PT-2021-7461 · Xstream+6 · Xstream+6

Publicado

2021-08-23

·

Atualizado

2025-10-24

·

CVE-2021-39144

CVSS v3.1

8.5

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.18
Descrição
O problema está relacionado a uma vulnerabilidade de execução remota de código na biblioteca XStream, que pode serializar objetos para XML e vice-versa. Essa vulnerabilidade pode permitir que um invasor remoto execute comandos no host manipulando o fluxo de entrada processado. Os usuários que configuraram a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários não são afetados. A vulnerabilidade está relacionada a erros de desserialização e injeção de código.
Recomendações
Para versões anteriores à 1.4.18, considere configurar a estrutura de segurança do XStream com uma lista de permissões limitada aos tipos mínimos necessários para mitigar o risco de exploração. Como solução temporária, considere restringir o uso da biblioteca XStream até que um patch esteja disponível. No momento, não há informações sobre medidas de mitigação adicionais.

Exploit

Correção

Missing Authentication

Deserialization of Untrusted Data

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306CWE-502CWE-94

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2022-7660
BDU:2022-06488
CVE-2021-39144
DLA-2769-1
DSA-5004-1
ELSA-2021-3956
GHSA-J9H8-PHRW-H4FH
MGASA-2021-0474
OESA-2021-1337
OPENSUSE-SU-2021:1401-1
OPENSUSE-SU-2021:3476-1
OPENSUSE-SU-2021_1401-1
OPENSUSE-SU-2021_3476-1
OPENSUSE-SU-2024:10592-1
RHSA-2021:3956
RHSA-2021_3956
SUSE-SU-2021:3476-1
SUSE-SU-2021_3476-1
USN-5946-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Red Hat
Suse
Ubuntu
Xstream