PT-2021-3670 · Xstream+6 · Xstream+6

Publicado

2021-05-14

·

Atualizado

2025-09-29

·

CVE-2021-29505

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.17
Descrição
Uma vulnerabilidade no XStream pode permitir que um invasor remoto com privilégios suficientes execute comandos no host ao manipular o fluxo de entrada processado. O problema está relacionado a falhas no mecanismo de desserialização. Os usuários que configuraram a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários não são afetados.
Recomendações
Para versões anteriores à 1.4.17, atualize para a versão 1.4.17 para resolver o problema.
Como solução alternativa temporária, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários para minimizar o risco de exploração.

Exploit

Correção

Special Elements Injection

Deserialization of Untrusted Data

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-502CWE-94

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2022-7660
BDU:2021-03903
CESA-2021_2683
CVE-2021-29505
DLA-2704-1
DSA-5004-1
ELSA-2021-2683
GHSA-7CHV-RRW6-W6FC
MGASA-2021-0370
OESA-2021-1208
OPENSUSE-SU-2021:0911-1
OPENSUSE-SU-2021:1995-1
OPENSUSE-SU-2021_0911-1
OPENSUSE-SU-2021_1995-1
OPENSUSE-SU-2024:10592-1
RHSA-2021:2683
RHSA-2021_2683
SUSE-SU-2021:1995-1
SUSE-SU-2021_1995-1

Produtos afetados

Alt Linux
Astra Linux
Centos
Jira
Red Hat
Suse
Xstream