【安全风险通告】XStream远程代码执行漏洞安全风险通告

  • A+
所属分类:安全新闻
【安全风险通告】XStream远程代码执行漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到 XStream官方发布安全更新,修复了XStream远程代码执行漏洞(CVE-2021-29505)。当用户默认未设置白名单安全框架时,未授权的远程攻击者利用漏洞可执行任意命令,官方提供的POC不可用。经过奇安信CERT研判,此漏洞危害较大,鉴于该漏洞影响较大,建议客户尽快更新补丁。




当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

未知

未知

未知




漏洞描述

近日,奇安信CERT监测到 XStream官方发布安全更新,修复了XStream远程代码执行漏洞(CVE-2021-29505)。当用户默认未设置白名单安全框架时,未授权的远程攻击者利用漏洞可执行任意命令。经过奇安信CERT研判,此漏洞危害较大,鉴于该漏洞影响较大,建议客户尽快更新补丁。



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



影响范围

XStream <= 1.4.16



处置建议

使用 XStream.setupDefaultSecurity() 配置安全框架的用户不受影响。


升级至 1.4.17 或以上版本:http://x-stream.github.io/download.html



参考资料

[1] https://x-stream.github.io/CVE-2021-29505.html



时间线

2021年5月17日,奇安信 CERT发布安全风险通告





【安全风险通告】XStream远程代码执行漏洞安全风险通告

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


本文始发于微信公众号(奇安信 CERT):【安全风险通告】XStream远程代码执行漏洞安全风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: