【高危】- XStream远程代码执行漏洞(CVE-2021-29505)
■ 漏洞描述
5月14日,XStream官方发布安全更新CVE-2021-29505,这次修复的CVE-2021-29505(任意代码执行漏洞),通过该漏洞,攻击者构造特定的XML,绕过XStream的黑名单,最终触发反序列化造成任意代码执行。
该漏洞利用复杂度低,风险高,建议尽快修复。
■ 影响范围
影响版本:version <= 1.4.16
安全版本:1.4.17
■ 漏洞检测
XStream是一种用来处理XML文件序列化库,可以看下项目的jar文件或者依赖配置文件中XStream的版本,如果小于1.4.17则说明受影响。
■ 漏洞修复
升级到最新版本-1.4.17
https://x-stream.github.io/news.html
■ 临时修复
使用安全api
https://x-stream.github.io/security.html#example
■ 漏洞详情
历史上XStream多次被报告严重漏洞,仅依赖jdk库绕过黑名单就有多例,依赖第三方库进行绕过黑名单的方法更多,而且新的反序列化攻击链不断被挖掘出来, 黑名单不断被绕过,建议务必使用XStream安全api设置反序列类的白名单。
攻击者构造特定的XML,绕过XStream的黑名单,最终触发反序列化造成任意代码执行。
https://m.weibo.cn/status/4637534347331662?wm=3333_2001&from=10B2193010&sourcetype=weixin
5月14日,XStream官方发布安全更新CVE-2021-29505,这次修复的CVE-2021-29505(任意代码执行漏洞),通过该漏洞,攻击者构造特定的XML,绕过XStream的黑名单,最终触发反序列化造成任意代码执行。
该漏洞利用复杂度低,风险高,建议尽快修复。
■ 影响范围
影响版本:version <= 1.4.16
安全版本:1.4.17
■ 漏洞检测
XStream是一种用来处理XML文件序列化库,可以看下项目的jar文件或者依赖配置文件中XStream的版本,如果小于1.4.17则说明受影响。
■ 漏洞修复
升级到最新版本-1.4.17
https://x-stream.github.io/news.html
■ 临时修复
使用安全api
https://x-stream.github.io/security.html#example
■ 漏洞详情
历史上XStream多次被报告严重漏洞,仅依赖jdk库绕过黑名单就有多例,依赖第三方库进行绕过黑名单的方法更多,而且新的反序列化攻击链不断被挖掘出来, 黑名单不断被绕过,建议务必使用XStream安全api设置反序列类的白名单。
攻击者构造特定的XML,绕过XStream的黑名单,最终触发反序列化造成任意代码执行。
https://m.weibo.cn/status/4637534347331662?wm=3333_2001&from=10B2193010&sourcetype=weixin