PT-2021-22408 · Xstream+6 · Xstream+6

Publicado

2021-08-23

·

Atualizado

2023-03-13

·

CVE-2021-39151

CVSS v3.1

8.5

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.18
Descrição
O XStream é uma biblioteca usada para serializar objetos para XML e vice-versa. Esta vulnerabilidade pode permitir que um invasor remoto carregue e execute código arbitrário a partir de um host remoto, manipulando o fluxo de entrada processado. Os usuários que configuraram a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários não são afetados.
Recomendações
Para versões anteriores à 1.4.18, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários como uma solução temporária até que um patch esteja disponível.
Atualize para a versão 1.4.18 ou posterior do XStream, que não usa mais uma lista de restrições por padrão.

Exploit

Correção

Deserialization of Untrusted Data

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502CWE-434

Identificadores relacionados

ALT-PU-2022-7660
CVE-2021-39151
DLA-2769-1
DSA-5004-1
ELSA-2021-3956
GHSA-HPH2-M3G5-XXV4
MGASA-2021-0474
OESA-2021-1337
OPENSUSE-SU-2021:1401-1
OPENSUSE-SU-2021:3476-1
OPENSUSE-SU-2021_1401-1
OPENSUSE-SU-2021_3476-1
RHSA-2021:3956
RHSA-2021_3956
SUSE-SU-2021:3476-1
USN-5946-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Red Hat
Suse
Ubuntu
Xstream