CVE-2024-47072丨XStream BinaryStreamDriver 栈溢出致拒绝服务漏洞

2024年11月11日 198点热度 0人点赞 0条评论

CVE编号

CVE-2024-47072

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-08

XStream是一个用来将对象序列化成XML （JSON）或反序列化为对象的Java类库。

受影响版本中，如配置使用 BinaryStreamDriver 优化序列化对象的二进制数据流，在反序列化过程中，采用简单递归方式来读取数据流中的映射标记。攻击者可通过输入恶意二进制流触发无限递归，导致栈溢出并造成服务拒绝。

修复版本中，通过检测二进制输入流中的操控特征并在发现异常时抛出 InputManipulationException 以修复漏洞。

"将组件 com.thoughtworks.xstream:xstream 升级至 1.4.21 及以上版本"

参考链接
https://github.com/x-stream/xstream/commit/bb838ce2269cac47433e31c77b2b236466e9f266
https://github.com/x-stream/xstream/security/advisories/GHSA-hfq9-hggm-c56q
https://x-stream.github.io/CVE-2024-47072.html