Plateforme
java
Composant
com.thoughtworks.xstream:xstream
Corrigé dans
1.4.12
1.4.11
La vulnérabilité CVE-2019-10173 affecte la bibliothèque XStream, une bibliothèque Java pour la sérialisation et la désérialisation d'objets. Cette faille de désérialisation insecure permet à un attaquant distant d'exécuter des commandes shell arbitraires en exploitant le processus de désérialisation de données XML ou JSON. Les versions concernées sont celles inférieures ou égales à 1.4.10-java7. Une correction a été publiée en version 1.4.11.
L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter cette faille pour exécuter du code malveillant sur le système cible. L'attaquant peut injecter des données malformées lors de la désérialisation, ce qui conduit à l'exécution de commandes arbitraires sur le serveur. Cela peut permettre à l'attaquant de compromettre complètement le système, d'accéder à des données sensibles, de modifier des fichiers ou d'installer des logiciels malveillants. Cette vulnérabilité est similaire à d'autres failles de désérialisation insecure, comme celle corrigée par CVE-2013-7285, dont elle est une régression.
Cette vulnérabilité a été publiquement divulguée le 26 juillet 2019. Bien qu'il n'y ait pas de preuves d'exploitation active à grande échelle, la gravité élevée de la vulnérabilité et la disponibilité d'une correction la rendent une cible potentielle pour les attaquants. La vulnérabilité est susceptible d'être exploitée dans des environnements où XStream est utilisé pour traiter des données provenant de sources non fiables.
Applications that utilize XStream for XML or JSON processing, particularly those handling untrusted input, are at risk. This includes web applications, enterprise Java applications, and any system where XStream is used to parse external data. Legacy applications using older XStream versions are particularly vulnerable.
• java / server:
find / -name "xstream-1.4.10.jar" 2>/dev/null• java / supply-chain: Check dependencies for XStream versions <= 1.4.10-java7 using Maven or Gradle dependency analysis tools. • java / server: Monitor application logs for deserialization errors or suspicious activity related to XML/JSON processing. • generic web: Examine web application request/response logs for XML/JSON payloads that might be attempting to exploit deserialization vulnerabilities.
disclosure
Statut de l'Exploit
EPSS
92.96% (percentile 100%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour XStream vers la version 1.4.11 ou supérieure. Si la mise à niveau n'est pas immédiatement possible, il est recommandé de désactiver temporairement la fonctionnalité de désérialisation ou de mettre en œuvre une validation stricte des données d'entrée avant la désérialisation. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes. Vérifiez après la mise à jour que la désérialisation est correctement configurée et que les données d'entrée sont validées.
Mettez à jour la bibliothèque XStream à la version 1.4.11 ou supérieure. Cela corrige une régression dans une vulnérabilité de désérialisation précédente qui pourrait permettre l'exécution distante de commandes. Assurez-vous d'initialiser le framework de sécurité de XStream pour atténuer le risque.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-10173 is a critical vulnerability in XStream versions up to 1.4.10-java7 that allows remote attackers to execute arbitrary shell commands through insecure deserialization of XML or JSON data.
You are affected if your application uses XStream version 1.4.10-java7 or earlier. Check your dependencies to confirm.
Upgrade to XStream version 1.4.11 or later to resolve this vulnerability. If upgrading is not possible, implement input validation and sanitization.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the XStream project's website and security advisories for the latest information: https://xstream.codehaus.org/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.