■ 漏洞描述
近日，XStream官方发布漏洞公告，公开了多个XStream高危漏洞的详细信息。其中CVE-2021-39141、CVE-2021-39144、CVE-2021-39145、CVE-2021-39146等漏洞允许攻击者通过构造特制的XML数据绕过XStream黑名单限制从而在目标机器上执行任意代码。鉴于此类漏洞危害较大，且细节和POC已公开，建议老师尽快自查XStream版本，升级到安全版本以避免受此影响。
 
■ 影响范围
XStream <= 1.4.17
 
■ 漏洞检测
检测版本
 
■ 漏洞修复
XStream 1.4.18 版本修复了以上漏洞，建议尽快升级至安全版本：
https://x-stream.github.io/download.html
 
■ 临时修复
若无法升级至最新版本可采用以下缓解措施进行加固：
清除默认设置并使用白名单进行过滤，参考如下代码：
XStream xstream = new XStream();
// clear out existing permissions and start a whitelist
xstream.addPermission(NoTypePermission.NONE);
// allow some basics
xstream.addPermission(NullPermission.NULL);
xstream.addPermission(PrimitiveTypePermission.PRIMITIVES);
xstream.allowTypeHierarchy(Collection.class);
// allow any type from the same package
xstream.allowTypesByWildcard(new String[] {
Blog.class.getPackage().getName()+".*"
});
 
■ 漏洞详情
XStream官方发布漏洞公告，公开了多个XStream高危漏洞的详细信息。其中CVE-2021-39139、CVE-2021-39141、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39151、CVE-2021-39153、CVE-2021-39154多个漏洞允许攻击者在目标机器上执行任意代码，CVE-2021-39144允许攻击者远程在目标机器执行命令，CVE-2021-39140允许拒绝服务，CVE-2021-39150、CVE-2021-39152可导致SSRF（服务端请求伪造）。