XStream官方发布了关于XStream反序列化漏洞的风险通告(漏洞编号:CVE-2020-26258,CVE-2020-26259),如果代码中使用了XStream,未授权的远程攻击者,可构造特定的序列化数据造成任意文件删除或服务端请求伪造。
1
漏洞详情
CVE-2020-26258: 服务端请求伪造漏洞
XStream的服务在反序列化数据时,攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端进行伪造请求。
CVE-2020-26259: 任意文件删除漏洞
如果XStream服务有足够的权限,在XStream在反序列化数据时,攻击者可构造特定的XML/JSON请求,造成任意文件删除。
XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。
2漏洞编号
CVE-2020-26258
CVE-2020-26259
3
漏洞等级
高危
4
受影响的版本
Xstream <= 1.4.14
5
安全版本
Xstream >= 1.4.15
6
漏洞复现验证
腾讯安全专家对该漏洞进行了复现验证:
1. 创建待删除文件
2. 执行恶意反序列化代码后可以看到文件被删除成功
7
漏洞修复建议
XStream官方已发布安全版本,腾讯安全专家建议受影响的用户尽快升级XStream组件到最新版本。
下载链接:https://x-stream.github.io/changes.html#1.4.15
并建议配置XStream的安全框架为允许的类型使用白名单。
【备注】:建议用户在升级前做好数据备份工作,避免出现意外。
8
腾讯安全解决方案
腾讯T-Sec主机安全(云镜)漏洞库日期2020-12-14之后的版本,已支持对XStream 反序列化漏洞(CVE-2020-26258/26259)进行检测;
腾讯 T-Sec Web应用防火墙(WAF)已支持拦截 XStream 反序列化漏洞(CVE-2020-26258/26259)
参考链接:
http://x-stream.github.io/CVE-2020-26258.html
http://x-stream.github.io/CVE-2020-26259.html
招聘广告
腾讯安全研究团队欢迎渗透测试安全圈内同行加盟,有以下经历者优先:挖掘到的漏洞对安全圈产生重大影响力;参与国内外知名安全比赛,排名靠前;在高级别红蓝对抗演练中对所在攻击队拿分有突出贡献。有意请投简历到[email protected],诚邀加盟!
更多岗位信息,请点击这里查阅!
本文始发于微信公众号(腾讯安全威胁情报中心):CVE-2020-26258/26259:XStream反序列化漏洞风险通告,腾讯安全已复现验证,并支持检测防御
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论