nvd
Xstream
Уязвимости
37
Эксплуатируемые
1
Критический
2
Высокий
27
Топ продуктов
Топ уязвимостей
CVE-2013-7285Версии Xstream API до 1.4.6 и версия 1.4.10, если платформа безопасности не была инициализирована, могут позволить удаленному злоумышленнику выполнять произвольные команды оболочки, манипулируя обработанным входным потоком при демаршалинге XML или любого поддерживаемого формата, например JSON.
CVE-2020-26217XStream до версии 1.4.14 уязвим для удаленного выполнения кода. Уязвимость может позволить удаленному злоумышленнику запускать произвольные команды оболочки только путем манипулирования обработанным входным потоком. Затронуты только пользователи, которые полагаются на черные списки. Все, кто использует список разрешений Security Framework XStream, не затронуты. В связанной консультации представлены обходные пути для пользователей, которые не могут выполнить обновление. Проблема исправлена в версии 1.4.14.
CVE-2021-39154XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста, просто манипулируя обработанным входным потоком. Ни один пользователь не пострадал, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, поскольку он не может быть защищен для общего использования.
CVE-2021-39153XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком, если используется версия "из коробки" с Java runtime версии от 14 до 8 или с установленным JavaFX. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-39152XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику запрашивать данные из внутренних ресурсов, которые не являются общедоступными, только путем манипулирования обработанным входным потоком с Java runtime версии от 14 до 8. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. Если вы полагаетесь на черный список XStream по умолчанию из [Security Framework](https://x-stream.github.io/security.html#framework), вам необходимо использовать как минимум версию 1.4.18.
CVE-2021-39151XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-39150XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику запрашивать данные из внутренних ресурсов, которые не являются общедоступными, только путем манипулирования обработанным входным потоком с Java runtime версии от 14 до 8. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. Если вы полагаетесь на черный список XStream по умолчанию из [Security Framework](https://x-stream.github.io/security.html#framework), вам необходимо использовать как минимум версию 1.4.18.
CVE-2021-39149XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-39148XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-39147XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-39146XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-39145XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-39144XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику, имеющему достаточные права, выполнять команды хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-39141XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-39139XStream - это простая библиотека для сериализации объектов в XML и обратно. В уязвимых версиях эта уязвимость может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Пользователь подвержен уязвимости, только если использует версию "из коробки" с JDK 1.7u21 или ниже. Однако этот сценарий можно легко настроить для внешнего Xalan, который работает независимо от версии Java runtime. Ни один пользователь не подвержен уязвимости, если он следовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. XStream 1.4.18 больше не использует черный список по умолчанию, так как он не может быть защищен для общего использования.
CVE-2021-21345XStream - это Java-библиотека для сериализации объектов в XML и обратно. В XStream до версии 1.4.16 существует уязвимость, которая может позволить удаленному злоумышленнику, имеющему достаточные права для выполнения команд хоста, только путем манипулирования обработанным входным потоком. Ни один пользователь не пострадает, если он последовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. Если вы полагаетесь на черный список XStream по умолчанию в системе безопасности, вам необходимо использовать как минимум версию 1.4.16.
CVE-2021-21350XStream - это Java-библиотека для сериализации объектов в XML и обратно. В XStream до версии 1.4.16 существует уязвимость, которая может позволить удаленному злоумышленнику выполнять произвольный код только путем манипулирования обработанным входным потоком. Ни один пользователь не пострадает, если он последовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. Если вы полагаетесь на черный список XStream по умолчанию в системе безопасности, вам необходимо использовать как минимум версию 1.4.16.
CVE-2021-21347XStream - это Java-библиотека для сериализации объектов в XML и обратно. В XStream до версии 1.4.16 существует уязвимость, которая может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не пострадает, если он последовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. Если вы полагаетесь на черный список XStream по умолчанию в системе безопасности, вам необходимо использовать как минимум версию 1.4.16.
CVE-2021-21346XStream - это Java-библиотека для сериализации объектов в XML и обратно. В XStream до версии 1.4.16 существует уязвимость, которая может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не пострадает, если он последовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. Если вы полагаетесь на черный список XStream по умолчанию в системе безопасности, вам необходимо использовать как минимум версию 1.4.16.
CVE-2021-21351XStream - это Java-библиотека для сериализации объектов в XML и обратно. В XStream до версии 1.4.16 существует уязвимость, которая может позволить удаленному злоумышленнику загружать и выполнять произвольный код с удаленного хоста только путем манипулирования обработанным входным потоком. Ни один пользователь не пострадает, если он последовал рекомендации по настройке системы безопасности XStream с белым списком, ограниченным минимально необходимыми типами. Если вы полагаетесь на черный список XStream по умолчанию в системе безопасности, вам необходимо использовать как минимум версию 1.4.16.
CVE-2020-26258XStream - это Java-библиотека для сериализации объектов в XML и обратно. В XStream до версии 1.4.15 уязвимость Server-Side Forgery Request может быть активирована при демаршалинге. Уязвимость может позволить удаленному злоумышленнику запрашивать данные из внутренних ресурсов, которые не являются общедоступными, только путем манипулирования обработанным входным потоком. Если вы полагаетесь на черный список XStream по умолчанию в Security Framework, вам необходимо использовать как минимум версию 1.4.15. Сообщаемая уязвимость не существует при использовании Java 15 или более поздней версии. Ни один пользователь не пострадал, если он следовал рекомендации по настройке Security Framework XStream с использованием белого списка! Любой, кто полагается на черный список XStream по умолчанию, может немедленно переключиться на белый список для разрешенных типов, чтобы избежать уязвимости. Пользователи XStream 1.4.14 или более ранних версий, которые все еще хотят использовать черный список XStream по умолчанию, могут использовать обходной путь, более подробно описанный в указанных рекомендациях.
CVE-2022-41966XStream выполняет сериализацию объектов Java в XML и обратно. Версии до 1.4.20 могут позволить удаленному злоумышленнику завершить работу приложения с ошибкой переполнения стека, что приведет к отказу в обслуживании только путем манипулирования обрабатываемым входным потоком. Атака использует реализацию хеш-кода для коллекций и карт, чтобы принудительно выполнить рекурсивное вычисление хеша, вызывая переполнение стека. Эта проблема исправлена в версии 1.4.20, которая обрабатывает переполнение стека и вместо этого вызывает InputManipulationException. Потенциальным обходным путем для пользователей, которые используют только HashMap или HashSet и чей XML относится к ним только как к карте или набору по умолчанию, является изменение реализации java.util.Map и java.util по умолчанию в соответствии с примером кода в указанном совете. Однако это подразумевает, что ваше приложение не заботится о реализации карты и все элементы сопоставимы.
CVE-2022-40152Те, кто использует Woodstox для анализа XML-данных, могут быть уязвимы для атак типа "отказ в обслуживании" (DOS), если включена поддержка DTD. Если анализатор работает с пользовательским вводом, злоумышленник может предоставить контент, который приводит к сбою анализатора из-за переполнения стека. Этот эффект может поддерживать атаку типа "отказ в обслуживании".
CVE-2022-40151Те, кто использует Xstream для сериализации XML-данных, могут быть уязвимы для атак типа "отказ в обслуживании" (DOS). Если анализатор работает с пользовательским вводом, злоумышленник может предоставить контент, который приводит к сбою анализатора из-за переполнения стека. Этот эффект может поддерживать атаку типа "отказ в обслуживании".
CVE-2021-43859XStream — это библиотека Java с открытым исходным кодом для сериализации объектов в XML и обратно. Версии до 1.4.19 могут позволить удаленному злоумышленнику выделить 100% времени ЦП в целевой системе в зависимости от типа ЦП или параллельного выполнения такой полезной нагрузки, что приведет к отказу в обслуживании только путем манипулирования обработанным входным потоком. XStream 1.4.19 отслеживает и накапливает время, необходимое для добавления элементов в коллекции, и выдает исключение, если превышен установленный порог. Пользователям рекомендуется выполнить обновление как можно скорее. Пользователи, не имеющие возможности выполнить обновление, могут установить режим NO_REFERENCE, чтобы предотвратить рекурсию. Дополнительные сведения об обходном пути, если обновление невозможно, см. в GHSA-rmr5-cpv2-vgjf.