PT-2021-4782 · Xstream+7 · Xstream+7

Publicado

2021-03-12

·

Atualizado

2024-08-22

·

CVE-2021-21347

CVSS v3.1

10

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.16
Descrição
O problema diz respeito a uma biblioteca Java usada para serializar objetos em XML e vice-versa. Isso pode permitir que um invasor remoto carregue e execute código arbitrário a partir de um host remoto, manipulando o fluxo de entrada processado. Os usuários que configuraram a estrutura de segurança com uma lista de permissões limitada aos tipos mínimos necessários não são afetados. A vulnerabilidade está relacionada ao carregamento ilimitado de tipos de arquivos perigosos.
Recomendações
Para versões anteriores à 1.4.16, atualize para pelo menos a versão 1.4.16 para resolver o problema. Como solução temporária, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários para impedir a exploração.

Exploit

Correção

Unrestricted File Upload

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-434CWE-502

Identificadores relacionados

ALT-PU-2022-7660
BDU:2021-05501
BIT-ACTIVEMQ-2021-21347
CESA-2021_1354
CVE-2021-21347
DLA-2616-1
DSA-5004-1
ELSA-2021-1354
GHSA-QPFQ-PH7R-QV6F
MGASA-2021-0370
OESA-2021-1185
OPENSUSE-SU-2021:0832-1
OPENSUSE-SU-2021:1840-1
OPENSUSE-SU-2021_0832-1
OPENSUSE-SU-2021_1840-1
OPENSUSE-SU-2024:10592-1
RHSA-2021:1354
RHSA-2021_1354
SUSE-SU-2021:1840-1
SUSE-SU-2021:1840-2
USN-4943-1
USN-6978-1

Produtos afetados

Alt Linux
Astra Linux
Centos
Linuxmint
Red Hat
Suse
Ubuntu
Xstream