0x00 漏洞概述
CVE ID | CVE-2022-41966 | 發現時間 | 2022-12-28 |
類 型 | 堆疊溢出 | 等 級 | 高危 |
遠端利用 | 是 | 所需許可權 | 無 |
攻擊複雜度 | 低 | 使用者互動 | 無 |
PoC/EXP | 在野利用 |
0x01 漏洞詳情
XStream是一個Java對象和XML相互轉換的工具,可以將Java對象序列化成XML (JSON)或將XML反序列化為對象。
12月24日,XStream官方發佈安全公告,修復了XStream中的一個拒絕服務漏洞(CVE-2022-41966),該漏洞的CVSSv3評分為8.2。
XStream版本1.4.20之前,可以通過注入遞迴集合或基於元素的哈希值對映來引起堆疊溢出,從而導致拒絕服務。
影響範圍
XStream 版本 < 1.4.20
0x02 安全建議
目前該漏洞已經修復,受影響使用者可升級到XStream 1.4.20或更高版本。
下載連結:
https://x-stream.github.io/download.html
0x03 參考連結
https://github.com/x-stream/xstream/security/advisories/GHSA-j563-grx4-pjpv
https://x-stream.github.io/CVE-2022-41966.html
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-12-29 | 首次發佈 |
