尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，XStream官方发布新版本，修复多个高危漏洞，漏洞被利用可导致远程代码执行、SSRF、拒绝服务等安全问题。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

XStream是一个开源的Java类库，它能够将对象序列化成XML或将XML反序列化为对象。

此次更新修复了以下安全漏洞：

CVE-2021-39139:任意代码执行漏洞
CVE-2021-39140:拒绝服务漏洞
CVE-2021-39141:任意代码执行漏洞
CVE-2021-39144:远程命令执行漏洞
CVE-2021-39145:任意代码执行漏洞
CVE-2021-39146:任意代码执行漏洞
CVE-2021-39147:任意代码执行漏洞
CVE-2021-39148:任意代码执行漏洞
CVE-2021-39149:任意代码执行漏洞
CVE-2021-39150:SSRF跨站请求伪造漏洞
CVE-2021-39151:任意代码执行漏洞
CVE-2021-39152:SSRF跨站请求伪造漏洞
CVE-2021-39153:任意代码执行漏洞
CVE-2021-39154:任意代码执行漏洞 

风险等级

高

漏洞风险

攻击者可利用该漏洞远程执行任意代码

影响版本

XStream < 1.4.18

安全版本

XStream 1.4.18

修复建议

XStream官方已发布安全版本，腾讯云安全建议您尽快升级相关组件，避免影响业务。

下载链接：http://x-stream.github.io/download.html

【备注】：建议您在升级前做好数据备份工作，避免出现意外

检测与防护

- 腾讯T-Sec主机安全（云镜）漏洞库日期2021-8-23之后的版本，已支持检测XStream 多个高危漏洞

漏洞参考

http://x-stream.github.io/changes.html