安全公告/【CVE-2021-29505】
基本信息
漏洞名称:XStream 远程代码执行漏洞(CVE-2021-29505)
受影响操作系统:Asianux Server 3 (Quartet SP4)
危险等级:高危
影响源码包:XStream
CVSS评分:8.8
发现日期:2024-03-29
漏洞描述
XStream是一个常用的Java对象和XML相互转换的工具。 XStream存在远程代码执行漏洞。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发恶意的反序列化,从而导致远程代码执行。
修复方式
将 XStream 升级到 1.4.17 及以上版本,下载地址:http://x-stream.github.io/download.html
漏洞判定
版本比对检测原理:检查当前系统中XStream版本是否在受影响版本范围内|版本比对检测结果:- xstream 当前安装版本:1.3.1 应用相关信息: - 进程PID:29229 - 应用路径:/root/htxt/apache-tomcat-6.0.35/webapps/CMSHN/WEB-INF/lib/xstream-1.3.1.jar - xstream 当前安装版本:1.3.1 应用相关信息: - 进程PID:29229 - 应用路径:/root/htxt/apache-tomcat-6.0.35/webapps/CMSHN20140225/WEB-INF/lib/xstream-1.3.1.jar 该主机存在此漏洞
参考
CVE-2021-29505,CNVD-2021-49071,CWE-94,CWE-502,CNNVD-202105-1981