发布时间:2020-11-17 15:36:29,来源:深信服科技股份有限公司、北京天融信科技有限公司、上海观安信息技术股份有限公司
一、基本情况
11月16日,XStream发布了XStream远程代码执行漏洞的风险通告。漏洞编号:CVE-2020-26217。攻击者向XStream发送精心构造的XML格式数据,绕过XStream的黑名单防御,在目标服务器中执行任意代码。该漏洞是CVE-2013-7285漏洞的变体,漏洞危害较大。建议受影响用户及时升级补丁修复该漏洞,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞等级
高危
三、漏洞详情
XStream是一个用来将对象序列化成XML 或反序列化为对象的java类库。
该漏洞源于XStream 1.4.13之前版本存在一处黑名单绕过,利用该绕过可触发恶意的反序列化流程,导致远程代码执行。攻击者向XStream发送精心构造的XML格式数据,绕过XStream的黑名单防御,在目标服务器中执行任意代码,从而获取服务器的控制权。
四、影响范围
XStream<=1.4.13
五、处置建议
目前,XStream官方已发布升级补丁修复该漏洞。
下载地址:
https://x-stream.github.io/download.html
六、参考链接
https://x-stream.github.io/CVE-2020-26217.html