服务公告

全部公告 > 安全公告 > XStream < 1.4.14 远程代码执行漏洞(CVE-2020-26217)

XStream < 1.4.14 远程代码执行漏洞(CVE-2020-26217)

2020-11-16

一、概要

近日,华为云关注到XStream官方发布最新1.4.14版本,披露在1.4.14之前的版本中存在一处远程代码执行漏洞(CVE-2020-26217)。XStreamJava类库,用来将对象序列化成XML JSON)或反序列化为对象。攻击者通过构造恶意的XML,在受影响的XStream版本中绕过默认黑名单,触发远程代码执行。

华为云提醒使用XStream的用户尽快安排自检并做好安全加固。

参考链接:

http://x-stream.github.io/CVE-2020-26217.html

http://x-stream.github.io/news.html

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

XStream < 1.4.14

安全版本:

XStream 1.4.14

四、漏洞处置

目前官方已在最新版本中修复了该漏洞,请受影响的用户及时升级至安全版本。

http://x-stream.github.io/download.html

注:修复漏洞前请将资料,并进行充分测试。