[漏洞预警] XStream < 1.4.14 远程代码执行高危漏洞(CVE-2020-26217)

X0_0X 2020-11-16
专栏 - 资讯 发布于 2020-11-16 14:27:34 阅读 122 评论 0

2020年11月16日,阿里云应急响应中心监测到xstream官方发布安全更新,修复了 CVE-2020-26217 XStream远程代码执行漏洞

漏洞描述

XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新,修复了 CVE-2020-26217 XStream远程代码执行漏洞。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成远程代码执行漏洞,控制服务器。阿里云应急响应中心提醒 XStream 用户尽快采取安全措施阻止漏洞攻击。

影响版本

  • XStream < 1.4.14

安全版本

  • XStream 1.4.14

安全建议

针对使用到XStream组件的web服务升级至最新版本:

x-stream.github.io/changes.html

相关链接

github.com/x-stream/xstream

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!