新闻公告

【漏洞预警】XStream < 1.4.17 反序列化远程代码执行漏洞(CVE-2021-29505)

2021-05-17
浏览次数:
返回列表

漏洞描述

XStream是一个常用的Java对象和XML相互转换的工具。2021年5月15日 XStream官方发布安全更新,修复了多个XStream 反序列化漏洞。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成 CVE-2021-29505 反序列化代码执行漏洞等。实际漏洞利用依赖于具体代码实现以及相关接口请求,无法批量远程利用。


漏洞细节:公开

漏洞POC:已知

漏洞EXP:已知

在野利用:未知



漏洞评级

CVE-2021-29505 远程代码执行漏洞 高危


影响版本

XStream < 1.4.17


安全版本

XStream 1.4.17


安全建议

针对使用到XStream组件的web服务升级至最新版本:http://x-stream.github.io/changes.html



上一篇:关于建立学校OA办公系统的通知
下一篇:【漏洞预警】VMware vCenter Server 远程代码执行漏洞(CVE-2021-21985)

搜索