一、概要

近日，華為云關(guān)注到XStream官方發(fā)布最新1.4.14版本，披露在1.4.14之前的版本中存在一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-26217）。XStream是Java類庫，用來將對(duì)象序列化成XML （JSON）或反序列化為對(duì)象。攻擊者通過構(gòu)造惡意的XML，在受影響的XStream版本中繞過默認(rèn)黑名單，觸發(fā)遠(yuǎn)程代碼執(zhí)行。

華為云提醒使用XStream的用戶盡快安排自檢并做好安全加固。

參考鏈接：

http://x-stream.github.io/CVE-2020-26217.html

http://x-stream.github.io/news.html

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

XStream < 1.4.14

安全版本：

XStream 1.4.14

四、漏洞處置

目前官方已在最新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶及時(shí)升級(jí)至安全版本。

http://x-stream.github.io/download.html

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。