Platform
java
Component
com.thoughtworks.xstream:xstream
Opgelost in
1.4.12
1.4.11
CVE-2019-10173 beschrijft een regressie in de XStream API, een Java bibliotheek voor object-serialisatie en -deserialisatie. Deze kwetsbaarheid maakt het mogelijk voor een externe aanvaller om willekeurige shell commando's uit te voeren. De kwetsbaarheid treedt op wanneer de beveiligingsframework niet is geïnitialiseerd tijdens het unmarshallen van XML of JSON. Deze kwetsbaarheid treft versies van XStream tot en met 1.4.10-java7 en is verholpen in versie 1.4.11.
Een succesvolle exploitatie van CVE-2019-10173 kan leiden tot volledige controle over het getroffen systeem. De aanvaller kan willekeurige code uitvoeren met de privileges van de applicatie die XStream gebruikt. Dit kan resulteren in data-exfiltratie, systeemcompromittering en verdere aanvallen op andere systemen binnen het netwerk. De kwetsbaarheid is vergelijkbaar met eerdere insecure deserialization kwetsbaarheden, zoals CVE-2013-7285, en kan worden gebruikt voor remote code execution (RCE). De impact is significant, vooral in omgevingen waar XStream wordt gebruikt voor het verwerken van data van onbetrouwbare bronnen.
CVE-2019-10173 werd publiekelijk bekendgemaakt op 26 juli 2019. Er zijn openbaar beschikbare proof-of-concept exploits voor deze kwetsbaarheid. De kwetsbaarheid heeft een hoge waarschijnlijkheid van exploitatie vanwege de eenvoud van de exploitatie en de wijdverspreide inzet van XStream. Het is belangrijk om deze kwetsbaarheid zo snel mogelijk te patchen om verdere exploitatie te voorkomen.
Applications that utilize XStream for XML or JSON processing, particularly those handling untrusted input, are at risk. This includes web applications, enterprise Java applications, and any system where XStream is used to parse external data. Legacy applications using older XStream versions are particularly vulnerable.
• java / server:
find / -name "xstream-1.4.10.jar" 2>/dev/null• java / supply-chain: Check dependencies for XStream versions <= 1.4.10-java7 using Maven or Gradle dependency analysis tools. • java / server: Monitor application logs for deserialization errors or suspicious activity related to XML/JSON processing. • generic web: Examine web application request/response logs for XML/JSON payloads that might be attempting to exploit deserialization vulnerabilities.
disclosure
Exploit Status
EPSS
92.96% (100% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2019-10173 is het upgraden naar XStream versie 1.4.11 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om kwaadaardige XML of JSON payloads te blokkeren. Configureer de XStream security framework correct door de security.whitelist optie te gebruiken om alleen bekende en veilige klassen toe te staan voor deserialisatie. Monitor logbestanden op verdachte deserialisatie pogingen. Na de upgrade, bevestig de correcte werking door een test XML of JSON bestand te unmarshallen en te controleren of er geen foutmeldingen of onverwacht gedrag optreedt.
Werk de XStream bibliotheek bij naar versie 1.4.11 of hoger. Dit corrigeert een regressie in een eerdere deserialisatie kwetsbaarheid die de remote uitvoering van commando's mogelijk kan maken. Zorg ervoor dat het XStream beveiligingsframework is geïnitialiseerd om het risico te mitigeren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-10173 is a critical vulnerability in XStream versions up to 1.4.10-java7 that allows remote attackers to execute arbitrary shell commands through insecure deserialization of XML or JSON data.
You are affected if your application uses XStream version 1.4.10-java7 or earlier. Check your dependencies to confirm.
Upgrade to XStream version 1.4.11 or later to resolve this vulnerability. If upgrading is not possible, implement input validation and sanitization.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the XStream project's website and security advisories for the latest information: https://xstream.codehaus.org/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.