2020-12-14 18:55:08 Author: www.secpulse.com(查看原文) 阅读量:308 收藏
近日,腾讯云安全运营中心监测到,XStream官方发布关于XStream反序列化漏洞的风险通告(漏洞编号:CVE-2020-26259,CVE-2020-26258),如果代码中使用了XStream,未授权的远程攻击者,可构造特定的序列化数据造成任意文件删除或服务端请求伪造。
漏洞详情
XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。
CVE-2020-26259: 任意文件删除漏洞
如果XStream服务有足够的权限,在XStream在反序列化数据时,攻击者可构造特定的XML/JSON请求,造成任意文件删除。
CVE-2020-26258: 服务端请求伪造漏洞
XStream的服务在反序列化数据时,攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端进行伪造请求。
风险等级
漏洞风险
攻击者可利用该漏洞删除任意文件,或服务端请求伪造。目前相关POC已公开。
影响版本
XStream < 1.4.15
安全版本
XStream >=1.4.15
修复建议
XStream官方已发布安全版本,腾讯云安全建议您尽快升级XStream组件的web服务,避免影响业务。
下载链接:https://x-stream.github.io/changes.html#1.4.15
并建议配置XStream的安全框架为允许的类型使用白名单
【备注】:建议您在升级前做好数据备份工作,避免出现意外
检测与防护
腾讯 T-Sec Web应用防火墙(WAF)已支持拦截 XStream 反序列化漏洞(CVE-2020-26258/26259)
漏洞参考
http://x-stream.github.io/CVE-2020-26258.html
http://x-stream.github.io/CVE-2020-26259.html
本文作者:云鼎实验室
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/149424.html
如有侵权请联系:admin#unsafe.sh