报告编号:B6-2021-051703
报告来源:360CERT
报告作者:360CERT
更新日期:2021-05-17
1 漏洞简述
2021年05月17日,360CERT监测发现XStream官网发布了XStream安全更新,漏洞编号为CVE-2021-29505,漏洞等级:严重,漏洞评分:9.8。
XStream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。
对此,360CERT建议广大用户及时将XStream升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
2 风险等级
360CERT对该漏洞的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 360CERT评分 | 9.8 |
3 漏洞详情
CVE-2021-29505: 代码执行漏洞
CVE: CVE-2021-29505
- 组件: XStream
- 漏洞类型: 代码执行
- 影响: 服务器接管
- 简述: 攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。
4 影响版本
- XStream: <=1.4.16
5 修复建议
通用修补建议
建议直接更新到最新版本
XStream官方下载地址https://x-stream.github.io/download.html
猜你喜欢:暂无回复。
