一、漏洞简介

1.1 漏洞背景

Apache ActiveMQ 在公开漏洞库中存在编号为 CVE-2021-21350 的安全问题,本条目按 2026-03-22 权威公开源补录;该漏洞评级为 MEDIUM,CVSS 5.3。

1.2 漏洞概述(包含 CVE 编号、危害等级、漏洞类型、披露时间等)

项目 内容
漏洞编号 CVE-2021-21350
危害等级 MEDIUM
CVSS 评分 5.3
漏洞类型 CWE-434、CWE-502、NVD-CWE-noinfo
公开时间 2021-03-23
影响组件 Apache ActiveMQ

二、影响范围

2.1 受影响的版本

  • netapp:oncommand_insight:-
  • apache:activemq:*, < 5.15.14
  • apache:activemq:5.16.0
  • apache:activemq:5.16.1
  • apache:jmeter:*, < 5.5
  • xstream:xstream:*, < 1.4.16
  • debian:debian_linux:9.0
  • debian:debian_linux:10.0

2.2 不受影响的版本

  • NVD / CISA 公开记录未统一列出完整安全版本矩阵,建议以厂商修复公告或最新受支持版本说明为准。

2.3 触发条件(如特定模块、特定配置、特定运行环境等)

  • 需运行受影响版本并暴露对应攻击面;若厂商未公开更细前提,应结合官方公告进一步核验。

三、漏洞详情与原理解析

3.1 漏洞触发机制

  • NVD 公开描述:XStream is a Java library to serialize objects to XML and back again. In XStream before version 1.4.16, there is a vulnerability which may allow a remote attacker to execute arbitrary code only by manipulating the processed input stream. No user is affected, who followed the recommendation to setup XStream's securit...
  • 当前补录条目以权威公开漏洞库为准,未额外引入未经核实的 PoC 细节。

3.2 源码层面的根因分析(结合源码与补丁对比)

  • 公开漏洞库给出的弱点标识:CWE-434、CWE-502、NVD-CWE-noinfo。
  • NVD / CISA 通常不会直接提供完整补丁 diff;如需深入到源码根因,建议继续结合厂商修复提交或安全公告比对。

四、漏洞复现(可选)

4.1 环境搭建

  • 权威公开源未提供统一、可直接复用的隔离复现环境,本条目仅补录漏洞情报与版本影响信息。

4.2 PoC 演示与测试过程

  • 若 CISA KEV 已收录,可视为存在实际利用背景;但 KEV 本身不提供 PoC。
  • 若无额外厂商或研究人员披露,建议不要在生产环境复现,优先在隔离测试环境验证修复效果。

五、修复建议与缓解措施

5.1 官方版本升级建议

  • 优先升级到厂商已修复版本或当前仍受支持的最新稳定分支。
  • 如公开记录只给出受影响区间而未给出明确安全版本,应以官方公告和发行说明为准。

5.2 临时缓解方案(如修改配置、关闭相关模块、增加访问控制等)

  • 尽量缩小管理面、调试面和高危接口的暴露范围。
  • 为敏感组件增加鉴权、来源限制、反向代理访问控制或 WAF 规则。
  • 在补丁窗口前,持续监控异常请求、权限提升和配置变更行为。

六、参考信息 / 参考链接

  • https://nvd.nist.gov/vuln/detail/CVE-2021-21350
  • https://www.cve.org/CVERecord?id=CVE-2021-21350
  • http://x-stream.github.io/changes.html#1.4.16
  • https://github.com/x-stream/xstream/security/advisories/GHSA-43gc-mjxg-gvrq
  • https://lists.apache.org/thread.html/r8244fd0831db894d5e89911ded9c72196d395a90ae655414d23ed0dd%40%3Cusers.activemq.apache.org%3E
  • https://lists.apache.org/thread.html/r9ac71b047767205aa22e3a08cb33f3e0586de6b2fac48b425c6e16b0%40%3Cdev.jmeter.apache.org%3E
  • https://lists.debian.org/debian-lts-announce/2021/04/msg00002.html
  • https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/