प्लेटफ़ॉर्म
java
घटक
com.thoughtworks.xstream:xstream
में ठीक किया गया
1.4.12
1.4.11
CVE-2019-10173 एक गंभीर असुरक्षित क्रमबद्धता भेद्यता है जो com.thoughtworks.xstream:xstream लाइब्रेरी को प्रभावित करती है। यह भेद्यता हमलावरों को अनमार्शलिंग XML या JSON डेटा के दौरान मनमाना शेल कमांड निष्पादित करने की अनुमति दे सकती है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। यह भेद्यता Xstream के संस्करण 1.4.10 और उससे पहले को प्रभावित करती है। इस समस्या को Xstream के संस्करण 1.4.11 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों के लिए एक गंभीर खतरा है क्योंकि यह उन्हें सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति देती है। एक हमलावर भेद्य एप्लिकेशन को दुर्भावनापूर्ण XML या JSON डेटा भेजकर इसका फायदा उठा सकता है। सफल शोषण से डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए खतरनाक है जो बाहरी स्रोतों से XML या JSON डेटा को अनमार्शल करते हैं, क्योंकि हमलावर दुर्भावनापूर्ण डेटा को इंजेक्ट कर सकते हैं। यह CVE-2013-7285 के एक प्रतिगमन के रूप में पहचाना गया है, जो पहले Xstream में इसी तरह की असुरक्षित क्रमबद्धता समस्या को उजागर करता था।
CVE-2019-10173 को CISA KEV में शामिल किया गया है, जो इसके उच्च जोखिम को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इस भेद्यता का फायदा उठाने की संभावना को बढ़ाते हैं। इस भेद्यता का सक्रिय रूप से शोषण किए जाने की संभावना है, खासकर उन प्रणालियों पर जो अभी तक पैच नहीं किए गए हैं। NVD ने 2019-07-26 को इस भेद्यता को प्रकाशित किया।
Applications that utilize XStream for XML or JSON processing, particularly those handling untrusted input, are at risk. This includes web applications, enterprise Java applications, and any system where XStream is used to parse external data. Legacy applications using older XStream versions are particularly vulnerable.
• java / server:
find / -name "xstream-1.4.10.jar" 2>/dev/null• java / supply-chain: Check dependencies for XStream versions <= 1.4.10-java7 using Maven or Gradle dependency analysis tools. • java / server: Monitor application logs for deserialization errors or suspicious activity related to XML/JSON processing. • generic web: Examine web application request/response logs for XML/JSON payloads that might be attempting to exploit deserialization vulnerabilities.
disclosure
एक्सप्लॉइट स्थिति
EPSS
92.96% (100% शतमक)
CVSS वेक्टर
CVE-2019-10173 के प्रभाव को कम करने के लिए, Xstream लाइब्रेरी को संस्करण 1.4.11 या बाद के संस्करण में तुरंत अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप इनपुट डेटा को मान्य करने और सैनिटाइज करने के लिए सुरक्षा ढांचे को कॉन्फ़िगर कर सकते हैं। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग दुर्भावनापूर्ण XML या JSON डेटा को ब्लॉक करने के लिए किया जा सकता है। सुनिश्चित करें कि आपके एप्लिकेशन बाहरी स्रोतों से प्राप्त XML या JSON डेटा को अनमार्शल करते समय उचित इनपुट सत्यापन और सैनिटाइजेशन लागू करते हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक संबोधित किया गया है, सिस्टम की सुरक्षा स्कैनिंग और भेद्यता परीक्षण करें।
XStream लाइब्रेरी को संस्करण 1.4.11 या उच्चतर में अपडेट करें। यह एक पिछले डीसेरियलाइज़ेशन (deserialization) भेद्यता (vulnerability) में प्रतिगमन को ठीक करता है जो दूरस्थ कमांड निष्पादन (remote command execution) की अनुमति दे सकता है। जोखिम को कम करने के लिए XStream सुरक्षा ढांचे (security framework) को आरंभ करना सुनिश्चित करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2019-10173 Xstream लाइब्रेरी में एक गंभीर असुरक्षित क्रमबद्धता भेद्यता है जो हमलावरों को मनमाना शेल कमांड चलाने की अनुमति दे सकती है।
यदि आप Xstream लाइब्रेरी के संस्करण 1.4.10 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Xstream लाइब्रेरी को संस्करण 1.4.11 या बाद के संस्करण में अपग्रेड करें।
CVE-2019-10173 का सक्रिय रूप से शोषण किए जाने की संभावना है, खासकर उन प्रणालियों पर जो अभी तक पैच नहीं किए गए हैं।
आप Xstream प्रोजेक्ट वेबसाइट पर आधिकारिक सलाहकार पा सकते हैं: [https://xstream.codehaus.org/](https://xstream.codehaus.org/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।