- 您的需求已经提交,我们将在48小时内联系您
- 全国服务热线:400-1000-221
- 免费享受企业级云安全服务
【高危安全通告】XStream反序列漏洞
2020年12月14日,安全狗应急响应中心监测到 XStream 官方发布安全公告,披露CVE-2020-26258 XStream 反序列化致SSRF漏洞、CVE-2020-26259 XStream 反序列化致任意文件删除漏洞。
漏洞描述
1、CVE-2020-26259: 任意文件删除漏洞
如果XStream服务有足够的权限,在XStream在反序列化数据时,攻击者可构造特定的XML/JSON请求,造成任意文件删除。
2、CVE-2020-26258: 服务端请求伪造漏洞
XStream的服务在反序列化数据时,攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端进行伪造请求。
XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。
安全通告信息
|
漏洞名称 |
XStream 反序列化漏洞 |
|
漏洞影响版本 |
XStream < 1.4.15 |
|
漏洞危害等级 |
高危 |
|
厂商是否已发布漏洞补丁 |
是 |
|
版本更新地址 |
http://x-stream.github.io/changes.html |
|
安全狗总预警期数 |
144 |
|
安全狗发布预警日期 |
2020年12月14日 |
|
安全狗更新预警日期 |
2020年12月14日 |
|
发布者 |
安全狗海青实验室 |
处置措施
安全建议
1、安装安全版本
XStream 1.4.15
XStream官方已发布安全版本,安全狗安全专家建议受影响的用户尽快升级XStream组件到最新版本。
下载链接:
https://x-stream.github.io/changes.html#1.4.15
并建议配置XStream的安全框架为允许的类型使用白名单。
【备注】:建议用户在升级前做好数据备份工作,避免出现意外。
2、安全狗安全解决方案
安全狗新一代云主机入侵监测及安全管理平台(云眼)漏洞库日期2020-12-15之后的版本,已支持对XStream 反序列化漏洞(CVE-2020-26258/26259)进行检测。