今日,XStream官方發布重要安全更新,修復了14個安全漏洞,其中5個嚴重漏洞,通過這些漏洞,攻擊者構造特定的XML數據,可以繞過XStream的黑名單攔截,最終僅需依賴JDK庫即可觸發反序列化造成任意代碼執行,獲取服務器權限。
影響范圍:
影響版本:version <= 1.4.17
安全版本:version = 1.4.18 (升級到1.4.18版本即可)
漏洞復現:
修復建議:
1、升級到XStream 1.4.18
2、暫時無法升級,可在代碼中設置xstream.addPermission(NoTypePermission.NONE);
參考鏈接:
https://x-stream.github.io/security.html