE-2021-21351: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
■ 影响范围
Xstream:Xstream: <= 1.4.15
■ 漏洞检测
匹配软件版本
■ 漏洞修复
建议升级到最新版本,并按照官方提供的缓解措施进行修复:
https://x-stream.github.io/security.html#workaround
■ 临时修复
限制相关web服务内网访问或加waf防护
■ 漏洞详情
https://x-stream.github.io/security.html
2021年03月15日,Xstream官方发布了Xstream 安全更新:
CVE-2021-21341: 拒绝服务漏洞
攻击者可以操纵已处理的输入流,并替换或注入一个ByteArrayInputStream(或其子类),这可能导致一个无休止的循环,从而造成拒绝服务攻击。
CVE-2021-21342: 服务端请求伪造漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,导致服务端请求伪造。
CVE-2021-21343: 任意文件删除漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而可以删除本地主机上的任意文件。
CVE-2021-21344: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
CVE-2021-21345: 代码执行漏洞
攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。
CVE-2021-21346: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
CVE-2021-21347: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
CVE-2021-21348: 拒绝服务漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,导致执行恶意正则表达式的计算,从而造成拒绝服务攻击。
CVE-2021-21349: 服务端请求伪造漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而导致服务端请求伪造。
CVE-2021-21350: 代码执行漏洞
攻击者可以操纵处理后的输入流并替换或注入对象,从而导致任意代码执行。
CVE-2021-21351: 代码执行漏洞
攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
■ 影响范围
Xstream:Xstream: <= 1.4.15
■ 漏洞检测
匹配软件版本
■ 漏洞修复
建议升级到最新版本,并按照官方提供的缓解措施进行修复:
https://x-stream.github.io/security.html#workaround
■ 临时修复
限制相关web服务内网访问或加waf防护
■ 漏洞详情
https://x-stream.github.io/security.html