2021年8月23日，武漢雲之巅應急響應中心監測到 XStream 官方發(fā)布安全公告，披露多個反序列化遠程代碼執行漏洞（CVE-2021-39139 等）。 漏洞描述 XStream是一個常用的Java對(duì)象和XML相互轉換的工具。2021年8月23日 XStream官方發(fā)布安全更新，修複了多個XStream 反序列化漏洞。攻擊者通過(guò)構造惡意的XML文檔，可繞過(guò)XStream的黑名單，觸發(fā)反序列化，從而造成(chéng) 反序列化代碼執行漏洞（CVE-2021-39139等）等。實際漏洞利用依賴于具體代碼實現以…

Apache Dubbo是一款應用廣泛的Java RPC分布式服務框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一個反序列化遠程代碼執行漏洞（CVE-2020-1948），攻擊者可以構造并發(fā)送帶有惡意參數負載的RPC請求，當惡意參數被(bèi)反序列化時將(jiāng)導緻遠程代碼執行。武漢雲之巅提醒Apache Dubbo用戶盡快采取安全措施阻止漏洞攻擊。