一、漏洞详情
XStream是一个常用的Java对象和XML相互转换的工具。XStream官方发布安全更新,修复了多个XStream 反序列化漏洞。
攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2021-29505反序列化代码执行漏洞等。实际漏洞利用依赖于具体代码实现以及相关接口请求,无法批量远程利用。
二、影响范围
XStream < 1.4.17
三、修复建议
针对使用到XStream组件的web服务升级至最新版本:http://x-stream.github.io/changes.html