阿里云漏洞库

漏洞描述

XStream 是一个轻量级的、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。

在1.4.20之前的版本中存在栈缓冲区溢出漏洞，从而导致通过操纵已处理的输入流来造成拒绝服务。

在使用集合和映射的哈希码来实现强制递归哈希计算时，远程攻击者可以通过栈缓冲区溢出的错误来终止应用程序造成拒绝服务攻击。

通过在调用应用程序中捕获 StackOverflowError，可以避免此漏洞的这种影响。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/x-stream/xstream/security/advisories/GHSA-j563-grx4-pjpv
https://x-stream.github.io/CVE-2022-41966.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	xstream_project	xstream	*		Up to (excluding) 1.4.20
	运行在以下环境
	系统	amazon_2	xstream	*		Up to (excluding) 1.3.1-16.amzn2.0.1
	运行在以下环境
	系统	debian_10	libxstream-java	*		Up to (excluding) 1.4.11.1-1+deb10u4
	运行在以下环境
	系统	debian_11	libxstream-java	*		Up to (excluding) 1.4.15-3+deb11u2
	运行在以下环境
	系统	debian_12	libxstream-java	*		Up to (excluding) 1.4.20-1
	运行在以下环境
	系统	fedora_EPEL_8	xstream	*		Up to (excluding) 1.4.20-1.el8
	运行在以下环境
	系统	kylinos_aarch64_V10	xstream	*		Up to (excluding) 1.4.20-1.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10HPC	xstream	*		Up to (excluding) 1.4.20-1.ky10h
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	xstream	*		Up to (excluding) 1.4.20-1.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP3	xstream	*		Up to (excluding) 1.4.20-1.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP32309a	xstream	*		Up to (excluding) 1.4.20-1.ky10h
	运行在以下环境
	系统	kylinos_aarch64_V10SP32309b	xstream	*		Up to (excluding) 1.4.20-1.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP3	xstream	*		Up to (excluding) 1.4.20-1.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10	xstream	*		Up to (excluding) 1.4.20-1.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10HPC	xstream	*		Up to (excluding) 1.4.20-1.ky10h
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	xstream	*		Up to (excluding) 1.4.20-1.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP3	xstream	*		Up to (excluding) 1.4.20-1.ky10
	运行在以下环境
	系统	opensuse_Leap_15.4	xstream	*		Up to (excluding) 1.4.20-150200.3.25.1
	运行在以下环境
	系统	ubuntu_18.04	libxstream-java	*		Up to (excluding) 1.4.11.1-1+deb10u4build0.18.04.1
	运行在以下环境
	系统	ubuntu_20.04	libxstream-java	*		Up to (excluding) 1.4.11.1-1ubuntu0.3
	运行在以下环境
	系统	ubuntu_22.04	libxstream-java	*		Up to (excluding) 1.4.18-2ubuntu0.1
	运行在以下环境
	系统	ubuntu_22.10	libxstream-java	*		Up to (excluding) 1.4.19-1ubuntu0.1

攻击路径

N/A
攻击复杂度

N/A
权限要求

N/A
影响范围

N/A
EXP成熟度

N/A
补丁情况

N/A
数据保密性

N/A
数据完整性

N/A
服务器危害

N/A
全网数量

N/A

CWE-ID	漏洞类型
CWE-120	未进行输入大小检查的缓冲区拷贝（传统缓冲区溢出）
CWE-121	栈缓冲区溢出
CWE-502	可信数据的反序列化
CWE-674	未经控制的递归

低危 XStream < 1.4.20 栈缓冲区溢出漏洞

漏洞描述

解决建议

参考链接

受影响软件情况