1. 极安网首页
  2. 网络安全新闻

XStream远程代码执行漏洞(CVE-2020-26217)

2020年11月16日,监测发现XStream发布了XStream安全更新的风险通告,该漏洞编号为CVE-2020-26217,漏洞等级:严重,漏洞评分:9.8。

XStream远程代码执行漏洞(CVE-2020-26217)-极安网

漏洞简述

XStream发布安全更新修复了一处反序列化漏洞,旧版XStream中存在一处黑名单绕过,利用该绕过可触发恶意的反序列化流程,导致远程代码执行。

未授权的远程攻击者通过向使用XStream的web应用发送特制请求,可导致远程代码执行,并获得该服务器控制权限。

漏洞详情

CVE-2020-26217:序列化漏洞,XStream的反序列化流程中存在一处黑名单绕过,允许恶意反序列化链执行,最终导致远程代码执行。该漏洞是CVE-2013-7285的进一步变体,其原因是javax.imageio.ImageIO$ContainsFilter该类对象在与其他实现命令执行、代码执行的类对象一起使用的时候会造成代码执行。

影响版本

xstream:xstream:<=1.4.13

修复建议

参考官方通告升级到1.4.14

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/3865.html