XStream多个安全漏洞

发布时间 2021-03-15

0x00 漏洞概述

XStream是一个Java对象和XML相互转换的工具,在将JavaBean序列化、或将XML文件反序列化时,它不需要其它辅助类和映射文件,这使得XML序列化不再繁琐。

2021年03月15日,XStream官方发布安全公告,公开了XStream中的11个安全漏洞,攻击者可以利用这些漏洞造成拒绝服务、SSRF、删除任意文件、远程实行任意命令或代码。

 

0x01 漏洞详情

image.png

 

本次公开的11个漏洞如下:

CVE-ID

类型

详情

CVE-2021-21341

拒绝服务

XStream可能导致拒绝服务。

CVE-2021-21342

SSRF

XStream中存在SSRF漏洞,攻击者可以利用此漏洞访问来自内部网或本地主机中资源的任意URL的数据流。

CVE-2021-21343

任意文件删除

当取消序列化时,只要实行进程具有足够权限,XStream存在本地主机任意文件删除漏洞。

CVE-2021-21344

任意代码实行

XStream易受任意代码实行攻击。

CVE-2021-21345

远程命令实行

XStream易受远程命令实行攻击。

CVE-2021-21346

任意代码实行

XStream易受任意代码实行攻击。

CVE-2021-21347

任意代码实行

XStream易受任意代码实行攻击。

CVE-2021-21348

ReDos

XStream易受使用替换后的拒绝服务(ReDos)攻击。

CVE-2021-21349

SSRF

XStream中存在SSRF漏洞,攻击者可以利用此漏洞访问来自内部网或本地主机中资源的任意URL的数据流。

CVE-2021-21350

任意代码实行

XStream易受任意代码实行攻击。

CVE-2021-21351

任意代码实行

XStream易受任意代码实行攻击。

 

XStream任意代码实行漏洞(CVE-2021-21344)

在反序列化时处理的流包含类型信息以重新创建以前写入的对象,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致实行从远程服务器加载的任意代码。

 

影响范围

XStream <= 1.4.15

 

0x02 处置建议

目前这些漏洞已经修复,建议升级至1.4.16或更高版本。

下载链接:

https://x-stream.github.io/download.html

 

0x03 参考链接

https://x-stream.github.io/security.html#workaround

https://x-stream.github.io/CVE-2021-21348.html

https://nvd.nist.gov/vuln/detail/CVE-2021-21341

 

0x04 时间线

2021-03-15  XStream发布安全公告

2021-03-15  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png