平台
java
组件
com.thoughtworks.xstream:xstream
修复版本
1.4.12
1.4.11
CVE-2019-10173 是 com.thoughtworks.xstream:xstream 组件中的一个序列化漏洞。该漏洞允许远程攻击者在安全框架未初始化的情况下,通过反序列化 XML 或 JSON 数据执行任意 shell 命令。该漏洞影响 XStream 版本小于或等于 1.4.10-java7。建议立即升级至 1.4.11 版本以修复此安全问题。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞在受影响的系统上执行任意代码,从而完全控制系统。攻击者可以窃取敏感数据、安装恶意软件或进行其他恶意活动。由于 XStream 广泛应用于 Java 应用程序中,因此该漏洞可能影响大量系统。该漏洞本质上是先前 CVE-2013-7285 的回归,表明该问题可能长期存在,且可能被攻击者积极利用。
该漏洞已公开披露,并且存在公开的 PoC 代码。由于漏洞的严重性和易于利用,攻击者可能正在积极利用此漏洞。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的风险。NVD 和 CISA 都已发布相关公告,详细说明了该漏洞及其影响。
Applications that utilize XStream for XML or JSON processing, particularly those handling untrusted input, are at risk. This includes web applications, enterprise Java applications, and any system where XStream is used to parse external data. Legacy applications using older XStream versions are particularly vulnerable.
• java / server:
find / -name "xstream-1.4.10.jar" 2>/dev/null• java / supply-chain: Check dependencies for XStream versions <= 1.4.10-java7 using Maven or Gradle dependency analysis tools. • java / server: Monitor application logs for deserialization errors or suspicious activity related to XML/JSON processing. • generic web: Examine web application request/response logs for XML/JSON payloads that might be attempting to exploit deserialization vulnerabilities.
disclosure
漏洞利用状态
EPSS
92.96% (100% 百分位)
CVSS 向量
最有效的缓解措施是立即将 XStream 升级至 1.4.11 或更高版本。如果升级不可行,可以考虑使用 Web 应用程序防火墙 (WAF) 或代理服务器来过滤恶意 XML 或 JSON 数据。此外,确保安全框架已正确初始化,以防止攻击者利用序列化漏洞。在升级后,请验证修复是否成功,例如通过尝试反序列化已知安全的数据。
将 XStream 库升级到 1.4.11 或更高版本。这修复了先前反序列化漏洞的回归,该漏洞可能允许远程命令执行。确保初始化 XStream 的安全框架以降低风险。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2019-10173 是 com.thoughtworks.xstream:xstream 组件中的一个序列化漏洞,允许攻击者执行任意 shell 命令。CVSS 评分为 9.8 (严重)。
如果您的应用程序使用 XStream 版本小于或等于 1.4.10-java7,则可能受到影响。
请立即将 XStream 升级至 1.4.11 或更高版本。
由于漏洞的严重性和易于利用,攻击者可能正在积极利用此漏洞。
请访问 XStream 官方网站或查看相关的安全公告。
上传你的 pom.xml 文件,立即知道是否受影响。