漏洞情报|XStream远程代码执行漏洞风险通告(CVE-2020-26217)

漏洞 YDclub
2020-11-17 8,960

近日,腾讯云安全运营中心监测到XStream官方发布安全公告,披露了一个XStream远程代码执行漏洞(漏洞编号:CVE-2020-26217),漏洞被利用可导致远程代码执行

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

XStream是一个开源的Java类库,它能够将对象序列化成XMLXML反序为对象。

在XStream的受影响版本中,存在一个远程代码执行漏洞,攻击者可通过操纵已处理的输入流,替换或注入可以执行任意shell命令的对象,造成远程代码执行。

风险等级

高风险

漏洞风险

攻击者可利用该漏洞执行远程代码。

影响版本

XStream < 1.4.14

安全版本

XStream 1.4.14

修复建议

XStream官方已发布安全版本,腾讯云安全建议您尽快升级XStream组件的web服务,避免影响业务。
下载链接:
http://x-stream.github.io/changes.html
【备注】:建议您在升级前做好数据备份工作,避免出现意外

漏洞参考

https://github.com/x-stream/xstream



本文作者:YDclub

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/146418.html

Tags:
点赞: 1 评论:0 收藏: 0
 积分 10
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

YDclub
文章数:82 积分: 214

我们正努力成为云上安全的技术领导者~

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼