PT-2021-4780 · Xstream+7 · Xstream+7

Publicado

2021-03-12

·

Atualizado

2024-08-22

·

CVE-2021-21344

CVSS v3.1

10

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.16
Descrição
O problema está relacionado à biblioteca Java do XStream, utilizada para serializar objetos em XML e vice-versa. Isso pode permitir que um invasor remoto carregue e execute código arbitrário a partir de um host remoto, manipulando o fluxo de entrada processado. Usuários que configuraram a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários não são afetados.
Recomendações
Para versões anteriores à 1.4.16, atualize para pelo menos a versão 1.4.16 para resolver o problema. Como solução alternativa temporária, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários.

Exploit

Correção

Unrestricted File Upload

Deserialization of Untrusted Data

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-434CWE-502CWE-94

Identificadores relacionados

ALT-PU-2022-1100
ALT-PU-2022-2171
ALT-PU-2022-7660
ALT-PU-2023-1912
BDU:2021-05499
BDU:2021-05946
BIT-ACTIVEMQ-2021-21344
CESA-2021_1354
CVE-2021-21344
DLA-2616-1
DSA-5004-1
ELSA-2021-1354
GHSA-59JW-JQF4-3WQ3
MGASA-2021-0370
OESA-2021-1185
OPENSUSE-SU-2021:0832-1
OPENSUSE-SU-2021:1840-1
OPENSUSE-SU-2021_0832-1
OPENSUSE-SU-2021_1840-1
OPENSUSE-SU-2024:10592-1
RHSA-2021:1354
RHSA-2021_1354
SUSE-SU-2021:1840-1
SUSE-SU-2021:1840-2
USN-4943-1
USN-6978-1

Produtos afetados

Alt Linux
Astra Linux
Centos
Linuxmint
Red Hat
Suse
Ubuntu
Xstream