PT-2021-22409 · Xstream+6 · Xstream+6

Zacharias Pigadas

·

Publicado

2021-08-23

·

Atualizado

2026-02-16

·

CVE-2021-39152

CVSS v3.1

8.5

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.18
Descrição
O XStream é uma biblioteca simples para serializar objetos em XML e vice-versa. Nas versões afetadas, essa vulnerabilidade pode permitir que um invasor remoto solicite dados de recursos internos que não estão disponíveis publicamente, apenas manipulando o fluxo de entrada processado com uma versão do Java Runtime entre 14 e 8. Nenhum usuário que tenha seguido a recomendação de configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários foi afetado.
Recomendações
Para resolver o problema, use pelo menos a versão 1.4.18 se você depende da lista de restrições padrão da estrutura de segurança do XStream.
Como solução alternativa temporária, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários.

Exploit

Correção

SSRF

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918CWE-502

Identificadores relacionados

ALT-PU-2022-7660
CVE-2021-39152
DLA-2769-1
DSA-5004-1
ELSA-2021-3956
GHSA-XW4P-CRPJ-VJX2
MGASA-2021-0474
OESA-2021-1337
OPENSUSE-SU-2021:1401-1
OPENSUSE-SU-2021:3476-1
OPENSUSE-SU-2021_1401-1
OPENSUSE-SU-2021_3476-1
RHSA-2021:3956
RHSA-2021_3956
SUSE-SU-2021:3476-1
USN-5946-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Red Hat
Suse
Ubuntu
Xstream