XStream是XStream团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 1.4.9及之前的版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
dom4j是一款支持DOM、SAX、JAXP和Java平台的用于处理XML文件的开源框架。
dom4j 2.1.1之前版本中的Class:Element存在安全漏洞,该漏洞源于程序没有验证输入。攻击者可通过指定XML文档中的属性或元素利用该漏洞执行篡改操作。
XStream 是一个简单的库,用于将对象序列化为 XML 并再次返回。在受影响的版本中,此漏洞可能允许远程攻击者仅通过操纵已处理的输入流来从远程主机加载和执行任意代码。没有用户受到影响,他们按照建议设置 XStream 的安全框架,白名单仅限于所需的最少类型。默认情况下,XStream 1.4.18 不再使用黑名单,因为它不能被保护用于一般用途。
XStream是XStream(Xstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 1.4.16 之前版本存在代码问题漏洞,该漏洞允许远程攻击者可以利用这个漏洞来消耗最大的CPU时间。
Apache Commons IO 路径遍历漏洞
路径遍历
在 2.7 之前的 Apache Commons IO 中,当使用不正确的输入字符串(如“//../foo”或“\\..\foo”)调用方法 FileNameUtils.normalize 时,结果将是相同的值,因此可能如果调用代码将使用结果来构造路径值,则提供对父目录中文件的访问,但不能进一步访问(因此“有限”路径遍历)。
spring-beans 远程代码执行漏洞(Spring4Shell)
表达式注入
spring-beans 负责实现 Spring 框架的 IOC 模块。
CVE-2010-1622 中曾出现由于参数自动绑定机制导致的问题, 通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,导致远程代码执行。
org.springframework:spring-beans的5.3.0 至 5.3.17、5.2.0.RELEASE 至
5.2.19.RELEASE 版本都受到影响。
XStream 是一个简单的库,用于将对象序列化为 XML 并再次返回。在受影响的版本中,此漏洞可能允许远程攻击者仅通过操纵已处理的输入流来从远程主机加载和执行任意代码。没有用户受到影响,他们按照建议设置 XStream 的安全框架,白名单仅限于所需的最少类型。默认情况下,XStream 1.4.18 不再使用黑名单,因为它不能被保护用于一般用途。
XStream是XStream(Xstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 1.4.18之前版本存在代码问题漏洞,攻击者可利用该漏洞通过操纵已处理的输入流从远程主机加载和执行任意代码
XStream 存在反序列化漏洞导致远程代码执行 (RCE)
XStream 是一个简单的库,用于将对象序列化为 XML 并再次返回。在受影响的版本中,此漏洞可能允许远程攻击者仅通过操纵处理后的输入流就具有足够的权限来执行主机的命令。没有用户受到影响,他们按照建议设置 XStream 的安全框架,白名单仅限于所需的最少类型。默认情况下,XStream 1.4.18 不再使用黑名单,因为它不能被保护用于一般用途。
XStream是XStream(Xstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream before version 1.4.16 存在代码问题漏洞,该漏洞允许远程攻击者可利用该漏洞仅通过操作已处理的输入流,就可以从远程主机加载和执行任意代码。
Vmware Spring Framework 安全特征问题漏洞
大小写敏感处理不恰当
Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。
Vmware Spring Framework的disallowedFields 模式区分大小写,这意味着除非字段同时列出字段的第一个字符小写,包括属性路径中所有嵌套字段的第一个字符的大写和小写,否则远程攻击者利用该漏洞可以绕过实施的安全限制。
XStream 是一个简单的库,用于将对象序列化为 XML 并再次返回。在受影响的版本中,此漏洞可能允许远程攻击者根据 CPU 类型或此类有效负载的并行执行在目标系统上分配 100% 的 CPU 时间,从而仅通过操纵已处理的输入流来导致拒绝服务。没有用户受到影响,他们按照建议设置 XStream 的安全框架,白名单仅限于所需的最少类型。默认情况下,XStream 1.4.18 不再使用黑名单,因为它不能被保护用于一般用途。
XStream是XStream(Xstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 1.4.16 之前版本存在代码问题漏洞,攻击者可利用该漏洞仅通过操作已处理的输入流来执行主机的命令。
XStream 是一个 Java 库,用于将对象序列化为 XML 并再次返回。在 1.4.16 之前的 XStream 中,存在一个漏洞,该漏洞可能允许远程攻击者根据 CPU 类型或此类有效负载的并行执行在目标系统上分配 100% 的 CPU 时间,从而仅通过操纵处理过的输入来导致拒绝服务溪流。遵循建议设置 XStream 的安全框架的用户不会受到影响,白名单仅限于所需的最少类型。如果您依赖 XStream 的默认安全框架黑名单,则必须至少使用 1.4.16 版本。
XStream是XStream(Xstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream存在代码问题漏洞,该漏洞允许远程攻击者有足够的权限仅通过操纵处理后的输入流来执行主机的命令。
XStream是XStream(Xstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 1.4.14之前版本存在操作系统命令注入漏洞,该漏洞源于容易受到远程代码执行的攻击。攻击者可利用该漏洞仅通过操纵已处理的输入流来运行任意shell命令。只有依赖黑名单的用户才会受到影响。
XStream 存在反序列化导致服务器端请求伪造 (SSRF)
XStream 是一个简单的库,用于将对象序列化为 XML 并再次返回。在受影响的版本中,此漏洞可能允许远程攻击者仅通过使用 Java 运行时版本 14 到 8 操作处理过的输入流来从不公开可用的内部资源请求数据。没有用户受到影响,他们遵循了设置 XStream 安全性的建议具有白名单的框架仅限于所需的最少类型。如果您依赖 XStream 的 [Security Framework] (https://x-stream.github.io/security.html#framework) 默认黑名单,则必须至少使用 1.4.18 版本。
XStream 反序列化远程代码执行漏洞
反序列化
XStream是XStream(Xstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 1.4.17及之前版本存在代码问题漏洞,远程攻击者可以通过操纵处理后的输入流,从远程主机加载和执行任意代码。
XStream是XStream(Xstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 1.4.16 之前版本存在代码问题漏洞,该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。
XStream是XStream(Xstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 1.4.16 之前版本存在代码问题漏洞,攻击者可利用该漏洞仅通过操作已处理的输入流来加载和执行远程主机上的任意代码。
评论