Java序列化库存在远程代码执行漏洞，建议立即升级

XStReaM 是一个用于 Java 对象与 XML 相互转换的常用工具。5 月 15 日，XStReaM 发布了安全更新，修复了多处反序列化相关漏洞。下文整理了漏洞要点。

漏洞详情

来源

CVE-2021-29505；严重程度：高

攻击者可以通过构造恶意的 XML 文档，绕过黑名单并触发反序列化，从而造成代码执行。实际利用取决于具体实现以及相关接口的请求，不能实现批量远程利用。

受影响的产品和版本

XStReaM 1.4.17 之前版本

解决方案

官方已发布安全更新，升级到 XStReaM 1.4.17 即可修复该漏洞，建议尽快完成升级。

如需了解更多漏洞信息及升级步骤，请参考官方安全公告的说明。

图片