近日,腾讯云服务安全运营管理中心检测到,XStream官方发布有关XStream反序列化漏洞的风险性通知(漏洞序号:CVE-2020-26259,CVE-2020-26258),假如编码中应用了XStream,未受权的远程控制攻击者,可结构特殊的实例化数据信息导致随意文件删除或服务器端请求仿冒。
为防止您的业务流程受影响,腾讯云服务安全性建议立即进行安全性自纠自查,如在受影响范畴,请您立即开展升级修补,防止被外界攻击者侵入。
漏洞详细信息
XStream是一个开源系统的Java类库,它可以将目标编码序列化为XML或将XML反序列化为目标。
CVE-2020-26259: 随意文件删除漏洞
假如XStream服务项目有充足的管理权限,在XStream在反序列化数据信息时,攻击者可结构特殊的XML/ *** ON请求,导致随意文件删除。
CVE-2020-26258: 服务器端请求仿冒漏洞
XStream的服务项目在反序列化数据信息时,攻击者能够控制解决后的键入流并更换或引入目标,进而造成 服务端开展仿冒请求。
安全风险
高危
漏洞风险性
攻击者可运用该漏洞删掉随意文档,或服务器端请求仿冒。现阶段有关POC已公布。
危害版本
XStream
安全性版本
XStream >=1.4.15
修补提议
XStream官方网已公布安全性版本,腾讯云服务安全性建议尽早升級XStream部件的web服务,防止危害业务流程。
下载地址:
并提议配备XStream的安全性架构为容许的种类应用授权管理
【备注名称】:建议在升級前搞好备份数据工作中,防止发生意外
检验与安全防护
腾讯官方 T-Sec Web运用服务器防火墙(WAF)已适用阻拦 XStream 反序列化漏洞(CVE-2020-26258/26259)
漏洞参照
攻击方式二:Kerberos委派 Windows Server 2003 x64 版本 SP2 Windows Server 2008 for x64-based Systems Service Pa...
黄连厚朴(黄连厚朴小说) 在文学界,有过从医经历的文人可谓不少,最为我们所熟知的有弃医从文的鲁迅和余华,女作家中有毕淑敏和池莉。他(她)们的从医经历,使得他(她)们笔下的文字更具解读百思特网人...
黑客怎样找漏洞的相关问题 黑客吧远控软件相关问题 苹果电脑被黑客入侵怎么办 买毒找我(毒上买的鞋是正品吗) 黑客...
本文目录一览: 1、黑客帝国动画版的动画制作 2、关于黑客帝国动画版 3、《黑客帝国动画版》免费在线观看完整版高清,求百度网盘资源 4、黑客帝国动画版的介绍 5、电影“黑客帝国”讲述的...
随着全球互联网的高速发展,信息泄露、网络攻击、网络犯罪导致的网络安全事件频发。面对新时期新挑战,9月17日—23日,2018国家网络安全宣传周在全国掀起一场网安科技旋风,新环境驱动着技术创新护航网络安...
“您好,有了你的快递公司。”这句话大伙儿快递代收前常听得话,要发生改变了。5月31日,杭州市举办的2018全世界智能物流高峰会上,一段智能语音系统交互视频震撼了到场的7000名宾客。更换它的是:“...