近日，华为云关注到Xstream官方发布安全公告，披露在1.4.20之前的版本中存在一处高风险级别的拒绝服务漏洞(CVE-2022-41966)。漏洞允许远程攻击者通过操纵已处理的输入流触发堆栈溢出，致使应用程序终止，从而导致拒绝服务。目前漏洞细节与POC已公开，风险高。 XStream是Java类库，用来将对象序列化成XML （JSON）或