XStream官方在11月16日发布XStream远程代码执行漏洞详细信息,CVE编号为CVE-2020-26217,漏洞危害性高。此漏洞是CVE-2013-7285漏洞的变体,攻击者向XStream发送精心构造的XML格式数据,绕过XStream的黑名单防御,在目标服务器中执行任意代码。
漏洞名称 : XStream远程代码执行漏洞 CVE-2020-26217
威胁等级 : 高危
影响范围 : XStream <= 1.4.13
漏洞类型 : 远程代码执行
利用难度 : 容易
漏洞分析
1 XStream组件介绍
XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStream可以序列化内部字段,包括private和final字段,并且支持非公开类以及内部类。在缺省情况下,XStream不需要配置映射关系,对象和字段将映射为同名XML元素。但是当对象和字段名与XML中的元素名不同时,XStream支持指定别名。XStream支持以方法调用的方式,或是Java标注的方式指定别名。XStream在进行数据类型转换时,使用系统缺省的类型转换器。同时,也支持用户自定义的类型转换器。
2 漏洞描述
XStream官方在11月16日发布XStream远程代码执行漏洞详细信息,CVE编号为CVE-2020-26217,漏洞危害性高。此漏洞是CVE-2013-7285漏洞的变体,攻击者向XStream发送精心构造的XML格式数据,绕过XStream的黑名单防御,在目标服务器中执行任意代码。
3 漏洞复现
搭建XStream环境,运行sniper工具箱,填写表单信息,点击Attack,效果如图。
影响范围
目前受影响的XStream版本:
XStream <= 1.4.13
解决方案
1 修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://x-stream.github.io/download.html
2 深信服解决方案
【深信服下一代防火墙】预计2020年11月17日,可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【深信服云盾】预计2020年11月17日,从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【深信服安全感知平台】预计2020年11月17日,可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。预计2020年11月17日,对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。
时间轴
2020/11/16 XStream官方发布漏洞详情
2020/11/16 深信服千里目实验室分析并复现漏洞,发布漏洞通告。
参考链接
https://x-stream.github.io/CVE-2020-26217.html
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】XStream远程代码执行漏洞 CVE-2020-26217
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论