XStream 多个高危漏洞风险通告，腾讯主机安全支持检测

2021年08月23日，XStream 官方发布了XStream的风险通告，攻击者利用漏洞可以实现远程代码执行、拒绝服务，最终可以接管目标服务器。腾讯安全专家建议所有受影响的用户尽快升级到安全版本。

2021年08月23日，XStream官方发布了XStream的风险通告，漏洞编号包括：CVE-2021-39139、CVE-2021-39140、CVE-2021-39141、CVE-2021-39144、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39150、CVE-2021-39151、CVE-2021-39152、CVE-2021-39153、CVE-2021-39154。

攻击者利用漏洞可以实现远程代码执行、拒绝服务，最终可以接管目标服务器。腾讯安全专家建议所有受影响的用户尽快升级到安全版本。

XStream是一个常用的Java对象和XML相互转换的工具。XStream在很多中间件中以第三方依赖的形式引入，使用十分广泛。

严重，CVSS评分：9.8

漏洞状态：

CVE-2021-39139：XStream 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象，从而在服务器上本地执行命令。

CVE-2021-39140: XStream 拒绝服务漏洞

该漏洞可能允许远程攻击者根据 CPU 类型或此类负载的并行执行在目标系统上分配 100% 的 CPU 时间，从而仅通过操纵处理过的输入流导致拒绝服务。

CVE-2021-39141: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

CVE-2021-39144: XStream 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象，从而在服务器上本地执行命令。

CVE-2021-39145: XStream 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象，从而在服务器上本地执行命令。

CVE-2021-39146: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

CVE-2021-39147: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

CVE-2021-39148: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

CVE-2021-39149: XStream 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象，从而在服务器上本地执行命令。

CVE-2021-39150: XStream 服务器端请求伪造漏洞

攻击者可以操纵已处理的输入流并替换或注入对象，从而导致服务端请求伪造。

CVE-2021-39151: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

CVE-2021-39152: XStream 服务器端请求伪造漏洞

攻击者可以操纵已处理的输入流并替换或注入对象，从而导致服务端请求伪造。

CVE-2021-39153: XStream 代码执行漏洞

攻击者可以操作已处理的输入流并替换或注入对象，从而在服务器上本地执行命令。

CVE-2021-39154: XStream 代码执行漏洞

攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

Xstream <1.4.18

Xstream >= 1.4.18，腾讯安全专家建议受影响的用户尽快升级到安全版本。

腾讯安全专家对公告发布的CVE-2021-39144漏洞进行了复现验证。

腾讯T-Sec主机安全（云镜）漏洞库日期2021-8-16之后的版本，已支持检测Exchange远程代码执行等高危漏洞。

2021.8.22，XStream官方发布安全通告

2021.8.23，腾讯安全发布风险通告

参考链接：
https://x-stream.github.io/security.html

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心

本文始发于微信公众号（腾讯安全威胁情报中心）：XStream 多个高危漏洞风险通告，腾讯主机安全支持检测