漏洞风险提示 | XStream 多个远程代码执行漏洞

XStream是Java类库，用来将对象序列化成XML （JSON）或反序列化为对象,大量运用于各种项目中。

2021年8月23日，XStream官方发布14个XStream重要安全更新，并且公开相关漏洞信息，其中11个高危，攻击者均可以实现任意代码执行或者命令执行，长亭安全研究人员经过研判确认此漏洞危害高，且利用复杂度低。

CVE-2021-39139: 攻击者可以绕过XStream老版本的黑名单进行XML反序列化操作，可以利用原生链JDK7u21执行任意代码。

CVE-2021-39144,CVE-2021-39149,CVE-2021-39153: 攻击者通过构造恶意XML，可在目标服务端执行任意恶意代码，且无需目标服务器出网。

CVE-2021-39141,CVE-2021-39145,CVE-2021-39146,CVE-2021-39147,CVE-2021-39148,CVE-2021-39151,CVE-2021-39154: 攻击者通过构造恶意XML，配合使用LDAP或RMI反序列化，可在目标出网的情况下，在目标服务端执行任意恶意代码。

以上漏洞均为命令执行或者远程代码执行漏洞，漏洞危害高，利用复杂度低，请及时进行修复。

CVE-2021-39140: 攻击者构造恶意XML，实现DOS攻击。

CVE-2021-39150,CVE-2021-39152: 攻击者构造恶意XML,从而导致服务端请求伪造。

XStream Version <= 1.4.17

厂商已提供漏洞修补方案，请及时自查项目jar包或者依赖配置文件中的XStream版本，并且将XStream版本更换为最新1.4.18版本。

雷池可提供虚拟补丁防护此漏洞，详情可咨询长亭科技技术支持人员获取雷池虚拟补丁。