XStream < 1.4.14 远程代码执行高危漏洞(CVE-2020-26217)
XStream 的反序列化流程中存在一处黑名单绕过,允许 恶意反序列化链 执行,最终导致远程代码执行。该漏洞是CVE-2013-7285的进一步变体,其原因是javax.imageio.ImageIO$ContainsFilter 该 类对象 在与其他实现命令执行、代码执行的 类对象 一起使用的时候会造成代码执行
漏洞详情
CVE-2020-26217: 序列化漏洞
XStream 的反序列化流程中存在一处黑名单绕过,允许 恶意反序列化链 执行,最终导致远程代码执行。该漏洞是CVE-2013-7285的进一步变体,其原因是javax.imageio.ImageIO$ContainsFilter 该 类对象 在与其他实现命令执行、代码执行的 类对象 一起使用的时候会造成代码执行。
影响版本
XStream < 1.4.14
安全版本
XStream 1.4.14
安全建议
针对使用到XStream组件的web服务升级至最新版本:http://x-stream.github.io/changes.html
相关链接
https://github.com/x-stream/xstream
CVE-2020-26217: 序列化漏洞
XStream 的反序列化流程中存在一处黑名单绕过,允许 恶意反序列化链 执行,最终导致远程代码执行。该漏洞是CVE-2013-7285的进一步变体,其原因是javax.imageio.ImageIO$ContainsFilter 该 类对象 在与其他实现命令执行、代码执行的 类对象 一起使用的时候会造成代码执行。
影响版本
XStream < 1.4.14
安全版本
XStream 1.4.14
安全建议
针对使用到XStream组件的web服务升级至最新版本:http://x-stream.github.io/changes.html
相关链接
https://github.com/x-stream/xstream
评论1次
身边大佬挖的 绕的黑名单 tql