服务器漏洞文件被删除漏洞,漏洞资源|XStream随意文件删除/服务器端请求仿冒漏洞风险性通知(CVE-2021-26259,CVE-2021-26258)...

最新推荐文章于 2023-04-19 11:43:48 发布
最新推荐文章于 2023-04-19 11:43:48 发布
阅读量480 收藏
点赞数
文章标签: 服务器漏洞文件被删除漏洞

近日,腾讯云服务安全运营管理中心检测到,XStream官方发布有关XStream反序列化漏洞的风险性通知(漏洞序号:CVE-2020-26259,CVE-2020-26258),假如编码中应用了XStream,未受权的远程控制攻击者,可结构特殊的实例化数据信息导致随意文件删除或服务器端请求仿冒。

为防止您的业务流程受影响,腾讯云服务安全性建议立即进行安全性自纠自查,如在受影响范畴,请您立即开展升级修补,防止被外界攻击者侵入。

漏洞详细信息

XStream是一个开源系统的Java类库,它可以将目标编码序列化为XML或将XML反序列化为目标。

CVE-2020-26259: 随意文件删除漏洞

假如XStream服务项目有充足的管理权限,在XStream在反序列化数据信息时,攻击者可结构特殊的XML/JSON请求,导致随意文件删除。

CVE-2020-26258: 服务器端请求仿冒漏洞

XStream的服务项目在反序列化数据信息时,攻击者能够控制解决后的键入流并更换或引入目标,进而造成 服务端开展仿冒请求。

安全风险

高危

漏洞风险性

攻击者可运用该漏洞删掉随意文档,或服务器端请求仿冒。现阶段有关POC已公布。

危害版本

XStream < 1.4.15

安全性版本

XStream >=1.4.15

修补提议

XStream官方网已公布安全性版本,腾讯云服务安全性建议尽早升級XStream部件的web服务,防止危害业务流程。

下载地址:

并提议配备XStream的安全性架构为容许的种类应用授权管理

【备注名称】:建议在升級前搞好备份数据工作中,防止发生意外

检验与安全防护

腾讯官方 T-Sec Web运用服务器防火墙(WAF)已适用阻拦 XStream 反序列化漏洞(CVE-2020-26258/26259)

漏洞参照

Fetch_ai
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xStream完美转换XML、JSON
screensky的专栏
06-27 2233
xStream框架 xStream可以轻易的将Java对象和xml文档相互转换,而且可以修改某个特定的属性和节点名称,而且也支持json的转换; 一、准备工作 1、 下载jar包、及官方资源 xStream的jar下载地址: https://nexus.codehaus.org/content/repositories/releases/com/thoughtworks/xstr
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
任意文件读取及删除漏洞
qq_50854662的博客
09-27 2029
任意文件读取漏洞及危害 通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感信息文件,正常读取的文件没有经过校验或者不严格,用户可以控制这个变量读取任意文件任意文件读取漏洞,是web安全里高危的漏洞,...
PHP代码审计 ----- 任意文件读取 & 删除漏洞
qq_62344745的博客
04-19 747
通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感信息文件正常读取的文件没有经过校验或者不严格,用户可以控制这个变量读取任意文件
WPA3_Specification_v3.0 WIFI联盟WPA3 官方文档
04-22
不需要曝光,就是为不方便访问WiFi联盟官网的朋友准备的,可以配合着 我之前上传的中文版 对比着看。
WebService开发流程(AAXIS、JAX-WS、XFire框架)
larry_lv的专栏
07-08 7264
导言:WebService存在于互联网当中的组件,具有独立性,跨平台和技术,通过URL进行定位调用;优点是可以重复使用组件服务可以跨平台和技术,实现不同程序之间的交互可以使用组件服务灵活组合,提高资源利用率,节省资源   一、WebService开发流程   --AXIS框架的使
poj2376 java_Java & PHP & Javascript 通用 RSA 加密 解密 (长字符串)
weixin_42143806的博客
02-24 1657
1 (function(global, factory) {2 typeof exports === ‘object‘ && typeof module !== ‘undefined‘ ?factory(exports) :3 typeof define === ‘function‘ && define.amd ? define([‘expo...
Nginx日志监控报警方案.docx
11-30
docker image nginx 集成filebeat 收集 nginx 日志信息,通过kafka接收日志信息
XStream1.4.16反序列化漏洞CVE-2020-26258CVE-2020-26259
05-08
XStream是一个常用的Java对象和XML相互转换的工具。...攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-2020-26259 任意文件删除漏洞
xstream使用案例
10-08
xstream xml java对象转换,直接导入使用即可看到效果
xstream-1.4.4.jar
05-17
javaBean转json,javaBean装XML 附带我的测试Dome一并奉上
腾讯蓝军安全通告XStream远程代码执行漏洞(CVE-2021-29505).pdf
09-18
腾讯蓝军安全通告XStream远程代码执行漏洞(CVE-2021-29505) 零信任 安全威胁 自动化 安全 安全体系
xstream-1.4.15.jar
01-28
Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除服务器请求伪造。 影响版本 Xstream 修复版本 Xstream > = 1.4.15 风险等级 严重
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
基于 Spring Cloud 组件构建的分布式服务架构
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:246】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 用户信息管理,图书信息管理,图书类型管理,图书留言管理,论坛信息管理等
XStream漏洞编号是 CVE-2021-21351的应对措施
06-11
XStream漏洞编号 CVE-2021-21351 是由于 XStream 序列化时对恶意 XML 转换导致的安全漏洞。以下是一些应对措施: 1. 尽可能升级 XStream 的版本到 1.4.16 或更高版本,因为这些版本已经修复了该漏洞。 2. 如果无法升级到最新版本,可以通过在 XStream 实例中禁用 DTD 解析来缓解此漏洞。可以通过以下代码实现: ``` XStream xstream = new XStream(); xstream.ignoreUnknownElements(); ``` 3. 可以通过限制可反序列化的类或使用安全的转换器来减少攻击面。 4. 将 XStream 序列化作为一个不可信的输入,始终对其进行适当的验证和过滤。 5. 使用其他序列化库,例如 Jackson 或 Gson,来代替 XStream。 以上是一些常见的应对措施,但实际上解决此漏洞的最好方法是升级 XStream 到最新版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值