Vulnerabilidad en Xstream (CVE-2021-43859)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
01/02/2022
Última modificación:
23/05/2025
Descripción
XStream es una biblioteca java de código abierto para serializar objetos a XML y viceversa. Las versiones anteriores a 1.4.19, pueden permitir a un atacante remoto asignar el 100% del tiempo de la CPU en el sistema de destino, dependiendo del tipo de CPU o de la ejecución en paralelo de dicha carga útil, resultando en una denegación de servicio únicamente mediante la manipulación del flujo de entrada procesado. XStream versión 1.4.19 monitoriza y acumula el tiempo que tarda en añadir elementos a las colecciones y lanza una excepción si es superado un umbral establecido. Se recomienda a usuarios que actualicen lo antes posible. Los usuarios que no puedan actualizar pueden establecer el modo NO_REFERENCE para impedir una recursión. Ver GHSA-rmr5-cpv2-vgjf para más detalles sobre una medida de mitigación adicional si una actualización no es posible
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:jenkins:jenkins:*:*:*:*:*:*:*:* | 2.319.3 (excluyendo) | |
| cpe:2.3:a:jenkins:jenkins:*:*:*:*:*:*:*:* | 2.321 (incluyendo) | 2.334 (excluyendo) |
| cpe:2.3:a:xstream:xstream:*:*:*:*:*:*:*:* | 1.4.19 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:commerce_guided_search:11.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_brm_-_elastic_charging_engine:*:*:*:*:*:*:*:* | 12.0.0.4.6 (excluyendo) | |
| cpe:2.3:a:oracle:communications_brm_-_elastic_charging_engine:12.0.0.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_cloud_native_core_automated_test_suite:1.9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_diameter_intelligence_hub:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.1.0 (incluyendo) |
| cpe:2.3:a:oracle:communications_diameter_intelligence_hub:*:*:*:*:*:*:*:* | 8.2.0 (incluyendo) | 8.2.6 (incluyendo) |
| cpe:2.3:a:oracle:communications_policy_management:12.6.0.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:flexcube_private_banking:12.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:retail_xstore_point_of_service:16.0.6:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2022/02/09/1
- https://github.com/x-stream/xstream/commit/e8e88621ba1c85ac3b8620337dd672e0c0c3a846
- https://github.com/x-stream/xstream/security/advisories/GHSA-rmr5-cpv2-vgjf
- https://lists.debian.org/debian-lts-announce/2022/02/msg00018.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VACQYG356OHUTD5WQGAQ4L2TTFTAV3SJ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XODFRE2ZL64FICBJDOPWOLPTSSAI4U7X/
- https://www.oracle.com/security-alerts/cpuapr2022.html
- https://www.oracle.com/security-alerts/cpujul2022.html
- https://x-stream.github.io/CVE-2021-43859.html
- http://www.openwall.com/lists/oss-security/2022/02/09/1
- https://github.com/x-stream/xstream/commit/e8e88621ba1c85ac3b8620337dd672e0c0c3a846
- https://github.com/x-stream/xstream/security/advisories/GHSA-rmr5-cpv2-vgjf
- https://lists.debian.org/debian-lts-announce/2022/02/msg00018.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VACQYG356OHUTD5WQGAQ4L2TTFTAV3SJ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XODFRE2ZL64FICBJDOPWOLPTSSAI4U7X/
- https://www.oracle.com/security-alerts/cpuapr2022.html
- https://www.oracle.com/security-alerts/cpujul2022.html
- https://x-stream.github.io/CVE-2021-43859.html