一、背景介绍
11月16日,市委网信办技术支撑单位监测到XStream 发布了一个高危远程代码执行漏洞(CVE-2020-26217)。
1.1漏洞描述
XStream 是一个用来将对象序列化成 XML 或反序列化为对象的java 类库。该漏洞的成因在于旧版 XStream 中存在一处黑名单绕过,利用该绕过可触发恶意的反序列化流程,导致远程代码执行。未授权的远程攻击者可以通过向使用 XStream 的 web 应用发送特定请求,可导致远程代码执行,并获取服务器的控制权。
1.2漏洞编号
CVE-2020-26217
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
XStream <= 1.4.13
2.2 修复建议
XStream 官方目前已经发布了修复该漏洞的安全更新,建议受影响用户尽快升级到安全版本。下载地址:https://x-stream.github.io/download.html