報告編號：B6-2020-111601

　　報告來源：360CERT

　　報告作者：360CERT

　　更新日期：2020-11-16

　　0x01 漏洞簡述

　　2020年11月16日，360CERT監(jiān)測發(fā)現(xiàn) XStream 發(fā)布了 XStream 安全更新 的風(fēng)險通告，該漏洞編號為 CVE-2020-26217 ，漏洞等級：嚴重 ，漏洞評分：9.8 。

　　XStream 發(fā)布安全更新修復(fù)了一處反序列化漏洞，舊版XStream中存在一處黑名單繞過，利用該繞過可觸發(fā)惡意的反序列化流程，導(dǎo)致遠程代碼執(zhí)行。

　　未授權(quán)的遠程攻擊者通過向使用 XStream 的web應(yīng)用發(fā)送特制請求，可導(dǎo)致遠程代碼執(zhí)行，并獲得該服務(wù)器控制權(quán)限。

　　對此，360CERT建議廣大用戶及時將 XStream 升級到最新版本。與此同時，請做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

　　0x02 風(fēng)險等級

　　360CERT對該漏洞的評定結(jié)果如下

　　0x03 漏洞詳情

　　CVE-2020-26217: 序列化漏洞

　　XStream 的反序列化流程中存在一處黑名單繞過，允許 惡意反序列化鏈 執(zhí)行，最終導(dǎo)致遠程代碼執(zhí)行。該漏洞是CVE-2013-7285的進一步變體，其原因是javax.imageio.ImageIO$ContainsFilter 該類對象 在與其他實現(xiàn)命令執(zhí)行、代碼執(zhí)行的 類對象 一起使用的時候會造成代碼執(zhí)行。

　　0x04 影響版本

　　- xstream:xstream : <=1.4.13

　　0x05 修復(fù)建議

　　通用修補建議

　　參考官方通告升級到 1.4.14 ：

　　新版XStream下載地址

　　https://github.com/x-stream/xstream/releases

　　0x06 產(chǎn)品側(cè)解決方案

　　0x07 時間線

　　2020-11-16 XStream發(fā)布更新通告

　　2020-11-16 360CERT發(fā)布通告

　　0x08 參考鏈接

　　1、 XStream 官方通告

　　http://x-stream.github.io/CVE-2020-26217.html