发布日期：2021-03-15
更新日期：2021-03-23

受影响系统：

XStream XStream < 1.4.16

描述：

---

CVE(CAN) ID: CVE-2021-21349

XStream是XStream（Xstream）团队的一个轻量级的、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。
XStream 1.4.16之前版本存在服务器端请求伪造漏洞。攻击者可通过操纵已处理的输入流利用该漏洞从未公开可用的内部资源中请求数据。

<**>

建议：

---

厂商补丁：

XStream
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://x-stream.github.io/download.html
https://x-stream.github.io/security.html#workaround

浏览次数：1958
严重程度：0（网友投票）