CVE-2020-26217：XStream 远程代码执行漏洞通告

　　2020年11月16日，XStream官方发布安全更新，修复了 CVE-2020-26217 XStream远程代码执行漏洞。

　　漏洞描述

　　XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新，修复了 CVE-2020-26217 XStream远程代码执行漏洞。攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发反序列化，从而造成远程代码执行漏洞，控制服务器。对此，建议广大用户及时将 XStream 升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

　　影响版本

　　XStream < 1.4.14

　　安全版本

　　XStream 1.4.14

　　安全建议

　　针对使用到XStream组件的web服务升级至最新版本：

　　http://x-stream.github.io/changes.html

　　相关链接

　　https://github.com/x-stream/xstream