关键信息 漏洞ID CVE-2021-39149 漏洞类型 任意代码执行漏洞 影响的版本 XStream 1.4.17 及之前版本 描述 XStream 在反序列化时,攻击者可以通过操纵输入流并替换或注入对象,导致从远程服务器加载的任意代码执行。 再现步骤 1. 创建一个简单的 并使用 XStream 将其序列化为 XML。 2. 替换 XML 为以下片段并再次进行反序列化。 影响 漏洞可能允许远程攻击者通过操纵处理的输入流来执行任意代码。 解决方法 参阅 workarounds 了解适用于不同版本的解决方法。