您所在的位置: 首頁 >
安全研究 >
安全通告 >
XStream 遠(yuǎn)程代碼執(zhí)行漏洞通告
報(bào)告編號(hào):B6-2020-111601
報(bào)告來源:360CERT
報(bào)告作者:360CERT
更新日期:2020-11-16
0x01 漏洞簡述
2020年11月16日,360CERT監(jiān)測(cè)發(fā)現(xiàn) XStream 發(fā)布了 XStream 安全更新 的風(fēng)險(xiǎn)通告,該漏洞編號(hào)為 CVE-2020-26217 ,漏洞等級(jí):嚴(yán)重 ,漏洞評(píng)分:9.8 。
XStream 發(fā)布安全更新修復(fù)了一處反序列化漏洞,舊版XStream中存在一處黑名單繞過,利用該繞過可觸發(fā)惡意的反序列化流程,導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
未授權(quán)的遠(yuǎn)程攻擊者通過向使用 XStream 的web應(yīng)用發(fā)送特制請(qǐng)求,可導(dǎo)致遠(yuǎn)程代碼執(zhí)行,并獲得該服務(wù)器控制權(quán)限。
對(duì)此,360CERT建議廣大用戶及時(shí)將 XStream 升級(jí)到最新版本。與此同時(shí),請(qǐng)做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。
0x02 風(fēng)險(xiǎn)等級(jí)
360CERT對(duì)該漏洞的評(píng)定結(jié)果如下
0x03 漏洞詳情
CVE-2020-26217: 序列化漏洞
XStream 的反序列化流程中存在一處黑名單繞過,允許 惡意反序列化鏈 執(zhí)行,最終導(dǎo)致遠(yuǎn)程代碼執(zhí)行。該漏洞是CVE-2013-7285的進(jìn)一步變體,其原因是javax.imageio.ImageIO$ContainsFilter 該類對(duì)象 在與其他實(shí)現(xiàn)命令執(zhí)行、代碼執(zhí)行的 類對(duì)象 一起使用的時(shí)候會(huì)造成代碼執(zhí)行。
0x04 影響版本
- xstream:xstream : <=1.4.13
0x05 修復(fù)建議
通用修補(bǔ)建議
參考官方通告升級(jí)到 1.4.14 :
新版XStream下載地址
https://github.com/x-stream/xstream/releases
0x06 產(chǎn)品側(cè)解決方案
0x07 時(shí)間線
2020-11-16 XStream發(fā)布更新通告
2020-11-16 360CERT發(fā)布通告
0x08 參考鏈接
1、 XStream 官方通告
http://x-stream.github.io/CVE-2020-26217.html