【漏洞通告】XStream远程代码执行漏洞 CVE-2020-26217

XStream官方在11月16日发布XStream远程代码执行漏洞详细信息，CVE编号为CVE-2020-26217，漏洞危害性高。 此漏洞是CVE-2013-7285漏洞的变体，攻击者向XStream发送精心构造的XML格式数据，绕过XStream的黑名单防御，在目标服务器中执行任意代码。

XStream是Java类库，用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索，并不需要对对象作出修改。XStream可以序列化内部字段，包括private和final字段，并且支持非公开类以及内部类。在缺省情况下，XStream不需要配置映射关系，对象和字段将映射为同名XML元素。但是当对象和字段名与XML中的元素名不同时，XStream支持指定别名。XStream支持以方法调用的方式，或是Java标注的方式指定别名。XStream在进行数据类型转换时，使用系统缺省的类型转换器。同时，也支持用户自定义的类型转换器。

XStream官方在11月16日发布XStream远程代码执行漏洞详细信息，CVE编号为CVE-2020-26217，漏洞危害性高。此漏洞是CVE-2013-7285漏洞的变体，攻击者向XStream发送精心构造的XML格式数据，绕过XStream的黑名单防御，在目标服务器中执行任意代码。

搭建XStream环境，运行sniper工具箱，填写表单信息，点击Attack，效果如图。

目前受影响的XStream版本：

XStream <= 1.4.13

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://x-stream.github.io/download.html

【 深信服下一代防火墙 】预计2020年11月17日，可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【 深信服云盾 】预计2020年11月17日，从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【 深信服安全感知平台 】预计2020年11月17日，可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【 深信服安全运营服务 】深信服云端安全专家提供7*24小时持续的安全运营服务。预计2020年11月17日，对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。