漏洞詳情

XStream 是一個常用的 Java 對象和 XML 相互轉換的工具。近日 XStream 官方發(fā)布安全更新，修復了高危和嚴重漏洞如下：

Version 1.4.17

CVE-2021-39139 任意代碼執(zhí)行漏洞

CVE-2021-39140 可能導致拒絕服務

CVE-2021-39141 任意代碼執(zhí)行漏洞

CVE-2021-39144 遠程命令執(zhí)行漏洞

CVE-2021-39145 任意代碼執(zhí)行漏洞

CVE-2021-39146 任意代碼執(zhí)行漏洞

CVE-2021-39147 任意代碼執(zhí)行漏洞

CVE-2021-39148 任意代碼執(zhí)行漏洞

CVE-2021-39149 任意代碼執(zhí)行漏洞

CVE-2021-39150 SSRF漏洞（服務端請求偽造漏洞）

CVE-2021-39151 任意代碼執(zhí)行漏洞

CVE-2021-39152 SSRF漏洞（服務端請求偽造漏洞）

CVE-2021-39153 任意代碼執(zhí)行漏洞

CVE-2021-39154 任意代碼執(zhí)行漏洞

打算把 XStream升級到1.4.18

下載鏈接

http://x-stream.github.io/download.html

在idea中全文件搜索xstream中沒有搜索到，可以在 idea tearminal 中執(zhí)行命令，查找對應的依賴

```bash

mvn dependency:tree

```

我這邊是根據(jù)阿里云漏洞提示的微服務模塊，去對應的 pom下，利用 maven helper 插件查找到的，spring-cloud-starter-eureka依賴下的子依賴 XStream

<dependency>

? ? ? ? ? ? <groupId>org.springframework.cloud</groupId>

? ? ? ? ? ? <artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>

? ? ? ? ? ? <exclusions>

? ? ? ? ? ? ? ? <exclusion>

? ? ? ? ? ? ? ? ? ? <groupId>com.thoughtworks.xstream</groupId>

? ? ? ? ? ? ? ? ? ? <artifactId>xstream</artifactId>

? ? ? ? ? ? ? ? </exclusion>

? ? ? ? ? ? </exclusions>

? ? ? ? </dependency>

這里我們在這邊利用 exclusion 排除 spring-cloud-starter-netflix-eureka-client 的子依賴，然后再單獨引入下即可

? ?<dependency>

? ? ? ? ? ? <groupId>com.thoughtworks.xstream</groupId>

? ? ? ? ? ? <artifactId>xstream</artifactId>

? ? ? ? ? ? <version>1.4.19</version>

? ?</dependency>

重新打包上傳，完美解決