安全公告/【CVE-2021-39139】

基本信息

漏洞描述

XStream是一个常用的Java对象和XML相互转换的工具。 XStream存在多个远程代码执行漏洞(CVE-2021-39139、CVE-2021-39140、CVE-2021-39141、CVE-2021-39144、CVE-2021-39145、CVE-2021-39146、CVE-2021-39147、CVE-2021-39148、CVE-2021-39149、CVE-2021-39150、CVE-2021-39151、CVE-2021-39152、CVE-2021-39153、CVE-2021-39154)。攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发恶意的反序列化，从而导致远程代码执行。

修复方式

将 XStream 升级到 1.4.18 及以上版本，下载地址：http://x-stream.github.io/download.html

漏洞判定

版本比对检测原理：检查当前系统中XStream版本是否在受影响版本范围内|版本比对检测结果：- xstream
  当前安装版本：1.3.1
  应用相关信息：
  - 进程PID：29229
  - 应用路径：/root/htxt/apache-tomcat-6.0.35/webapps/CMSHN/WEB-INF/lib/xstream-1.3.1.jar
- xstream
  当前安装版本：1.3.1
  应用相关信息：
  - 进程PID：29229
  - 应用路径：/root/htxt/apache-tomcat-6.0.35/webapps/CMSHN20140225/WEB-INF/lib/xstream-1.3.1.jar
该主机存在此漏洞

参考

CVE-2021-39139，CNVD-2021-67830，CWE-502，CWE-434，CNNVD-202108-1885，CVE-2021-39140，CNVD-2021-67829，CWE-835，CWE-502，CNNVD-202108-1900，CVE-2021-39141，CNVD-2021-67828，CWE-502，CWE-434，CNNVD-202108-1887，CVE-2021-39144，CNVD-2021-67827，CWE-502，CWE-94，CNNVD-202108-1890，CVE-2021-39145，CNVD-2021-67826，CWE-502，CWE-434，CNNVD-202108-1886，CVE-2021-39146，CNVD-2021-67825，CWE-502，CWE-434，CNNVD-202108-1895，CVE-2021-39147，CNVD-2021-67824，CWE-502，CWE-434，CNNVD-202108-1888，CVE-2021-39148，CNVD-2021-67823，CWE-502，CWE-434，CNNVD-202108-1894，CVE-2021-39149，CNVD-2021-67822，CWE-502，CWE-434，CNNVD-202108-1898，CVE-2021-39150，CNVD-2021-67821，CWE-502，CWE-918，CNNVD-202108-1901，CVE-2021-39151，CNVD-2021-67820，CWE-502，CWE-434，CNNVD-202108-1896，CVE-2021-39152，CNVD-2021-67819，CWE-502，CWE-918，CNNVD-202108-1902，CVE-2021-39153，CNVD-2021-67818，CWE-502，CWE-434，CNNVD-202108-1897，CVE-2021-39154，CNVD-2021-67817，CWE-502，CWE-434，CNNVD-202108-1899