互联网爱好者创业的站长之家 – 南方站长网
您的位置:首页 >访谈 >

云安全日报210517:XStream Java序列化库发现远程代码执行漏洞,需要尽快升级

时间:2021-05-17 15:45:30 | 来源:TechWeb

原标题:云安全日报210517:XStream Java序列化库发现远程代码执行漏洞,需要尽快升级

XStream是一个常用的Java对象和XML相互转换的工具。5月15日 XStream官方发布安全更新,修复了多个XStream 反序列化漏洞。以下是漏洞详情:

漏洞详情

来源: https://x-stream.github.io/security.html?spm=a2c4g.11174386.n2.4.54c11051CEr2c6#workaround

CVE-2021-29505 严重程度: 高危

攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成反序列化代码执行漏洞.实际漏洞利用依赖于具体代码实现以及相关接口请求,无法批量远程利用。

受影响的产品和版本

XStream 1.4.17之前版本

解决方案

XStream官方已发布安全更新,升级XStream 1.4.17版本可修复

查看更多漏洞信息 以及升级请访问官网:

https://x-stream.github.io/security.html?spm=a2c4g.11174386.n2.4.54c11051CEr2c6#workaround

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。

猜你喜欢