2021年8月23日，武漢雲之巅應急響應中心監測到 XStream 官方發(fā)布安全公告，披露多個反序列化遠程代碼執行漏洞（CVE-2021-39139 等）。 漏洞描述 XStream是一個常用的Java對(duì)象和XML相互轉換的工具。2021年8月23日 XStream官方發(fā)布安全更新，修複了多個XStream 反序列化漏洞。攻擊者通過(guò)構造惡意的XML文檔，可繞過(guò)XStream的黑名單，觸發(fā)反序列化，從而造成(chéng) 反序列化代碼執行漏洞（CVE-2021-39139等）等。實際漏洞利用依賴于具體代碼實現以…