IT资讯 CVE-2021-29505:XStream 远程代码执行漏洞通告

elijah · 2021-05-21 11:30:06 · 热度: 35

报告编号:B6-2021-051703

报告来源:360CERT

报告作者:360CERT

更新日期:2021-05-17

1 漏洞简述

2021年05月17日,360CERT监测发现XStream官网发布了XStream安全更新,漏洞编号为CVE-2021-29505,漏洞等级:严重,漏洞评分:9.8

XStream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。

对此,360CERT建议广大用户及时将XStream升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

2 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 9.8

3 漏洞详情

CVE-2021-29505: 代码执行漏洞

CVE: CVE-2021-29505

  • 组件: XStream
  • 漏洞类型: 代码执行
  • 影响: 服务器接管
  • 简述: 攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

4 影响版本

XStream: <=1.4.16

5 修复建议

通用修补建议

建议直接更新到最新版本

XStream官方下载地址https://x-stream.github.io/download.html

猜你喜欢:
暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册