XStream 多个高危漏洞风险通告,腾讯主机安全支持检测

  • A+
所属分类:安全漏洞

XStream 多个高危漏洞风险通告,腾讯主机安全支持检测

20210823日,XStream 官方发布了XStream的风险通告,攻击者利用漏洞可以实现远程代码执行、拒绝服务,最终可以接管目标服务器。腾讯安全专家建议所有受影响的用户尽快升级到安全版本。


1

漏洞描述


2021年08月23日,XStream官方发布了XStream的风险通告,漏洞编号包括:CVE-2021-39139、CVE-2021-39140、CVE-2021-39141、CVE-2021-39144、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39150、CVE-2021-39151、CVE-2021-39152、CVE-2021-39153、CVE-2021-39154。

 

攻击者利用漏洞可以实现远程代码执行、拒绝服务,最终可以接管目标服务器。腾讯安全专家建议所有受影响的用户尽快升级到安全版本。

 

XStream是一个常用的Java对象和XML相互转换的工具。XStream在很多中间件中以第三方依赖的形式引入,使用十分广泛。


2

漏洞等级


严重,CVSS评分:9.8


漏洞状态:

细节是否公开

POC状态

EXP状态

在野利用

已公开

已公开

未知

未知


3

漏洞详情

CVE-2021-39139:XStream 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。

 

CVE-2021-39140: XStream 拒绝服务漏洞

该漏洞可能允许远程攻击者根据 CPU 类型或此类负载的并行执行在目标系统上分配 100% 的 CPU 时间,从而仅通过操纵处理过的输入流导致拒绝服务。

 

CVE-2021-39141: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

 

CVE-2021-39144: XStream 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。

 

CVE-2021-39145: XStream 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。

 

CVE-2021-39146: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

 

CVE-2021-39147: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

 

CVE-2021-39148: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

 

CVE-2021-39149: XStream 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。

 

CVE-2021-39150: XStream 服务器端请求伪造漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而导致服务端请求伪造。

 

CVE-2021-39151: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

 

CVE-2021-39152: XStream 服务器端请求伪造漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而导致服务端请求伪造。

 

CVE-2021-39153: XStream 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。

 

CVE-2021-39154: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。


4

受影响的版本


Xstream <1.4.18


5

安全版本


Xstream >= 1.4.18,腾讯安全专家建议受影响的用户尽快升级到安全版本。


6

漏洞复现验证


腾讯安全专家对公告发布的CVE-2021-39144漏洞进行了复现验证。

XStream 多个高危漏洞风险通告,腾讯主机安全支持检测


7

腾讯安全解决方案


腾讯T-Sec主机安全(云镜)漏洞库日期2021-8-16之后的版本,已支持检测Exchange远程代码执行等高危漏洞。


8

时间线

2021.8.22,XStream官方发布安全通告

2021.8.23,腾讯安全发布风险通告


参考链接:
https://x-stream.github.io/security.html


XStream 多个高危漏洞风险通告,腾讯主机安全支持检测


关于腾讯安全威胁情报中心


腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

XStream 多个高危漏洞风险通告,腾讯主机安全支持检测

长按二维码关注

腾讯安全威胁情报中心

XStream 多个高危漏洞风险通告,腾讯主机安全支持检测

本文始发于微信公众号(腾讯安全威胁情报中心):XStream 多个高危漏洞风险通告,腾讯主机安全支持检测

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: