PT-2021-4783 · Xstream+7 · Xstream+7

Publicado

2021-03-12

·

Atualizado

2024-08-22

·

CVE-2021-21346

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.16
Descrição
O problema está relacionado à biblioteca Java do XStream, utilizada para serializar objetos para XML e vice-versa. Isso pode permitir que um invasor remoto carregue e execute código arbitrário a partir de um host remoto, manipulando o fluxo de entrada processado. Usuários que configuraram a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários não são afetados.
Recomendações
Para versões anteriores à 1.4.16, atualize para pelo menos a versão 1.4.16 para resolver o problema. Como solução alternativa temporária, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários.

Exploit

Correção

Unrestricted File Upload

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-434CWE-502

Identificadores relacionados

ALT-PU-2022-7660
BDU:2021-05502
BIT-ACTIVEMQ-2021-21346
CESA-2021_1354
CVE-2021-21346
DLA-2616-1
DSA-5004-1
ELSA-2021-1354
GHSA-4HRM-M67V-5CXR
MGASA-2021-0370
OESA-2021-1185
OPENSUSE-SU-2021:0832-1
OPENSUSE-SU-2021:1840-1
OPENSUSE-SU-2021_0832-1
OPENSUSE-SU-2021_1840-1
OPENSUSE-SU-2024:10592-1
RHSA-2021:1354
RHSA-2021_1354
SUSE-SU-2021:1840-1
SUSE-SU-2021:1840-2
USN-4943-1
USN-6978-1

Produtos afetados

Alt Linux
Astra Linux
Centos
Linuxmint
Red Hat
Suse
Ubuntu
Xstream