检测

iracleLinux 7xstream-1.3.1-16.el7 (AXSA:2021-2499:04)

high Nessus 插件 ID 293843

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2021-2499:04 公告中提及的多个漏洞的影响。

 * xstream通过 Xalan xsltc.trax.TemplatesImpl 的不安全反序列化执行任意代码 (CVE-2021-39139)
 * xstream通过 com.sun.xml.internal.ws.client.sei.* 的不安全反序列化执行任意代码 (CVE-2021-39141)
 * xstream通过不安全的 sun.tracing 反序列化* 执行任意代码 (CVE-2021-39144)
 * xstream通过 com.sun.jndi.ldap.LdapBindingEnumeration 的不安全反序列化执行任意代码 (CVE-2021-39145)
 * xstream通过 javax.swing.UIDefaults 的不安全反序列化执行任意代码$ProxyLazyValue (CVE-2021-39146)
 * xstream通过 com.sun.jndi.ldap.LdapSearchEnumeration 的不安全反序列化执行任意代码 (CVE-2021-39147)
 * xstream通过 com.sun.jndi.toolkit.dir.ContextEnumerator 的不安全反序列化执行任意代码 (CVE-2021-39148)
 * xstream通过不安全的 com.sun.corba.* 反序列化执行任意代码 (CVE-2021-39149)
 * xstream通过不安全的 com.sun.xml.internal.ws.client.sei.* 反序列化造成的服务器端请求伪造 (SSRF) (CVE-2021-39150)
 * xstream通过 com.sun.jndi.ldap.LdapBindingEnumeration 的不安全反序列化执行任意代码 (CVE-2021-39151)
 * xstream通过不安全反序列化 jdk.nashorn.internal.runtime.Source 的服务器端请求伪造 (SSRF)$URLData (CVE-2021-39152)
 * xstream通过 Xalan xsltc.trax.TemplatesImpl 的不安全反序列化执行任意代码 (CVE-2021-39153)
 * xstream通过 javax.swing.UIDefaults 的不安全反序列化执行任意代码$ProxyLazyValue (CVE-2021-39154)
 * xstream通过不安全的 sun.reflect.annotation.AnnotationInvocationHandler 反序列化造成无限循环 DoS (CVE-2021-39140)

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 xstream 程序包。

另见

https://tsn.miraclelinux.com/en/node/13681

插件详情

严重性: High

ID: 293843

文件名: miracle_linux_AXSA-2021-2499.nasl

版本: 1.3

类型: Local

发布时间: 2026/1/20

最近更新时间: 2026/2/4

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.9

Vendor

Vendor Severity: High

CVSS v2

风险因素: Medium

基本分数: 6.5

时间分数: 5.4

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 分数来源: CVE-2021-39139

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 8.2

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

漏洞信息

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:xstream

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2021/10/25

漏洞发布日期: 2021/8/23

CISA 已知可遭利用的漏洞到期日期: 2023/3/31

可利用的方式

Core Impact

Metasploit (VMware NSX Manager XStream unauthenticated RCE)

参考资料信息

CVE: CVE-2021-39139, CVE-2021-39140, CVE-2021-39141, CVE-2021-39144, CVE-2021-39145, CVE-2021-39146, CVE-2021-39147, CVE-2021-39148, CVE-2021-39149, CVE-2021-39150, CVE-2021-39151, CVE-2021-39152, CVE-2021-39153, CVE-2021-39154