近日，腾讯云服务安全运营管理中心检测到，XStream官方发布有关XStream反序列化漏洞的风险性通知（漏洞序号：CVE-2020-26259,CVE-2020-26258），假如编码中应用了XStream，未受权的远程控制攻击者，可结构特殊的实例化数据信息导致随意文件删除或服务器端请求仿冒。

为防止您的业务流程受影响，腾讯云服务安全性建议立即进行安全性自纠自查，如在受影响范畴，请您立即开展升级修补，防止被外界攻击者侵入。

漏洞详细信息

XStream是一个开源系统的Java类库，它可以将目标编码序列化为XML或将XML反序列化为目标。

CVE-2020-26259: 随意文件删除漏洞

假如XStream服务项目有充足的管理权限，在XStream在反序列化数据信息时，攻击者可结构特殊的XML/JSON请求，导致随意文件删除。

CVE-2020-26258: 服务器端请求仿冒漏洞

XStream的服务项目在反序列化数据信息时，攻击者能够控制解决后的键入流并更换或引入目标，进而造成 服务端开展仿冒请求。

安全风险

高危

漏洞风险性

攻击者可运用该漏洞删掉随意文档，或服务器端请求仿冒。现阶段有关POC已公布。

危害版本

XStream < 1.4.15

安全性版本

XStream >=1.4.15

修补提议

XStream官方网已公布安全性版本，腾讯云服务安全性建议尽早升級XStream部件的web服务，防止危害业务流程。

下载地址：

并提议配备XStream的安全性架构为容许的种类应用授权管理

【备注名称】：建议在升級前搞好备份数据工作中，防止发生意外

检验与安全防护

腾讯官方 T-Sec Web运用服务器防火墙（WAF）已适用阻拦 XStream 反序列化漏洞（CVE-2020-26258/26259）

漏洞参照