远程主机上安装的 xstream 版本低于 1.3.1-13。因此，它受到公告 ALAS2-2021-1645 中提及的多个漏洞影响。

  - XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的 Java 库。在 XStream 1.4.16 之前版本中有一个漏洞，远程攻击者可以仅通过操纵处理后的输入流来根据 CPU 类型或此类负载的并行执行，在目标系统上分配 100％ CPU 时间，从而导致拒绝服务。在设置 XStream 安全框架时按照建议将白名单限定为最低要求类型的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单，则必须至少使用 1.4.16 版本。
    (CVE-2021-21341)

  - XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的 Java 库。在 XStream 1.4.16 之前版本中有一个漏洞，解组时处理的流包含用于重新创建之前写入对象的类型信息。XStream 因此会根据这些类型信息创建新的实例。攻击者可操纵处理后的输入流，并替换或注入对象，进而删除本地主机上的文件。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单，则必须至少使用 1.4.16 版本。
    (CVE-2021-21343)

  - XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的 Java 库。XStream 1.4.16 之前的版本中存在一个漏洞，该漏洞可能允许远程攻击者仅通过操纵处理过的输入流便可从远程主机加载并执行任意代码。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单，则必须至少使用 1.4.16 版本。（CVE-2021-21344、CVE-2021-21346、CVE-2021-21347）

  - XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的 Java 库。XStream 1.4.16 之前的版本中存在一个漏洞，该漏洞可能允许权限充足的远程攻击者仅通过操纵处理过的输入流便可执行主机命令。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单，则必须至少使用 1.4.16 版本。(CVE-2021-21345)

  - XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的 Java 库。在 XStream 1.4.16 之前版本中有一个漏洞，允许远程攻击者占用消耗最大 CPU 时间且永远不会返回的线程。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单，则必须至少使用 1.4.16 版本。
    (CVE-2021-21348)

  - XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的 Java 库。在 XStream 1.4.16 版本中有一个漏洞，远程攻击者可利用此漏洞，仅通过操纵已处理的输入流，从非公开可获取的内部资源请求数据。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单，则必须至少使用 1.4.16 版本。(CVE-2021-21349)

  - XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的 Java 库。XStream 1.4.16 之前的版本中存在一个漏洞，该漏洞可能允许远程攻击者仅通过操纵处理过的输入流便可执行任意代码。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单，则必须至少使用 1.4.16 版本。
    (CVE-2021-21350)

  - XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的 Java 库。XStream 1.4.16 之前版本中有一个漏洞，远程攻击者仅通过操纵处理后的输入流便可从远程主机加载并执行任意代码。按照建议使用仅限最低所需类型的白名单来设置 XStream 安全框架的用户不会受到影响。如果依赖 XStream 安全框架的默认黑名单，则必须至少使用 1.4.16 版本。
    (CVE-2021-21351)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Amazon Linux 2：xstream (ALAS-2021-1645)

critical Nessus 插件 ID 149867

版本 1.6

版本 1.5

版本 1.4

版本 1.6 Jan 9, 2024, 3:00 PM Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202401091500
版本 1.5 Jan 9, 2024, 3:33 AM CVE (set "CVE" coverage to "CVE-2021-21341,CVE-2021-21343,CVE-2021-21344,CVE-2021-21345,CVE-2021-21346,CVE-2021-21347,CVE-2021-21348,CVE-2021-21349,CVE-2021-21350,CVE-2021-21351") CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Detection (updated detection logic) Exploit attributes ("Exploitability ease" changed from "Exploits are available" to "No known exploits are available") Plugin metadata Plugin Feed: 202401090333
版本 1.4 Dec 29, 2023, 4:38 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202312291638