【预警通报】关于Xstream存在多个高危漏洞的预警通报

近日，我中心技术支持单位监测到XStream官方发布漏洞公告，公开XStream远程代码执行漏洞、XStream拒绝服务漏洞在内的多个高危漏洞，攻击者利用上述漏洞可进行远程代码执行、拒绝服务、文件删除以及服务端请求伪造等攻击。现将部分高危漏洞通报如下：

一、漏洞情况

XStream是一个Java对象和XML相互转换的工具，提供所有的基础类型、数组、集合等类型直接转换的支持。

（一）XStream 远程代码执行高危漏洞（CVE-2021-21344 、CVE-2021-21346 、CVE-2021-21347 、CVE-2021-21350 、CVE-2021-21351）：本次共公开了5个XStream远程代码执行漏洞。XStream在解组时，处理的流包含类型信息，其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象，从而导致从远程服务器加载的任意代码的执行。

（二）XStream拒绝服务漏洞（CVE-2021-21341）：XStream 在解组时，处理的流包含类型信息，其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流，并替换或注入操纵后的ByteArrayInputStream（或派生类），这可能导致无限循环，从而导致拒绝服务。

（三）XStream服务端请求伪造漏洞（CVE-2021-21342、CVE-2021-21349）：XStream存在服务端请求伪造漏洞。XStream 在解组时，处理的流包含类型信息，其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象，从而导致服务器端进行伪造请求。

（四）XStream任意文件删除漏洞（CVE-2021-21343）：XStream在解组时，处理的流包含类型信息，其基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象，从而删除本地主机上的文件。

二、影响范围

使用了默认配置的以下版本的XStream受这些漏洞影响：

XStream version<=1.4.15。

三、处置建议

XStream1.4.16版本修复了以上漏洞，请广大用户及时更新修复漏洞做好安全加固工作。

附件：参考链接：

https://x-stream.github.io/download.html