XStream < 1.4.14 远程代码执行高危漏洞(CVE-2020-26217)

2020-11-19 20:46:56 1 452

XStream 的反序列化流程中存在一处黑名单绕过,允许 恶意反序列化链 执行,最终导致远程代码执行。该漏洞是CVE-2013-7285的进一步变体,其原因是javax.imageio.ImageIO$ContainsFilter 该 类对象 在与其他实现命令执行、代码执行的 类对象 一起使用的时候会造成代码执行

漏洞详情
CVE-2020-26217: 序列化漏洞
XStream 的反序列化流程中存在一处黑名单绕过,允许 恶意反序列化链 执行,最终导致远程代码执行。该漏洞是CVE-2013-7285的进一步变体,其原因是javax.imageio.ImageIO$ContainsFilter 该 类对象 在与其他实现命令执行、代码执行的 类对象 一起使用的时候会造成代码执行。


影响版本

XStream < 1.4.14



安全版本

XStream 1.4.14


安全建议

针对使用到XStream组件的web服务升级至最新版本:http://x-stream.github.io/changes.html



相关链接

https://github.com/x-stream/xstream

关于作者

评论1次

要评论?请先  登录  或  注册