2024年12月25日,网上更新披露了XStream 拒绝服务漏洞(CVE-2021-43859)。
漏洞描述:XStream 是一个开源的 java 库,用于将对象序列化为 XML,然后再序列化回来。1.4.19 之前的版本可能允许远程攻击者根据 CPU 类型在目标系统上分配 100% 的 CPU 时间,或并行执行此类负载,从而仅通过操纵已处理的输入流来拒绝服务。XStream 1.4.19 会监控并累积将元素添加到集合所需的时间,如果超过设定的阈值,则会引发异常。建议用户尽快升级。无法升级的用户可以设置 NO_REFERENCE 模式以防止递归。请参阅 GHSA-rmr5-cpv2-vgjf ,了解有关无法升级时的解决方法的更多详细信息。
影响范围:
XStream版本 <1.4.18
风险等级:高危
修复方案:
强烈建议企业和用户更新系统
进行安全更新方法:
https://x-stream.github.io/CVE-2021-43859.html
