Куда я попал?
CVE-2021-39144
PUBLISHED
06.02.2025
CNA: GitHub_M
XStream is vulnerable to a Remote Command Execution attack
Обновлено:
15.11.2022
XStream is a simple library to serialize objects to XML and back again. In affected versions this vulnerability may allow a remote attacker has sufficient rights to execute commands of the host only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's security framework with a whitelist limited to the minimal required types. XStream 1.4.18 uses no longer a blacklist by default, since it cannot be secured for general purpose.
CWE
| Идентификатор | Описание |
|---|---|
| CWE-502 | Десериализация недоверенных данных |
| CWE-94 | Некорректное управление генерированием кода (внедрение кода) |
БДУ ФСТЭК
| Идентификатор | Описание |
|---|---|
| BDU:2022-06488 | Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation, позволяющая нарушителю выполнить произвольный код с root-привилегиями |
CVSS
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 8.5 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
Доп. Информация
Product Status
| xstream | |||||
|---|---|---|---|---|---|
| Product: | xstream | ||||
| Vendor: | x-stream | ||||
| Default status: | Не определен | ||||
| Версии: |
|
||||
Ссылки
CVE Program Container
Обновлено:
04.08.2024
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.
Ссылки
CISA ADP Vulnrichment
Обновлено:
06.02.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.
SSVC
| Exploitation | Automatable | Technical Impact | Версия | Дата доступа |
|---|---|---|---|---|
| active | no | total | 2.0.3 | 06.02.2025 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.