【安全通报】XStream远程代码执行漏洞(CVE-2021-29505)

fmbd  1308天前

微信图片_20210517112159.png

近日,XStream官方发布安全更新,修复了一处远程代码执行漏洞(CVE-2021-29505)。该漏洞利用复杂度低,风险高,建议尽快修复。

漏洞描述

XStream是一个简单的库,用于将对象序列化为xml并再次返回。通过该漏洞,攻击者构造特定的xml,绕过XStream的黑名单,通过操纵处理后的输入流并替换对象,从而在服务器上执行本地命令。

影响版本

XStream <= 1.4.16

漏洞复现


fuxian_CVE-2021-29505.png

Vulfocus靶场环境 

目前 Vulfocus 已经集成 XStream 环境,可通过以下命令进行拉取运行:

docker pull vulfocus/xstream-cve_2021_29505:latest docker run -d -P vulfocus/xstream-cve_2021_29505

也可使用线上环境 http://vulfocus.fofa.so/ 进行测试。


修复方案

方式一:升级到最新安全版本1.4.17:https://x-stream.github.io/news.html

方式二:使用安全api设置反序列类的白名单:https://x-stream.github.io/security.html#example

参考

[1] https://x-stream.github.io/CVE-2021-29505.html

[2] https://mp.weixin.qq.com/s/ZluUn1IY3Gqg0wnypGo0Og


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论