Liaogui Zhong

**Nome do software vulnerável e versões afetadas** Versões do XStream anteriores à 1.4.15 **Descrição** A vulnerabilidade permite que um invasor remoto exclua arquivos arbitrários no host, desde que o processo em execução tenha direitos suficientes, manipulando o fluxo de entrada processado. Isso pode ser feito durante a desmarcação, explorando a falta de medidas de segurança adequadas na biblioteca XStream. Nenhum usuário será afetado se tiver configurado a Estrutura de Segurança do XStream com uma lista de permissões. A vulnerabilidade não existe ao executar o Java 15 ou superior. **Recomendações** Para a versão 1.4.14 do XStream, adicione as seguintes linhas ao código de configuração do XStream: ```java xstream.denyTypes(new String[]{ “jdk.nashorn.internal.objects.NativeString” }); xstream.denyTypesByRegExp(new String[]{ “.*.ReadAllStream$FileStream” }); ``` Para as versões 1.4.14 a 1.4.13 do XStream, adicione as seguintes linhas ao código de configuração do XStream: ```java xstream.denyTypes(new String[]{ “javax.imageio.ImageIO$ContainsFilter”, “jdk.nashorn.internal.objects.NativeString” }); xstream.denyTypes(new Class[]{ java.lang.ProcessBuilder.class }); xstream.denyTypesByRegExp(new String[]{ “.*.ReadAllStream$FileStream” }); ``` Para as versões 1.4.12 a 1.4.7 do XStream, configure uma lista negra do zero e rejeite pelo menos os seguintes tipos: `javax.imageio.ImageIO$ContainsFilter`, `java.beans. EventHandler`, `java.lang.ProcessBuilder`, `jdk.nashorn.internal.objects.NativeString.class`, `java.lang.Void` e `void`, e rejeite vários tipos por padrão de nome:

**Nome do software vulnerável e versões afetadas** Versões do XStream anteriores à 1.4.15 **Descrição** O problema está relacionado a uma vulnerabilidade de solicitação de falsificação do lado do servidor (Server-Side Forgery Request) no XStream, uma biblioteca Java usada para serializar objetos em XML e vice-versa. Essa vulnerabilidade pode ser ativada durante a desmarcação e pode permitir que um invasor remoto solicite dados de recursos internos que não estão disponíveis publicamente, manipulando o fluxo de entrada processado. A vulnerabilidade não existe se estiver em execução o Java 15 ou superior. Nenhum usuário que tenha seguido a recomendação de configurar a estrutura de segurança do XStream com uma lista de permissões será afetado. **Recomendações** Para resolver o problema em cada versão afetada: - Para o XStream 1.4.14, adicione as seguintes linhas ao código de configuração do XStream: ```java xstream.denyTypes(new String[]{ “jdk.nashorn.internal.objects.NativeString” }); xstream.denyTypesByRegExp(new String[]{ “.*.ReadAllStream$FileStream” }); ``` - Para o XStream 1.4.13 a 1.4.14, adicione as seguintes linhas ao código de configuração do XStream: ```java xstream.denyTypes(new String[]{ “javax.imageio.ImageIO$ContainsFilter”, “jdk.nashorn.internal.objects.NativeString” }); xstream.denyTypes(new Class[]{ java.lang.ProcessBuilder.class }); xstream.denyTypesByRegExp(new String[]{ “.*.ReadAllStream$FileStream” }); ``` - Para o XStream 1.4.12 a 1.4.7, configure uma lista negra do zero e rejeite pelo menos os seguintes tipos: `javax.imageio.ImageIO$ContainsFilter`, `java.beans.EventHandler`, `java.lang.ProcessBuilder`, `