XStream远程代码执行漏洞 (CVE-2020-26217) 预警

一、基本情况

11月16日，XStream发布了XStream远程代码执行漏洞的风险通告。漏洞编号：CVE-2020-26217。攻击者向XStream发送精心构造的XML格式数据，绕过XStream的黑名单防御，在目标服务器中执行任意代码。该漏洞是CVE-2013-7285漏洞的变体，漏洞危害较大。建议受影响用户及时升级补丁修复该漏洞，做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞详情

XStream是一个用来将对象序列化成XML 或反序列化为对象的java类库。

该漏洞源于XStream 1.4.13之前版本存在一处黑名单绕过，利用该绕过可触发恶意的反序列化流程，导致远程代码执行。攻击者向XStream发送精心构造的XML格式数据，绕过XStream的黑名单防御，在目标服务器中执行任意代码，从而获取服务器的控制权。

四、影响范围

XStream<=1.4.13

五、处置建议

目前，XStream官方已发布升级补丁修复该漏洞。

下载地址：

https://x-stream.github.io/download.html

六、参考链接

https://x-stream.github.io/CVE-2020-26217.html

支持单位：

深信服科技股份有限公司

北京天融信科技有限公司

上海观安信息技术股份有限公司

声明：本文来自网络安全威胁信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。