尊敬的用戶，您好！

近日，互聯(lián)網(wǎng)安全運營中心監(jiān)測到，XStream官方發(fā)布新版本，修復多個高危漏洞，漏洞被利用可導致遠程代碼執(zhí)行、SSRF、拒絕服務等安全問題。

為避免您的業(yè)務受影響，棉花云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復，避免被外部攻擊者入侵。

漏洞詳情

XStream是一個開源的Java類庫，它能夠?qū)ο笮蛄谢蒟ML或?qū)ML反序列化為對象。

此次更新修復了以下安全漏洞：

CVE-2021-21341：

XStream拒絕服務漏洞。

CVE-2021-21342：

XStream服務器端偽造請求漏洞，可通過該漏洞訪問內(nèi)部網(wǎng)或本地主機中的資源。

CVE-2021-21343：

XStream任意文件刪除漏洞。

CVE-2021-21344：

XStream任意代碼執(zhí)行漏洞。

CVE-2021-21345：

XStream“遠程代碼執(zhí)行”漏洞。

CVE-2021-21346：

XStream任意代碼執(zhí)行漏洞。

CVE-2021-21347：

XStream任意代碼執(zhí)行漏洞。

CVE-2021-21348：

XStream正則表達式的拒絕服務（ReDos）漏洞。

CVE-2021-21349：

XStream服務器端偽造請求漏洞，可通過該漏洞訪問內(nèi)部網(wǎng)或本地主機中的資源。

CVE-2021-21350：

XStream任意代碼執(zhí)行漏洞。

CVE-2021-21351：

XStream任意代碼執(zhí)行漏洞。 

風險等級

高

漏洞風險

攻擊者可利用該漏洞執(zhí)行遠程代碼。

影響版本

XStream < 1.4.16

安全版本

XStream 1.4.16

修復建議

XStream官方已發(fā)布安全版本，棉花云安全建議您盡快升級相關組件，避免影響業(yè)務。

下載鏈接：http://x-stream.github.io/download.html 

【備注】：建議您在升級前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

漏洞參考

http://x-stream.github.io/changes.html 

棉花云運營部