服務公告

全部公告 > 安全公告 > XStream 反序列化遠程代碼執(zhí)行漏洞預警（CVE-2021-29505）

XStream 反序列化遠程代碼執(zhí)行漏洞預警（CVE-2021-29505）

一、概要

近日，華為云關(guān)注到XStream官方發(fā)布安全公告，披露在1.4.17之前的版本中存在一處新的反序列化漏洞（CVE-2021-29505），攻擊者通過構(gòu)造特殊的XML可繞過XStream黑名單，導致遠程代碼執(zhí)行。

XStream是Java類庫，用來將對象序列化成XML （JSON）或反序列化為對象。華為云提醒使用XStream的用戶盡快安排自檢并做好安全加固。

參考鏈接：

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

XStream < 1.4.17

安全版本：

XStream 1.4.17

四、漏洞處置

目前官方已在最新版本中修復了該漏洞，請受影響的用戶及時升級至安全版本。

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護規(guī)則。

注：修復漏洞前請將資料備份，并進行充分測試。