安全公告/【CVE-2022-41966】

基本信息

漏洞描述

XStream是一个常用的Java对象和XML相互转换的工具。 XStream 存在安全漏洞，攻击者通过操纵处理过的输入流来替换或注入对象，能够导致堆栈溢出计算递归哈希集，进而造成拒绝服务攻击。

修复方式

将 XStream 升级到 1.4.20 及以上版本，下载地址：http://x-stream.github.io/download.html

漏洞判定

版本比对检测原理：检查当前系统中XStream版本是否在受影响版本内|版本比对检测结果：- xstream
  当前安装版本：1.3.1
  应用相关信息：
  - 进程PID：29229
  - 应用路径：/root/htxt/apache-tomcat-6.0.35/webapps/CMSHN/WEB-INF/lib/xstream-1.3.1.jar
- xstream
  当前安装版本：1.3.1
  应用相关信息：
  - 进程PID：29229
  - 应用路径：/root/htxt/apache-tomcat-6.0.35/webapps/CMSHN20140225/WEB-INF/lib/xstream-1.3.1.jar
该主机存在此漏洞

参考

CVE-2022-41966，，CWE-502，CWE-120，CWE-121，CNNVD-202212-4034