安全公告/【CVE-2020-26217】

基本信息

漏洞描述

XStream是一个常用的Java对象和XML相互转换的工具。 XStream存在远程代码执行漏洞。攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发恶意的反序列化，从而导致远程代码执行，并获得该服务器控制权限。

修复方式

将 XStream 升级到 1.4.14 及以上版本，下载地址：http://x-stream.github.io/download.html

漏洞判定

版本比对检测原理：检查当前系统中XStream版本是否在受影响版本范围内|版本比对检测结果：- xstream
  当前安装版本：1.3.1
  应用相关信息：
  - 进程PID：29229
  - 应用路径：/root/htxt/apache-tomcat-6.0.35/webapps/CMSHN/WEB-INF/lib/xstream-1.3.1.jar
- xstream
  当前安装版本：1.3.1
  应用相关信息：
  - 进程PID：29229
  - 应用路径：/root/htxt/apache-tomcat-6.0.35/webapps/CMSHN20140225/WEB-INF/lib/xstream-1.3.1.jar
该主机存在此漏洞

参考

CVE-2020-26217，CNVD-2020-63975，CWE-78，CNNVD-202011-1441