【安全通告】XStream任意文件删除/服务端请求伪造漏洞风险通告(CVE-2020-26259,CVE-2020-26258)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,XStream官方发布关于XStream反序列化漏洞的风险通告(漏洞编号:CVE-2020-26259,CVE-2020-26258),如果代码中使用了XStream,未授权的远程攻击者,构造特定的序列化数据造成任意文件删除或服务端请求伪造。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。
CVE-2020-26259: 任意文件删除漏洞
如果XStream服务有足够的权限,在XStream在反序列化数据时,攻击者可构造特定的XML/JSON请求,造成任意文件删除。
CVE-2020-26258: 服务端请求伪造漏洞
XStream的服务在反序列化数据时,攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端进行伪造请求。
风险等级
高
漏洞风险
攻击者可利用该漏洞删除任意文件,或服务端请求伪造。目前相关POC已公开。
影响版本
XStream < 1.4.15
安全版本
XStream >=1.4.15
修复建议
XStream官方已发布安全版本,腾讯云安全建议您尽快升级XStream组件的web服务,避免影响业务。
并建议使用白名单配置XStream安全框架允许的类型
【备注】:建议您在升级前做好数据备份工作,避免出现意外
检测与防护
腾讯 T-Sec Web应用防火墙(WAF)已支持拦截 XStream 反序列化漏洞(CVE-2020-26258/26259);
腾讯T-Sec主机安全(云镜)漏洞库日期2020-12-14之后的版本,已支持对XStream 反序列化漏洞(CVE-2020-26258/26259)进行检测;
漏洞参考
