服务公告

全部公告 > 安全公告 > 关于Xstream多个高危漏洞预警

关于Xstream多个高危漏洞预警

一、概要

近日，华为云关注到Xstream官方发布安全更新，披露在1.4.16之前的版本中存在多处高危漏洞。攻击者利用漏洞可造成远程代码执行、拒绝服务攻击、任意文件删除等危害，目前业界POC已公开，华为云提醒使用XStream的用户尽快安排自检并做好安全加固。

参考链接：

CVE-2021-21341 XStream可能导致拒绝服务；

CVE-2021-21342 可以使用XStream解组激活服务器端伪造请求，以访问来自引用内部网或本地主机中资源的任意URL的数据流；

CVE-2021-21343 取消编组时，只要执行进程具有足够的权限，XStream就容易受到本地主机上任意文件删除的攻击；

CVE-2021-21344 XStream容易受到任意代码执行攻击；

CVE-2021-21345 XStream容易受到“远程命令执行”攻击；

CVE-2021-21346 XStream容易受到任意代码执行攻击；

CVE-2021-21347 XStream容易受到任意代码执行攻击；

CVE-2021-21348 XStream容易受到使用正则表达式的拒绝服务（ReDos）攻击的攻击；

CVE-2021-21349 可以使用XStream解组激活服务器端伪造请求，以访问来自引用内部网或本地主机中资源的任意URL的数据流；

CVE-2021-21350 XStream容易受到任意代码执行攻击；

CVE-2021-21351 XStream容易受到任意代码执行攻击。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

XStream < 1.4.16

安全版本：

XStream 1.4.16

四、漏洞处置

目前官方已在新版本中修复了该漏洞，请受影响的用户升级至安全版本：