【安全通告】XStream多个高危漏洞风险通告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,XStream官方发布新版本,修复多个高危漏洞,漏洞被利用可导致远程代码执行、SSRF、拒绝服务等安全问题。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。
此次更新修复了以下安全漏洞:
CVE-2021-39139:任意代码执行漏洞
CVE-2021-39140:拒绝服务漏洞
CVE-2021-39141:任意代码执行漏洞
CVE-2021-39144:远程命令执行漏洞
CVE-2021-39145:任意代码执行漏洞
CVE-2021-39146:任意代码执行漏洞
CVE-2021-39147:任意代码执行漏洞
CVE-2021-39148:任意代码执行漏洞
CVE-2021-39149:任意代码执行漏洞
CVE-2021-39150:SSRF跨站请求伪造漏洞
CVE-2021-39151:任意代码执行漏洞
CVE-2021-39152:SSRF跨站请求伪造漏洞
CVE-2021-39153:任意代码执行漏洞
CVE-2021-39154:任意代码执行漏洞
风险等级
高
漏洞风险
攻击者可利用该漏洞远程执行任意代码
影响版本
XStream < 1.4.18
安全版本
XStream 1.4.18
修复建议
XStream官方已发布安全版本,腾讯云安全建议您尽快升级相关组件,避免影响业务。
下载链接:http://x-stream.github.io/download.html
【备注】:建议您在升级前做好数据备份工作,避免出现意外
检测与防护
- 腾讯T-Sec主机安全(云镜)漏洞库日期2021-8-23之后的版本,已支持检测XStream 多个高危漏洞
漏洞参考