关于XStream反序列化远程代码执行漏洞（CVE-2021-29505）的预警提示

发布时间:2021-05-24

作者: 图档网信办公室

浏览次数:382

一、漏洞详情

XStream是一个常用的Java对象和XML相互转换的工具。XStream官方发布安全更新，修复了多个XStream 反序列化漏洞。

攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发反序列化，从而造成CVE-2021-29505反序列化代码执行漏洞等。实际漏洞利用依赖于具体代码实现以及相关接口请求，无法批量远程利用。

二、影响范围

XStream < 1.4.17

三、修复建议

针对使用到XStream组件的web服务升级至最新版本：http://x-stream.github.io/changes.html