一、背景介绍

11月16日，市委网信办技术支撑单位监测到XStream 发布了一个高危远程代码执行漏洞(CVE-2020-26217)。

1.1漏洞描述

XStream 是一个用来将对象序列化成 XML 或反序列化为对象的java 类库。该漏洞的成因在于旧版 XStream 中存在一处黑名单绕过，利用该绕过可触发恶意的反序列化流程，导致远程代码执行。未授权的远程攻击者可以通过向使用 XStream 的 web 应用发送特定请求，可导致远程代码执行，并获取服务器的控制权。

1.2漏洞编号

CVE-2020-26217

1.3漏洞等级
 

高危

二、修复建议

2.1 受影响版本

XStream <= 1.4.13

2.2 修复建议

XStream 官方目前已经发布了修复该漏洞的安全更新，建议受影响用户尽快升级到安全版本。下载地址：https://x-stream.github.io/download.html