XStream 多个高危漏洞通告

报告编号：B6-2021-082301

报告来源：360CERT

报告作者：360CERT

更新日期：2021-08-23

1 风险简述

2021年08月23日，360CERT监测发现XStream 官方发布了XStream的风险通告，漏洞编号为CVE-2021-39139,CVE-2021-39140,CVE-2021-39141,CVE-2021-39144,CVE-2021-39145,CVE-2021-39146,CVE-2021-39147,CVE-2021-39148,CVE-2021-39149,CVE-2021-39150,CVE-2021-39151,CVE-2021-39152,CVE-2021-39153,CVE-2021-39154，漏洞等级：严重，漏洞评分：9.8。目前该漏洞安全补丁已更新，漏洞细节已公开，POC（概念验证代码）已公开，在野利用未发现。

对此，360CERT建议广大用户及时将XStream升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

2 相关组件

XStream是Java类库，用来将对象序列化成XML/JSON或反序列化为对象，不需要其它辅助类和映射文件，使得XML序列化不再繁琐。XStream在很多中间件中以第三方依赖的形式引入，使用广泛。

3 风险状态

类别	状态
安全补丁	已公开
漏洞细节	已公开
poc	已公开
在野利用	未发现
相关安全事件	未发现

4 风险等级

评定方式	等级
威胁等级	严重
影响面	一般
攻击者价值	高
利用难度	低
360CERT评分	9.8

5 风险详情

CVE-2021-39139: XStream 代码执行漏洞

CVE: CVE-2021-39139

组件: xstream

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者可以操作已处理的输入流并替换或注入对象，从而在服务器上本地执行命令。

CVE-2021-39140: XStream 拒绝服务漏洞

CVE: CVE-2021-39140

组件: xstream

漏洞类型: 拒绝服务

影响: 拒绝服务

简述: 该漏洞可能允许远程攻击者根据 CPU 类型或此类负载的并行执行在目标系统上分配 100% 的 CPU 时间，从而仅通过操纵处理过的输入流导致拒绝服务。

CVE-2021-39141: XStream 代码执行漏洞

CVE: CVE-2021-39141

组件: xstream

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

CVE-2021-39144: XStream 代码执行漏洞

CVE: CVE-2021-39144

组件: xstream

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者可以操作已处理的输入流并替换或注入对象，从而在服务器上本地执行命令。

CVE-2021-39145: XStream 代码执行漏洞

CVE: CVE-2021-39145

组件: xstream

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者可以操作已处理的输入流并替换或注入对象，从而在服务器上本地执行命令。

CVE-2021-39146: XStream 代码执行漏洞

CVE: CVE-2021-39146

组件: xstream

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

CVE-2021-39147: XStream 代码执行漏洞

CVE: CVE-2021-39147

组件: xstream

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

CVE-2021-39148: XStream 代码执行漏洞

CVE: CVE-2021-39148

组件: xstream

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

CVE-2021-39149: XStream 代码执行漏洞

CVE: CVE-2021-39149

组件: xstream

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者可以操作已处理的输入流并替换或注入对象，从而在服务器上本地执行命令。

CVE-2021-39150: XStream 服务器端请求伪造漏洞

CVE: CVE-2021-39150

组件: xstream

漏洞类型: 服务器端请求伪造

影响: 服务器端请求伪造

简述: 攻击者可以操纵已处理的输入流并替换或注入对象，从而导致服务端请求伪造。

CVE-2021-39151: XStream 代码执行漏洞

CVE: CVE-2021-39151

组件: xstream

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

CVE-2021-39152: XStream 服务器端请求伪造漏洞

CVE: CVE-2021-39152

组件: xstream

漏洞类型: 服务器端请求伪造

影响: 服务器端请求伪造

简述: 攻击者可以操纵已处理的输入流并替换或注入对象，从而导致服务端请求伪造。

CVE-2021-39153: XStream 代码执行漏洞

CVE: CVE-2021-39153

组件: xstream

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者可以操作已处理的输入流并替换或注入对象，从而在服务器上本地执行命令。

CVE-2021-39154: XStream 代码执行漏洞

CVE: CVE-2021-39154

组件: xstream

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者可以操纵已处理的输入流并替换或注入对象，从而执行从远程服务器加载的任意代码。

6 影响版本

组件	影响版本	安全版本
xstream	<1.4.18	1.4.18

7 修复建议

通用修补建议

建议升级到最新版本，并按照官方提供的缓解措施进行修复：

XStream官方通告

https://x-stream.github.io/security.html#workaround

8 时间线

2021-08-22 XStream官方发布通告

2021-08-23 360CERT发布通告

9 参考链接

1、 XStream官方通告

https://x-stream.github.io/news.html

10 特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

2021-08: XStream 多个高危漏洞通告

http://certdl.qihucdn.com/cert-public-file/buddha_alert/【360CERT】2021-08__XStream_多个高危漏洞通告.pdf