【安全通告】XStream多个高危漏洞风险通告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,XStream官方发布新版本,修复多个高危漏洞,漏洞被利用可导致远程代码执行、SSRF、拒绝服务等安全问题。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。
此次更新修复了以下安全漏洞:
CVE-2021-21341:
XStream拒绝服务漏洞。
CVE-2021-21342:
XStream服务器端伪造请求漏洞,可通过该漏洞访问内部网或本地主机中的资源。
CVE-2021-21343:
XStream任意文件删除漏洞。
CVE-2021-21344:
XStream任意代码执行漏洞。
CVE-2021-21345:
XStream“远程代码执行”漏洞。
CVE-2021-21346:
XStream任意代码执行漏洞。
CVE-2021-21347:
XStream任意代码执行漏洞。
CVE-2021-21348:
XStream正则表达式的拒绝服务(ReDos)漏洞。
CVE-2021-21349:
XStream服务器端伪造请求漏洞,可通过该漏洞访问内部网或本地主机中的资源。
CVE-2021-21350:
XStream任意代码执行漏洞。
CVE-2021-21351:
XStream任意代码执行漏洞。
XStream拒绝服务漏洞。
CVE-2021-21342:
XStream服务器端伪造请求漏洞,可通过该漏洞访问内部网或本地主机中的资源。
CVE-2021-21343:
XStream任意文件删除漏洞。
CVE-2021-21344:
XStream任意代码执行漏洞。
CVE-2021-21345:
XStream“远程代码执行”漏洞。
CVE-2021-21346:
XStream任意代码执行漏洞。
CVE-2021-21347:
XStream任意代码执行漏洞。
CVE-2021-21348:
XStream正则表达式的拒绝服务(ReDos)漏洞。
CVE-2021-21349:
XStream服务器端伪造请求漏洞,可通过该漏洞访问内部网或本地主机中的资源。
CVE-2021-21350:
XStream任意代码执行漏洞。
CVE-2021-21351:
XStream任意代码执行漏洞。
风险等级
高
漏洞风险
攻击者可利用该漏洞执行远程代码。
影响版本
XStream < 1.4.16
安全版本
XStream 1.4.16
修复建议
XStream官方已发布安全版本,腾讯云安全建议您尽快升级相关组件,避免影响业务。
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
