安全公告/【CVE-2021-39139】

基本信息

漏洞名称:XStream < =1.4.17 反序列化远程代码执行漏洞(CVE-2021-39139等)
受影响操作系统:Asianux Server 4 (Hiranya SP4)
危险等级:高危
影响源码包:XStream
CVSS评分:8.8
发现日期:2024-03-29
修复日期:
修复版本:

漏洞描述

XStream是一个常用的Java对象和XML相互转换的工具。 XStream存在多个远程代码执行漏洞(CVE-2021-39139、CVE-2021-39140、CVE-2021-39141、CVE-2021-39144、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39150、CVE-2021-39151、CVE-2021-39152、CVE-2021-39153、CVE-2021-39154)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发恶意的反序列化,从而导致远程代码执行。

漏洞判定

版本比对检测原理:检查当前系统中XStream版本是否在受影响版本范围内|版本比对检测结果:- xstream
  当前安装版本:1.4.17
  应用相关信息:
  - 进程PID:7915
  - 应用路径:/app/fsvcweb/FSvcWeb/webapps/ROOT/WEB-INF/lib/xstream-1.4.17.jar
该主机存在此漏洞

修复方式

将 XStream 升级到 1.4.18 及以上版本,下载地址:http://x-stream.github.io/download.html

补丁

参考

CVE-2021-39139,CNVD-2021-67830,CWE-502,CWE-434,CNNVD-202108-1885,CVE-2021-39140,CNVD-2021-67829,CWE-835,CWE-502,CNNVD-202108-1900,CVE-2021-39141,CNVD-2021-67828,CWE-502,CWE-434,CNNVD-202108-1887,CVE-2021-39144,CNVD-2021-67827,CWE-502,CWE-94,CNNVD-202108-1890,CVE-2021-39145,CNVD-2021-67826,CWE-502,CWE-434,CNNVD-202108-1886,CVE-2021-39146,CNVD-2021-67825,CWE-502,CWE-434,CNNVD-202108-1895,CVE-2021-39147,CNVD-2021-67824,CWE-502,CWE-434,CNNVD-202108-1888,CVE-2021-39148,CNVD-2021-67823,CWE-502,CWE-434,CNNVD-202108-1894,CVE-2021-39149,CNVD-2021-67822,CWE-502,CWE-434,CNNVD-202108-1898,CVE-2021-39150,CNVD-2021-67821,CWE-502,CWE-918,CNNVD-202108-1901,CVE-2021-39151,CNVD-2021-67820,CWE-502,CWE-434,CNNVD-202108-1896,CVE-2021-39152,CNVD-2021-67819,CWE-502,CWE-918,CNNVD-202108-1902,CVE-2021-39153,CNVD-2021-67818,CWE-502,CWE-434,CNNVD-202108-1897,CVE-2021-39154,CNVD-2021-67817,CWE-502,CWE-434,CNNVD-202108-1899