北京赛克艾威科技有限公司 2022-02-01
XStream 是一个开源 java 库,用于将对象序列化为 XML 并再次序列化。 1.4.19 之前的版本可能允许远程攻击者根据 CPU 类型或此类负载的并行执行在目标系统上分配 100% 的 CPU 时间,从而仅通过操纵已处理的输入流来导致拒绝服务。 XStream 1.4.19 监控并累积将元素添加到集合所花费的时间,如果超过设定的阈值则抛出异常。 建议用户尽快升级。 无法升级的用户可以设置 NO\_REFERENCE 模式来防止递归。 如果无法升级,请参阅 GHSA\-rmr5\-cpv2\-vgjf 了解有关解决方法的更多详细信息。
暂无