PT-2021-5145 · Xstream+5 · Xstream+5

Publicado

2021-03-12

·

Atualizado

2024-08-22

·

CVE-2021-21351

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.16
Descrição
O problema está relacionado à biblioteca Java do XStream, utilizada para serializar objetos em XML e vice-versa. Isso pode permitir que um invasor remoto carregue e execute código arbitrário a partir de um host remoto, manipulando o fluxo de entrada processado. Usuários que configuraram a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários não são afetados.
Recomendações
Para versões anteriores à 1.4.16, atualize para pelo menos a versão 1.4.16 para resolver o problema. Como solução temporária, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários.

Exploit

Correção

Unrestricted File Upload

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-434CWE-502

Identificadores relacionados

ALT-PU-2022-1100
ALT-PU-2022-2171
ALT-PU-2022-7660
ALT-PU-2023-1912
BDU:2021-05940
BIT-ACTIVEMQ-2021-21351
CVE-2021-21351
DLA-2616-1
DSA-5004-1
GHSA-HRCP-8F3Q-4W2C
MGASA-2021-0370
OESA-2021-1185
OPENSUSE-SU-2021:0832-1
OPENSUSE-SU-2021:1840-1
OPENSUSE-SU-2021_0832-1
OPENSUSE-SU-2021_1840-1
OPENSUSE-SU-2024:10592-1
SUSE-SU-2021:1840-1
SUSE-SU-2021:1840-2
USN-4943-1
USN-6978-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Suse
Ubuntu
Xstream