正文

【风险通告】XStream 远程代码执行漏洞

admin
admin V管理员 /0 评论 /34 阅读
1217
此篇文章发布距今已超过25天,您需要注意文章的内容或图片是否可用!

2021年5月18日,雁行安全团队监测XStream 官方发布了 XStream 远程代码执行漏洞(CVE-2021-29505) 的风险通告,漏洞概况如下:

CVE编号CVE-2021-29505
风险等级高危
漏洞类型
远程代码执行
CVSS评分9.8

漏洞详情

XStream是XStream团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 存在 远程代码执行漏洞,攻击者可通过发送精心构造的恶意请求操纵处理后的输入流并替换或注入对象,从而造成远程代码执行, 获取服务器权限。雁行安全团队提醒 XStream 用户尽快采取安全措施阻止漏洞攻击

漏洞影响范围

xstream <=1.4.16

修复建议

及时更新到安全版本:

https://x-stream.github.io/download.html

参考链接

https://x-stream.github.io/CVE-2021-29505.html

应急支持

如需应急支持,请联系雁行安全团队

应急响应联系电话:400-029-4789 【转2】

雁行安全团队

专注于为客户提供网络信息化安全服务

西安四叶草安全雁行安全团队,以攻防技术作为核心竞争力,集红队攻防、漏洞挖掘、安全服务为一体,拥有10余年安全服务经验,4100+安全服务项目经验,服务项目涵盖了政府、金融、运营商、卫计、交通、企业、互联网等多个行业,通过将来自一线的经验变成用户所需要的安全服务,从而保障客户相关重要系统和资源的安全,有效地减少用户单位由于安全问题引起的不可估量的损失。

雁行安全团队

让安全风险可控,防御更简单

四叶草安全

雁行安全团队


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com