XStream是XStream（Xstream）团队的一个轻量级的、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。 XStream是一个Java库，可以将对象序列化为XML，然后再序列化回来。在XStream 1.4.15之前的版本中，在解组时会激活服务器端伪造请求漏洞。该漏洞允许远程攻击者仅通过操纵已处理的输入流，从非公开的内部资源请求数据。如果依赖XStream的默认安全框架黑名单，则必须至少使用1.4.15版本。如果运行Java 15或更高版本，则报告的漏洞不存在。按照建议使用白名单设置XStream的安全框架的用户不会受到影响！任何依赖XStream默认黑名单的人都可以立即切换到允许类型的whilelist，以避免该漏洞。XStream 1.4.14或更低版本的用户如果仍然希望使用XStream默认黑名单，可以使用参考公告中更详细描述的解决方法。