PT-2021-22404 · Xstream+6 · Xstream+6

Publicado

2021-08-23

·

Atualizado

2023-03-13

·

CVE-2021-39148

CVSS v3.1

8.5

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.18
Descrição
A vulnerabilidade permite que um invasor remoto carregue e execute código arbitrário a partir de um host remoto, manipulando o fluxo de entrada processado. Os usuários que configuraram a estrutura de segurança do XStream com uma lista de permissões (whitelist) limitada aos tipos mínimos necessários não são afetados.
Recomendações
Para versões anteriores à 1.4.18, configure a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários para evitar a exploração.
Como solução alternativa temporária, considere desativar o uso de listas de restrições no XStream até que um patch esteja disponível.
Atualize para a versão 1.4.18 ou posterior, que usa uma lista de permissões por padrão e não depende de uma lista de restrições para segurança.

Exploit

Correção

Deserialization of Untrusted Data

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502CWE-434

Identificadores relacionados

ALT-PU-2022-7660
CVE-2021-39148
DLA-2769-1
DSA-5004-1
ELSA-2021-3956
GHSA-QRX8-8545-4WG2
MGASA-2021-0474
OESA-2021-1337
OPENSUSE-SU-2021:1401-1
OPENSUSE-SU-2021:3476-1
OPENSUSE-SU-2021_1401-1
OPENSUSE-SU-2021_3476-1
RHSA-2021:3956
RHSA-2021_3956
SUSE-SU-2021:3476-1
USN-5946-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Red Hat
Suse
Ubuntu
Xstream