【漏洞详情】

XStream是常用的Java对象和XML相互转换的工具，近日XStream官方发布安全更新，修复了XStream 反序列化漏洞（CVE-2020-26258、CVE-2020-26259）。攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发如下漏洞攻击：

1、CVE-2020-26259: 任意文件删除漏洞

如果XStream服务有足够的权限，在XStream在反序列化数据时，攻击者可构造特定的XML/JSON请求，造成任意文件删除。

2、CVE-2020-26258: 服务端请求伪造漏洞

XStream的服务在反序列化数据时，攻击者可以操纵处理后的输入流并替换或注入对象，从而导致服务器端进行伪造请求。

【漏洞评级】

高危

【 影响范围】

l  XStream < 1.4.15

【修复建议】

官方已经提供最新安全版本，建议受影响的用户结合实际业务评估漏洞风险影响，通过升级XStream组件的web服务，避免安全风险。

下载链接：https://x-stream.github.io/changes.html#1.4.15

【参考链接】

http://x-stream.github.io/changes.html

特别提醒：清除恶意文件前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安金融云

2020年12月15日