Plataforma
java
Componente
com.thoughtworks.xstream:xstream
Corrigido em
1.4.12
1.4.11
A vulnerabilidade CVE-2019-10173 afeta a biblioteca XStream, especificamente versões anteriores ou iguais a 1.4.10-java7. Esta falha de deserialização insegura permite que um atacante remoto execute comandos shell arbitrários no sistema vulnerável. A vulnerabilidade é uma regressão de um problema anterior (CVE-2013-7285) e ocorre quando o framework de segurança não é inicializado corretamente durante a deserialização de dados XML ou JSON. Uma correção foi lançada na versão 1.4.11.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante remoto a execução de código arbitrário no sistema onde a biblioteca XStream está sendo utilizada. Isso pode levar à tomada de controle completa do sistema, roubo de dados sensíveis, instalação de malware ou qualquer outra ação que o atacante desejar. O impacto é severo, pois a execução de código arbitrário permite a um atacante contornar as medidas de segurança existentes e comprometer a integridade e confidencialidade dos dados. A vulnerabilidade é particularmente preocupante em aplicações web que processam dados XML ou JSON de fontes não confiáveis, pois um atacante pode injetar dados maliciosos para acionar a execução de código.
A vulnerabilidade CVE-2019-10173 foi divulgada publicamente em 26 de julho de 2019. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um proof-of-concept público aumenta o risco de exploração. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação, mas a sua gravidade e a disponibilidade de um PoC indicam um risco potencial.
Applications that utilize XStream for XML or JSON processing, particularly those handling untrusted input, are at risk. This includes web applications, enterprise Java applications, and any system where XStream is used to parse external data. Legacy applications using older XStream versions are particularly vulnerable.
• java / server:
find / -name "xstream-1.4.10.jar" 2>/dev/null• java / supply-chain: Check dependencies for XStream versions <= 1.4.10-java7 using Maven or Gradle dependency analysis tools. • java / server: Monitor application logs for deserialization errors or suspicious activity related to XML/JSON processing. • generic web: Examine web application request/response logs for XML/JSON payloads that might be attempting to exploit deserialization vulnerabilities.
disclosure
Status do Exploit
EPSS
92.96% (percentil 100%)
Vetor CVSS
A mitigação primária para CVE-2019-10173 é atualizar a biblioteca XStream para a versão 1.4.11 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como a validação rigorosa de todos os dados XML/JSON antes da deserialização. Utilize um firewall de aplicação web (WAF) para bloquear solicitações maliciosas que tentem explorar a vulnerabilidade. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de execução de comandos não autorizados. Após a atualização, confirme a correção verificando se a deserialização de dados maliciosos não resulta mais na execução de código.
Atualize a biblioteca XStream para a versão 1.4.11 ou superior. Isso corrige uma regressão em uma vulnerabilidade de desserialização anterior que poderia permitir a execução remota de comandos. Certifique-se de inicializar o framework de segurança do XStream para mitigar o risco.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-10173 is a critical vulnerability in XStream versions up to 1.4.10-java7 that allows remote attackers to execute arbitrary shell commands through insecure deserialization of XML or JSON data.
You are affected if your application uses XStream version 1.4.10-java7 or earlier. Check your dependencies to confirm.
Upgrade to XStream version 1.4.11 or later to resolve this vulnerability. If upgrading is not possible, implement input validation and sanitization.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a potential target.
Refer to the XStream project's website and security advisories for the latest information: https://xstream.codehaus.org/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.