【漏洞详情】

XStream是一个常用的Java对象和XML相互转换的工具。近期XStream官方发布重要安全更新，修复了14个安全漏洞，通过这些漏洞，攻击者构造特定的XML数据，可以绕过XStream的黑名单拦截，最终仅需依赖JDK库即可触发反序列化造成任意代码执行。目前XStream官方已将1.4.18版本修改成白名单过滤方式，平安云安全中心提醒 XStream 用户尽快采取安全措施阻止漏洞攻击。

【风险评级】

高危

【影响范围】

XStream version <= 1.4.17 

【修复建议】

建议受影响的用户结合实际业务评估漏洞风险影响，可通过如下方案避免安全风险：

1) 升级到最新版本-1.4.18

https://x-stream.github.io/news.html
历史上XStream多次出现严重漏洞，仅依赖JDK库绕过黑名单就有多例，依赖第三方库进行绕过黑名单的方法更多，而且新的反序列化攻击链不断被挖掘出来，黑名单不断被绕过，建议务必升级到默认采用白名单过滤方式的最新版本。

2) 低版本的缓解方案

如果由于业务特殊情况无法升级到最新版本，低版本可使用以下缓解方案进行加固

https://x-stream.github.io/security.html#example

【参考链接】 

https://x-stream.github.io/news.html

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安金融云

2021年8月23日