【漏洞详情】

XStream是常用的Java类库，用于将对象序列化为XML （JSON）或反序列化为对象。XStream官方披露1.4.10版本存在反序列化漏洞（CVE-2019-10173），当使用1.4.10版本且未对安全框架进行初始化时，远程攻击者即可通过精心构造的请求在Xstream服务器上执行任意代码。

【风险评级】

高危

【影响范围】

XStream < 1.4.11

【修复建议】

建议受影响用户综合评估漏洞风险和业务影响，可通过升级到XStream 1.4.11.1版本修复此漏洞，最新安全版本下载地址：http://x-stream.github.io/changes.html；

【参考链接】

https://github.com/fxdkyou/xstream_v1_4_9_security_issues

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2019年7月31日