XStream 远程代码执行高危漏洞风险通告,腾讯安全支持全面检测

2020-11-16 10:33:59
XStream官方发布安全更新,修复了XStream远程代码执行漏洞( CVE-2020-26217 )。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成远程代码执行,控制服务器。

20201116日,XStream官方发布安全更新,修复了 XStream远程代码执行漏洞( CVE-2020-26217)。

 

漏洞描述:

XStream官方发布安全更新,修复了XStream远程代码执行漏洞( CVE-2020-26217 )。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成远程代码执行,控制服务器。

 

XStream是一个常用的Java对象和XML相互转换的工具。

 

漏洞编号:

CVE-2020-26217

 

漏洞等级:高危

 

影响版本:

XStream < 1.4.14

 

安全版本:

XStream 1.4.14

 

安全建议:

腾讯安全专家建议受影响的用户尽快将XStream组件的web服务升级至最新版本:

http://x-stream.github.io/changes.html


漏洞复现验证:

腾讯安全团队对该漏洞进行复现验证:传入精心构造的Payload,可以实现任意命令执行。