PT-2021-22403 · Xstream+6 · Xstream+6

Publicado

2021-08-23

·

Atualizado

2024-06-15

·

CVE-2021-39147

CVSS v3.1

8.5

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.18
Descrição
A vulnerabilidade permite que um invasor remoto carregue e execute código arbitrário a partir de um host remoto, manipulando o fluxo de entrada processado. Os usuários que configuraram a estrutura de segurança do XStream com uma lista de permissões (whitelist) limitada aos tipos mínimos necessários não são afetados. A vulnerabilidade está relacionada ao uso de uma lista de restrições (blacklist), que não pode ser protegida para uso geral, e foi corrigida no XStream 1.4.18 com o uso de uma lista de permissões (whitelist) por padrão.
Recomendações
Para versões anteriores à 1.4.18, configure a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários para evitar a exploração.
Como solução alternativa temporária, considere configurar a estrutura de segurança para permitir apenas os tipos necessários até que um patch esteja disponível.

Exploit

Correção

Deserialization of Untrusted Data

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502CWE-434

Identificadores relacionados

ALT-PU-2022-7660
CVE-2021-39147
DLA-2769-1
DSA-5004-1
ELSA-2021-3956
GHSA-H7V4-7XG3-HXCC
MGASA-2021-0474
OESA-2021-1337
OPENSUSE-SU-2021:1401-1
OPENSUSE-SU-2021:3476-1
OPENSUSE-SU-2021_1401-1
OPENSUSE-SU-2021_3476-1
OPENSUSE-SU-2024:10592-1
RHSA-2021:3956
RHSA-2021_3956
SUSE-SU-2021:3476-1
USN-5946-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Red Hat
Suse
Ubuntu
Xstream