一、漏洞简介

XStream是XStream（Xstream）团队的一个轻量级的、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。

XStream 1.4.14之前版本存在操作系统命令注入漏洞，该漏洞源于容易受到远程代码执行的攻击。攻击者可利用该漏洞仅通过操纵已处理的输入流来运行任意shell命令。只有依赖黑名单的用户才会受到影响。

参考链接：https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202011-1441

二、修复说明

@b@@b@漏洞版本：1.4.10 （xstream-1.4.10.jar）             @b@@b@修复说明：@b@@b@将 XStream 升级到 1.4.14 及以上版本，下载地址：http://x-stream.github.io/download.html