请选择 进入手机版 | 继续访问电脑版

迪普科技技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信 迪普新浪微博  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP 自安全园区网解决方案 DP 自安全分支机构解决方案 DP 自安全物联感知网解决方案

查看: 776|回复: 0

DPtech_XStream任意文件删除漏洞防御配置指导

[复制链接]

18

主题

18

帖子

298

积分

中级会员

Rank: 3Rank: 3

积分
298
QQ
发表于 2020-12-15 16:38:40 | 显示全部楼层 |阅读模式
XStream是用来将对象序列化成XML(JSON)或反序列化为对象的Java类库。XStream的API提供了默认的映射大部分对象序列化。XStream可序列化的内部字段,如私有和最终字段,支持非公有制和内部类。默认构造函数不是强制性的要求。XStream支持其它的输出格式,如JSON。
XStream官方在2020年12月份发布的最新安全补丁中披露,存在一个反序列化漏洞。攻击者可以利用有足够权限的XStream的服务构造特定的XML/JSON请求,从而删除服务器端的指定文件(CVE-2020-26259)。攻击者可以利用XStream的服务构造特定的 XML/JSON 请求,造成服务端请求伪造(CVE-2020-26258)。该漏洞利用难度低且危害大,迪普科技建议Apache Struts2相关用户及时修补,做好相关防护措施。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|迪普科技 ( 浙ICP备09001402号-2 )

GMT+8, 2021-2-25 23:59 , Processed in 0.158022 second(s), 24 queries .

Powered by Discuz! X3.1

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表