记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

XStream反序列化命令执行漏洞CVE-2021-21344等

2021-03-16 01:23

0x00 漏洞概述

XStream是一个Java对象和XML相互转换的工具,在将JavaBean序列化、或将XML文件反序列化时,它不需要其它辅助类和映射文件,这使得XML序列化不再繁琐。

XStream的使用也比较广泛,像Jenkins使用的就是XStream,实战演练的时候该漏洞可以发挥很好的攻击效果,如何识别和判断应用系统是否使用和引入了XStream呢?跟jackson和fastjson等反序列化组件一样,看post提交的内容,是以XML形式提交的。

2021年03月15日,XStream官方发布安全公告,公开了XStream中的11个安全漏洞,攻击者可以利用这些漏洞造成拒绝服务、SSRF、删除任意文件、远程执行任意命令或代码。

0x01 漏洞详情

image.png

本次公开的11个漏洞如下:

CVE-ID类型详情
CVE-2021-21341拒绝服务XStream可能导致拒绝服务。
CVE-2021-21342SSRFXStream中存在SSRF漏洞,攻击者可以利用此漏洞访问来自内部网或本地主机中资源的任意URL的数据流。
CVE-2021-21343任意文件删除当取消序列化时,只要执行进程具有足够权限,XStream存在本地主机任意文件删除漏洞。
CVE-2021-21344任意代码执行XStream易受任意代码执行攻击。
CVE-2021-21345远程命令执行XStream易受远程命令执行攻击。
CVE-2021-21346任意代码执行XStream易受任意代码执行攻击。
CVE-2021-21347任意代码执行XStream易受任意代码执行攻击。
CVE-2021-21348ReDosXStream易受使用正则表达式的拒绝服务(ReDos)攻击。
CVE-2021-21349SSRFXStream中存在SSRF漏洞,攻击者可以利用此漏洞访问来自内部网或本地主机中资源的任意URL的数据流。
CVE-2021-21350任意代码执行XStream易受任意代码执行攻击。
CVE-2021-21351任意代码执行XStream易受任意代码执行攻击。

XStream任意代码执行漏洞(CVE-2021-21344)

在反序列化时处理的流包含类型信息以重新创建以前写入的对象,XStream基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换或注入对象,从而导致执行从远程服务器加载的任意代码。

影响范围

XStream <= 1.4.15

0x02 处置建议

目前这些漏洞已经修复,建议升级至1.4.16或更高版本。

下载链接:

https://x-stream.github.io/download.html

0x03 参考链接

https://x-stream.github.io/security.html#workaround

https://x-stream.github.io/CVE-2021-21348.html

https://nvd.nist.gov/vuln/detail/CVE-2021-21341


知识来源: https://www.afeng.org/1357.html

阅读:362265 | 评论:0 | 标签:WEB安全 CVE-2021-21344 CVE-2021-21345 CVE-2021-21346 CVE-2021-

想收藏或者和大家分享这篇好文章→复制链接地址

“XStream反序列化命令执行漏洞CVE-2021-21344等”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁