【安全通报】XStream 多个远程代码执行漏洞(CVE-2021-39139等)

fmbd  30天前

product20210823.png

近日,XStream发布安全更新,修复了XStream 多个反序列化漏洞。攻击者通过构造恶意的xml文档,绕过XStream的黑名单拦截,可触发反序列化造成任意代码执行。目前PoC已公开。

漏洞描述

XStream是一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成xml(JSON)或反序列化为对象。

CVE-2021-39139  任意代码执行漏洞
CVE-2021-39140 拒绝服务漏洞
CVE-2021-39141 任意代码执行漏洞
CVE-2021-39144 任意代码执行漏洞
CVE-2021-39145 任意代码执行漏洞
CVE-2021-39146 任意代码执行漏洞
CVE-2021-39147 任意代码执行漏洞
CVE-2021-39148 任意代码执行漏洞
CVE-2021-39149 任意代码执行漏洞
CVE-2021-39150 服务端请求伪造漏洞
CVE-2021-39151 任意代码执行漏洞
CVE-2021-39152 服务端请求伪造漏洞
CVE-2021-39153 任意代码执行漏洞
CVE-2021-39154 任意代码执行漏洞

漏洞复现

20210823144427.png

CVE 编号

CVE-2021-39139
CVE-2021-39140
CVE-2021-39141
CVE-2021-39144
CVE-2021-39145
CVE-2021-39146
CVE-2021-39147
CVE-2021-39148
CVE-2021-39149
CVE-2021-39150
CVE-2021-39151
CVE-2021-39152
CVE-2021-39153
CVE-2021-39154

影响范围

XStream < 1.4.18

安全版本:1.4.18

Vulfocus 靶场环境

目前 Vulfocus 已经集成 XStream 环境,可通过

docker pull vulfocus/xstream-cve_2021_29505:latest
docker run -d -P vulfocus/xstream-cve_2021_29505

进行拉取运行,也可通过 http://vulfocus.fofa.so/ 进行测试。

20210823144858.png

修复建议

及时升级至最新安全版本:http://x-stream.github.io/news.html

临时解决方案可参考:https://x-stream.github.io/security.html#example

参考

[1] https://x-stream.github.io/security.html

[2] https://mp.weixin.qq.com/s/eidFQQXs70-kSM4OMSakhA


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论