安全公告/【CVE-2022-41966】
基本信息
漏洞名称:XStream 拒绝服务漏洞(CVE-2022-41966)
受影响操作系统:Asianux Server 3 (Quartet SP4)
危险等级:高危
影响源码包:XStream
CVSS评分:8.2
发现日期:2024-03-29
漏洞描述
XStream是一个常用的Java对象和XML相互转换的工具。 XStream 存在安全漏洞,攻击者通过操纵处理过的输入流来替换或注入对象,能够导致堆栈溢出计算递归哈希集,进而造成拒绝服务攻击。
修复方式
将 XStream 升级到 1.4.20 及以上版本,下载地址:http://x-stream.github.io/download.html
漏洞判定
版本比对检测原理:检查当前系统中XStream版本是否在受影响版本内|版本比对检测结果:- xstream 当前安装版本:1.3.1 应用相关信息: - 进程PID:29229 - 应用路径:/root/htxt/apache-tomcat-6.0.35/webapps/CMSHN/WEB-INF/lib/xstream-1.3.1.jar - xstream 当前安装版本:1.3.1 应用相关信息: - 进程PID:29229 - 应用路径:/root/htxt/apache-tomcat-6.0.35/webapps/CMSHN20140225/WEB-INF/lib/xstream-1.3.1.jar 该主机存在此漏洞
参考
CVE-2022-41966,,CWE-502,CWE-120,CWE-121,CNNVD-202212-4034