安全通告—亚信安全—护航产业互联安全数字世界

漏洞描述

8月23日，亚信安全CERT监控到XStream官方发布安全更新，修复了CVE-2021-39139在内的多个漏洞（PoC已公开）。XStream是一个常用的能将Java对象转化成XML格式数据并能从XML反序列化的工具，攻击者可以利用相关漏洞，并让目标解析其构造的恶意的XML时，可执行任意代码。并且此次修复的部分漏洞仅需依赖JDK库即可触发反序列化造成任意代码执行。

鉴于该组件使用量较多，漏洞危害较大，建议客户及时进行自查和更新。

漏洞编号

CVE-2021-39139，任意代码执行漏洞，高危

CVE-2021-39140，拒绝服务漏洞，高危

CVE-2021-39141，任意代码执行漏洞，高危

CVE-2021-39144，远程命令执行漏洞，高危

CVE-2021-39145，任意代码执行漏洞，高危

CVE-2021-39146，任意代码执行漏洞，高危

CVE-2021-39147，任意代码执行漏洞，高危

CVE-2021-39148，任意代码执行漏洞，高危

CVE-2021-39149，任意代码执行漏洞，高危

CVE-2021-39150，SSRF漏洞，中危

CVE-2021-39151，任意代码执行漏洞，高危

CVE-2021-39152，SSRF漏洞，中危

CVE-2021-39153，任意代码执行漏洞，高危

CVE-2021-39154，任意代码执行漏洞，高危

受影响的版本

XStream <= 1.4.17

修复建议

1.版本确认：

排查项目jar文件或者依赖配置文件中XStream的版本，如果低于低于1.4.17（包括 1.4.17），则受漏洞影响，需要更新到1.4.18版本。

2.目前官方已经发布安全版本修复相关漏洞，请及时更新到安全版本XStream 1.4.18：

3.XStream以往版本默认使用黑名单进行安全防护，而黑名单极易被绕过。在此次更新中，XStream将默认使用白名单的方式进行过滤，强烈建议客户升级默认使用白名单对应的1.4.18版本。

参考链接

https://x-stream.github.io/security.html

http://x-stream.github.io/changes.html

产品全景图 >

安全服务 >

安全运营 >

首页

产品与服务

云安全

终端安全

高级威胁治理

网络与通信安全

安全管理

身份安全

数据安全

态势感知

工业安全

信息技术应用创新

SaaS服务

解决方案与案例

客户支持

合作共赢

安全通告

C3安全大会

投资者关系

关于我们

安全通告