【安全通告】XStream远程代码执行漏洞风险通告(CVE-2021-29505)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,XStream官方发布关于远程代码执行漏洞的风险通告,漏洞编号:CVE-2021-29505,如果代码中使用了XStream,攻击者可通过构造特定的序列化数据造成远程代码执行等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。
据官方描述,攻击者可以操纵反序列化后的输入流替换或注入对象,从而导致服务器上执行本地命令。
风险等级
高
漏洞风险
攻击者可利用该漏洞远程执行任意代码。
影响版本
XStream < 1.4.17
安全版本
XStream >= 1.4.17
修复建议
XStream官方已发布安全版本,腾讯云安全建议您尽快升级相关组件,避免影响业务。
下载链接:http://x-stream.github.io/download.html
并建议使用白名单配置XStream安全框架允许的类型
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考