一、漏洞简介
XStream是XStream(Xstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 1.4.14之前版本存在操作系统命令注入漏洞,该漏洞源于容易受到远程代码执行的攻击。攻击者可利用该漏洞仅通过操纵已处理的输入流来运行任意shell命令。只有依赖黑名单的用户才会受到影响。
参考链接:https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202011-1441
二、修复说明
@b@@b@漏洞版本:1.4.10 (xstream-1.4.10.jar) @b@@b@修复说明:@b@@b@将 XStream 升级到 1.4.14 及以上版本,下载地址:http://x-stream.github.io/download.html