跳转至

XStream 1.4.16 多个RCE(CVE-2021-21344~50)

  • CVE-2021-21344 XStream 任意代码执行
  • CVE-2021-21345 XStream 远程命令执行
  • CVE-2021-21346 XStream 任意代码执行
  • CVE-2021-21347 XStream 任意代码执行
  • CVE-2021-21348 XStream ReDos
  • CVE-2021-21349 XStream CSRF
  • CVE-2021-21350 XStream 任意代码执行

详情可以看:http://x-stream.github.io/security.html

PoC官网都有。

XStream<=1.4.15-反序列化-JNDI注入:https://mp.weixin.qq.com/s/qNNI3GIy71Z3b7TZiH49Gw