黑客qq:Xstream长途代码履行缝隙 一、前语

XStream是常用的Java类库，用来将目标序列化成XML （ *** ON）或反序列化为目标。

二、缝隙简介

Xstream 1.4.10版别存在反序列化缝隙CVE-2013-7285补丁绕过。

三、缝隙损害

经斗象安全应急呼应团队分析, 当运用Xstream 1.4.10版别且未对安全结构进行初始化时，攻击者即可经过精心结构的恳求包在运用Xstream的服务器上进行远程代码履行。

四、影响规模

产品

Xstream

版别

Xstream1.4.10版别

组件

Xstream

五、缝隙复现

暂无

六、修正计划

晋级Xstream到1.4.11版别

七、参阅

http://x-stream.github.io/changes.html#1.4.11

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10173

以上是本次高危缝隙预警的相关信息，如有任