• <code id="aw09e"><small id="aw09e"><track id="aw09e"></track></small></code>
  • <center id="aw09e"><em id="aw09e"></em></center>
    1. <code id="aw09e"><em id="aw09e"></em></code>
      <th id="aw09e"></th>
      <object id="aw09e"><option id="aw09e"><mark id="aw09e"></mark></option></object>

      1. <object id="aw09e"><nobr id="aw09e"></nobr></object><big id="aw09e"><em id="aw09e"></em></big>
        <code id="aw09e"></code>

      2. <pre id="aw09e"></pre>

        XStream 多个高危漏洞通告

        时间:2021-3-16

        0x01事件简述

        2021年03月15日,360CERT监测发现Xstream官方发布了Xstream 安全更新,漏洞等级:高危,漏洞评分:8.8。

        POC已经在官网公开

        对此,360CERT建议广大用户及时将Xstream升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

        0x02风险等级

        360CERT对该事件的评定结果如下

        评定方式

        等级

        威胁等级

        高危

        影响面

        广泛

        360CERT评分

        8.8

        0x03漏洞详情

        CVE-2021-21341: 拒绝服务

        攻击者可以操纵已处理的输入流,并替换或注入一个ByteArrayInputStream(或其子类),这可能导致一个无休止的循环,从而造成拒绝服务攻击。

        CVE-2021-21342: 服务端请求伪造

        攻击者可以操纵已处理的输入流并替换或注入对象,导致服务端请求伪造。

        CVE-2021-21343: 任意文件删除

        攻击者可以操纵已处理的输入流并替换或注入对象,从而可以删除本地主机上的任意文件。

        CVE-2021-21344: 代码执行

        攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

        CVE-2021-21345: 代码执行

        攻击者可以操作已处理的输入流并替换或注入对象,从而在服务器上本地执行命令。

        CVE-2021-21346: 代码执行

        攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

        CVE-2021-21347: 代码执行

        攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

        CVE-2021-21348: 拒绝服务

        攻击者可以操纵已处理的输入流并替换或注入对象,导致执行恶意正则表达式的计算,从而造成拒绝服务攻击。

        CVE-2021-21349: 服务端请求伪造

        攻击者可以操纵已处理的输入流并替换或注入对象,从而导致服务端请求伪造。

        CVE-2021-21350: 代码执行

        攻击者可以操纵处理后的输入流并替换或注入对象,从而导致任意代码执行。

        CVE-2021-21351: 代码执行

        攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

        0x04影响版本

        –Xstream:Xstream: <= 1.4.15

        0x05修复建议

        通用修补建议

        建议升级到最新版本,并按照官方提供的缓解措施进行修复:

        XStream官方通告

        0x06时间线

        2021-03-13XStream 官方发布通告

        2021-03-15360CERT发布通告

        0x07参考链接

        1、 XStream官方通告

        本文由360CERT安全通告原创发布

        https://wangzhan.#/590.html

        美国十次,欧美av,欧美情色,美国十次啦导航,美国十次啦超线导航_美国十次啦av导航