漏洞预警丨Xstream远程代码执行漏洞

2019 年 7 月 25 日 FreeBuf

一、前言

XStream是常用的Java类库，用来将对象序列化成XML （JSON）或反序列化为对象。

二、漏洞简介

Xstream 1.4.10版本存在反序列化漏洞CVE-2013-7285补丁绕过。

三、漏洞危害

经斗象安全应急响应团队分析, 当使用Xstream 1.4.10版本且未对安全框架进行初始化时，攻击者即可通过精心构造的请求包在使用Xstream的服务器上进行远程代码执行。

四、影响范围

产品

Xstream

版本

Xstream1.4.10版本

组件

Xstream

五、漏洞复现

暂无

六、修复方案

升级Xstream到1.4.11版本

七、参考

http://x-stream.github.io/changes.html#1.4.11

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10173

以上是本次高危漏洞预警的相关信息，如有任何疑问或需要更多支持，可通过以下方式与我们取得联系。

联系电话：400-156-9866

Email：help@tophant.com

斗象安全应急响应团队

2019年7月25日

精彩推荐

登录查看更多

相关内容

序列化

关注 2

序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。

【实用书】学习用Python编写代码进行数据分析，103页pdf

专知会员服务

190+阅读 · 2020年6月29日

【新书】人工智能Python代码，227页pdf，Python code for Artificial Intelligence: Foundations of Computational Agents

专知会员服务

96+阅读 · 2020年6月21日

【斯坦福CS520】向量空间中嵌入的知识图谱推理，48页ppt

专知会员服务

98+阅读 · 2020年6月11日

【经典书】Effective Python: 编写高质量 Python 代码的 59 个有效方法,610页pdf

专知会员服务

141+阅读 · 2020年3月20日

深度学习用于新冠肺炎CT诊断表现如何？武大人民医院medRxiv论文揭示：诊断性能比肩医师，而用时少，大有可为

专知会员服务

25+阅读 · 2020年2月29日

近期必读的7篇 CVPR 2019【视觉问答】相关论文和代码

专知会员服务

34+阅读 · 2020年1月10日

近期必读的10篇【可解释性】相关论文和代码（AAAI、CVPR、WSDM）

专知会员服务

56+阅读 · 2020年1月10日

必读的10篇 CVPR 2019【生成对抗网络】相关论文和代码

专知会员服务

31+阅读 · 2020年1月10日

近期必读的5篇 CVPR 2019【图卷积网络】相关论文和代码

专知会员服务

32+阅读 · 2020年1月10日

近期必读的10篇ACL 2019【图神经网络（GNN）+NLP】相关论文和代码

专知会员服务

70+阅读 · 2020年1月10日

实战 | 基于KerasConv1D心电图检测开源教程（附代码）

AI100

7+阅读 · 2019年6月9日

Kali Linux 渗透测试：密码攻击

计算机与网络安全

15+阅读 · 2019年5月13日

Pupy – 全平台远程控制工具

黑白之道

43+阅读 · 2019年4月26日

“黑客”入门学习之“windows系统漏洞详解”

安全优佳

8+阅读 · 2019年4月17日

Linux挖矿病毒的清除与分析

FreeBuf

14+阅读 · 2019年4月15日

基于Web页面验证码机制漏洞的检测

FreeBuf

7+阅读 · 2019年3月15日

百度开源项目OpenRASP快速上手指南

黑客技术与网络安全

5+阅读 · 2019年2月12日

如何用GitLab本地私有化部署代码库？

Python程序员

9+阅读 · 2018年12月29日

CVE-2018-7600 - Drupal 7.x 远程代码执行exp

黑客工具箱

14+阅读 · 2018年4月17日

TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞

DeepTech深科技

6+阅读 · 2017年12月3日

KGAT: Knowledge Graph Attention Network for Recommendation

Arxiv

40+阅读 · 2019年5月20日

Factor Graph Attention

Arxiv

6+阅读 · 2019年4月11日

Class-Balanced Loss Based on Effective Number of Samples

Arxiv

12+阅读 · 2019年1月16日

Interpretable machine learning: definitions, methods, and applications

Arxiv

17+阅读 · 2019年1月14日

Attentive Convolution: Equipping CNNs with RNN-style Attention Mechanisms

Arxiv

3+阅读 · 2018年11月13日

A Fully Convolutional Two-Stream Fusion Network for Interactive Image Segmentation

Arxiv

5+阅读 · 2018年7月6日

A Sentiment Analysis of Breast Cancer Treatment Experiences and Healthcare Perceptions Across Twitter

Arxiv

4+阅读 · 2018年5月25日

Viscovery: Trend Tracking in Opinion Forums based on Dynamic Topic Models

Arxiv

5+阅读 · 2018年5月1日

Visual Question Reasoning on General Dependency Tree

Arxiv

6+阅读 · 2018年3月31日

Robust event-stream pattern tracking based on correlative filter

Arxiv

9+阅读 · 2018年3月17日