【高危】- XStream 任意文件删除漏洞(CVE-2020-26258、CVE-2020-26259)
■ 漏洞描述
XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream处理的流包含类型信息,用来重新创建以前写入的对象,因此可以基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换成注入对象,从而删除服务器端的指定文件(CVE-2020-26259)。运行XStream的服务在处理反序列化数据时,攻击者构造特定的 XML/JSON 请求,可以造成服务端请求伪造(CVE-2020-26258)。
■ 影响范围
XStream <= 1.4.14。
■ 漏洞检测
匹配系统版本。
■ 漏洞修复
目前厂商已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。官方链接如下:https://x-stream.github.io/download.html。
■ 临时修复
添加waf或者限制公网访问。
■ 漏洞详情
https://mp.weixin.qq.com/s/4LGYhaFdfSKarBWHfjL-fA。
XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream处理的流包含类型信息,用来重新创建以前写入的对象,因此可以基于这些类型信息创建新的实例。攻击者可以操纵处理后的输入流并替换成注入对象,从而删除服务器端的指定文件(CVE-2020-26259)。运行XStream的服务在处理反序列化数据时,攻击者构造特定的 XML/JSON 请求,可以造成服务端请求伪造(CVE-2020-26258)。
■ 影响范围
XStream <= 1.4.14。
■ 漏洞检测
匹配系统版本。
■ 漏洞修复
目前厂商已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。官方链接如下:https://x-stream.github.io/download.html。
■ 临时修复
添加waf或者限制公网访问。
■ 漏洞详情
https://mp.weixin.qq.com/s/4LGYhaFdfSKarBWHfjL-fA。