【安全通报】XStream <1.4.14 远程代码执行高危漏洞(CVE-2020-26217)

花屋敷  15天前

image-20201116102727186.png

XStream是一个常用的Java对象和xml相互转换的工具。2020年11月16日,XStream官方发布安全更新,修复了 CVE-2020-26217 XStream远程代码执行漏洞。攻击者通过构造恶意的xml文档,可绕过XStream的黑名单,触发反序列化,从而造成远程代码执行漏洞,控制服务器。

漏洞具体细节未知,建议相关用户尽快升级到最新版本,及时做好资产自查和预防工作。

影响范围

  • XStream < 1.4.14

修复方案

​ 1. 针对使用到XStream组件的web服务升级至最新1.4.14版本:

http://x-stream.github.io/changes.html

参考

[1] https://github.com/x-stream/xstream

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论