漏洞情报|XStream任意文件删除/服务端请求伪造漏洞风险通告(CVE-2020-26259,CVE-2020-26258)

2020-12-14 5,537

近日,腾讯云安全运营中心监测到,XStream官方发布关于XStream反序列化漏洞的风险通告(漏洞编号:CVE-2020-26259,CVE-2020-26258),如果代码中使用了XStream,未授权的远程攻击者,可构造特定的序列化数据造成任意文件删除或服务端请求伪造

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。

CVE-2020-26259: 任意文件删除漏洞

如果XStream服务有足够的权限,在XStream在反序列化数据时,攻击者可构造特定的XML/JSON请求,造成任意文件删除。

CVE-2020-26258: 服务端请求伪造漏洞

XStream的服务在反序列化数据时,攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端进行伪造请求。

风险等级

高风险

漏洞风险

攻击者可利用该漏洞删除任意文件,或服务端请求伪造。目前相关POC已公

影响版本

XStream < 1.4.15

安全版本

XStream >=1.4.15

修复建议

XStream官方已发布安全版本,腾讯云安全建议您尽快升级XStream组件的web服务,避免影响业务。

下载链接:https://x-stream.github.io/changes.html#1.4.15

并建议配置XStream的安全框架为允许的类型使用白名单

【备注】:建议您在升级前做好数据备份工作,避免出现意外

检测与防护

腾讯 T-Sec Web应用防火墙(WAF)已支持拦截 XStream 反序列化漏洞(CVE-2020-26258/26259)

漏洞参考

http://x-stream.github.io/CVE-2020-26258.html

http://x-stream.github.io/CVE-2020-26259.html



本文作者:云鼎实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/149424.html

Tags:
评论  (0)
快来写下你的想法吧!

云鼎实验室

文章数:49 积分: 164

我们正努力成为云上安全的技术领导者~

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号