JAVA安全网JAVA安全网

生命不息,折腾不止。
--JAVA人自留地。

XStream < 1.4.18 安全测试方法

Tips

为响应2021年9月1日施行的《中华人民共和国网络安全法》,即日起Java安全网将不再发布任何有关“漏洞”、“安全工具”的文章内容。Java安全网后续仅对官方发布后的漏洞代码原因进行分析、JAVA安全编码技术等方向趋势发展。

今日,XStream官方发布重要安全更新,修复了14个安全漏洞,其中5个严重漏洞,通过这些漏洞,攻击者构造特定的XML数据,可以绕过XStream的黑名单拦截,最终仅需依赖JDK库即可触发反序列化造成任意代码执行,获取服务器权限。

影响范围:
影响版本:version <= 1.4.17
安全版本:version = 1.4.18 (升级到1.4.18版本即可)

漏洞复现:
PastedGraphic-3.png

修复建议:
1、升级到XStream 1.4.18
2、暂时无法升级,可在代码中设置xstream.addPermission(NoTypePermission.NONE);

参考链接:

  • https://x-stream.github.io/security.html

未经允许不得转载:JAVA安全网 » XStream < 1.4.18 安全测试方法

评论 1

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. 17505806221 联系 感谢

    大笨蛋 (2022-08-15) 回复