PT-2021-22407 · Xstream+6 · Xstream+6

Publicado

2021-08-23

·

Atualizado

2024-06-15

·

CVE-2021-39150

CVSS v3.1

8.5

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.18
Descrição
O XStream é uma biblioteca simples para serializar objetos em XML e vice-versa. Nas versões afetadas, essa vulnerabilidade pode permitir que um invasor remoto solicite dados de recursos internos que não estão disponíveis publicamente, apenas manipulando o fluxo de entrada processado com uma versão do Java Runtime entre 8 e 14. Nenhum usuário que tenha seguido a recomendação de configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários será afetado. Se você depende da lista de restrições padrão da estrutura de segurança do XStream, deverá usar pelo menos a versão 1.4.18.
Recomendações
Para resolver o problema, use pelo menos a versão 1.4.18 do XStream.
Como solução alternativa temporária, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários.
Se você utiliza a lista de restrições padrão da estrutura de segurança do XStream, certifique-se de estar usando pelo menos a versão 1.4.18.

Exploit

Correção

SSRF

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918CWE-502

Identificadores relacionados

ALT-PU-2022-7660
CVE-2021-39150
DLA-2769-1
DSA-5004-1
ELSA-2021-3956
GHSA-CXFM-5M4G-X7XP
MGASA-2021-0474
OESA-2021-1337
OPENSUSE-SU-2021:1401-1
OPENSUSE-SU-2021:3476-1
OPENSUSE-SU-2021_1401-1
OPENSUSE-SU-2021_3476-1
OPENSUSE-SU-2024:10592-1
RHSA-2021:3956
RHSA-2021_3956
SUSE-SU-2021:3476-1
USN-5946-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Red Hat
Suse
Ubuntu
Xstream