XStReaM是一个常用的Java对象和XML相互转换的工具。5月15日 XStReaM官方发布安全更新,修复了多个XStReaM 反序列化漏洞。以下是漏洞详情:
漏洞详情
来源
CVE-2021-29505 严重程度: 高危
攻击者通过构造恶意的XML文档,可绕过XStReaM的黑名单,触发反序列化,从而造成反序列化代码执行漏洞.实际漏洞利用依赖于具体代码实现以及相关接口请求,无法批量远程利用。
受影响的产品和版本
XStReaM 1.4.17之前版本
解决方案
XStReaM官方已发布安全更新,升级XStReaM 1.4.17版本可修复
查看更多漏洞信息 以及升级请访问官网:
图片