安全公告/【CVE-2022-41966】
基本信息
漏洞名称:XStream 拒绝服务漏洞(CVE-2022-41966)
受影响操作系统:Asianux Server 4 (Hiranya SP4)
危险等级:高危
影响源码包:XStream
CVSS评分:8.2
发现日期:2024-03-29
漏洞描述
XStream是一个常用的Java对象和XML相互转换的工具。 XStream 存在安全漏洞,攻击者通过操纵处理过的输入流来替换或注入对象,能够导致堆栈溢出计算递归哈希集,进而造成拒绝服务攻击。
修复方式
将 XStream 升级到 1.4.20 及以上版本,下载地址:http://x-stream.github.io/download.html
漏洞判定
版本比对检测原理:检查当前系统中XStream版本是否在受影响版本内|版本比对检测结果:- xstream 当前安装版本:1.4.17 应用相关信息: - 进程PID:7915 - 应用路径:/app/fsvcweb/FSvcWeb/webapps/ROOT/WEB-INF/lib/xstream-1.4.17.jar 该主机存在此漏洞
参考
CVE-2022-41966,,CWE-502,CWE-120,CWE-121,CNNVD-202212-4034