CRITICALCVE-2019-10173CVSS 9.8

xstreamにおける信頼できないデータとコードのデシリアライゼーションとコードインジェクション

Q: CVE-2019-10173 — 不安全なデシリアライゼーション in XStreamとは何ですか？

CVE-2019-10173は、XStreamライブラリのバージョン1.4.10以前に存在する、XMLやJSONのアンマーシャリング時にリモート攻撃者が任意のコードを実行できる脆弱性です。

Q: CVE-2019-10173 in XStreamで影響を受けますか？

XStreamライブラリのバージョン1.4.10以下を使用している場合は、影響を受けます。バージョン1.4.11以上にアップデートしてください。

Q: CVE-2019-10173 in XStreamを修正するにはどうすればよいですか？

XStreamライブラリをバージョン1.4.11以上にアップデートすることが推奨されます。アップデートが困難な場合は、セキュリティフレームワークの初期化を確実に行うなどの対策を講じてください。

Q: CVE-2019-10173は積極的に悪用されていますか？

パブリックなProof-of-Conceptが公開されており、悪用される可能性が高いと考えられます。

Q: CVE-2019-10173に関する公式のXStreamアドバイザリはどこで入手できますか？

XStreamプロジェクトの公式ウェブサイトまたは関連するセキュリティアドバイザリサイトで確認してください。

プラットフォーム

java

コンポーネント

com.thoughtworks.xstream:xstream

修正版

1.4.12

1.4.11

AI Confidence: highNVDEPSS 93.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2019-10173は、com.thoughtworks.xstreamライブラリのXStreamにおいて、不安全なデシリアライゼーションの脆弱性です。この脆弱性は、XMLやJSONなどのフォーマットをアンマーシャリングする際に、リモート攻撃者が任意のコードを実行することを可能にします。影響を受けるバージョンはXStream 1.4.10以下であり、バージョン1.4.11へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はXStreamライブラリを処理するアプリケーションに悪意のあるXMLまたはJSONペイロードを送信することで、サーバー上で任意のコードを実行できます。これにより、機密情報の窃取、システムの改ざん、さらには完全なシステム制御の奪取といった深刻な被害が発生する可能性があります。特に、XStreamライブラリをWebアプリケーションやAPIで使用している場合、外部からの入力データが適切に検証されていないと、攻撃の対象となりやすくなります。この脆弱性は、以前のCVE-2013-7285の回帰であるため、同様の攻撃手法が適用される可能性があります。

悪用の状況

CVE-2019-10173は、2019年7月26日に公開されました。この脆弱性に対するパブリックなProof-of-Concept（PoC）が公開されており、悪用される可能性が高いと考えられます。CISA KEVカタログへの登録状況は不明ですが、CVSSスコアがCRITICALであることから、攻撃者による悪用のリスクは高いと評価されます。

リスク対象者翻訳中…

Applications that utilize XStream for XML or JSON processing, particularly those handling untrusted input, are at risk. This includes web applications, enterprise Java applications, and any system where XStream is used to parse external data. Legacy applications using older XStream versions are particularly vulnerable.

検出手順翻訳中…

• java / server:

find / -name "xstream-1.4.10.jar" 2>/dev/null

• java / supply-chain: Check dependencies for XStream versions <= 1.4.10-java7 using Maven or Gradle dependency analysis tools. • java / server: Monitor application logs for deserialization errors or suspicious activity related to XML/JSON processing. • generic web: Examine web application request/response logs for XML/JSON payloads that might be attempting to exploit deserialization vulnerabilities.

攻撃タイムライン

2019-07-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

92.96% (100% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcom.thoughtworks.xstream:xstream

ベンダーosv

影響範囲修正版

fixed in 1.4.11 – fixed in 1.4.111.4.12

1.4.101.4.11

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2019-03-27
公開日2019-07-26
更新日2026-02-25
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、XStreamライブラリをバージョン1.4.11以上にアップデートすることが最も効果的です。アップデートが困難な場合は、セキュリティフレームワークの初期化を確実に行うことで、脆弱性の影響を軽減できます。また、入力データの検証を強化し、信頼できないソースからのXMLまたはJSONデータの処理を制限することも重要です。Webアプリケーションファイアウォール（WAF）やプロキシサーバーを使用して、悪意のあるペイロードをブロックすることも有効な手段となります。

修正方法

XStreamライブラリをバージョン1.4.11以降にアップデートしてください。これにより、リモートコマンド実行を可能にする可能性のある以前のデシリアライゼーションの脆弱性に関するリグレッションが修正されます。リスクを軽減するために、XStreamのセキュリティフレームワークを初期化するようにしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-10173 — 不安全なデシリアライゼーション in XStreamとは何ですか？