一、漏洞简介

XStream是XStream（Xstream）团队的一个轻量级的、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。

XStream 1.4.14之前版本存在操作系统命令注入漏洞，该漏洞源于容易受到远程代码执行的攻击。攻击者可利用该漏洞仅通过操纵已处理的输入流来运行任意shell命令。只有依赖黑名单的用户才会受到影响。

参考链接：https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202011-1441

二、修复说明

版本比对：检查当前系统中XStream版本是否在受影响版本范围内@b@漏洞详情：- xstream@b@@b@当前安装版本：1.4.10@b@@b@应用相关信息：@b@@b@- 进程PID：9 @b@@b@- SpringBoot子包名称：xstream-1.4.10.jar@b@@b@该主机存在此漏洞@b@@b@@b@@b@将 XStream 升级到 1.4.14 及以上版本，下载地址：http://x-stream.github.io/download.html