XStream漏洞 - ShiftLeft


ThoughtWorks 的XStream是一个简单的库,用于序列化和反序列化 XML 和 JSON 格式的对象。与 JAXB (JSR-222) 和 Jackson 等替代 XML 序列化库相比,开发人员发现XStream 既轻巧又更易于集成到他们的应用程序和服务中。然而,这种简单性是以安全为代价的。直到最近,XStream 还没有默认启用安全功能。攻击者和安全研究人员经常找到利用 XStream 执行远程命令执行 (RCE)、拒绝服务 (DoS) 甚至盲服务器端请求伪造 (SSRF) 的应用程序的方法。这些可能会导致我们经常阅读的数据泄露、勒索软件甚至比特币挖掘。
更详细点击标题