XStream 反序列化漏洞(CVE-2020-26258 & 26259),修复jar包 xstream-1.4.15.jar
Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发。
0x01 漏洞描述
Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。
影响版本
Xstream = 1.4.15
风险等级
严重
2021-01-28 12:00:36
613KB
1
xstream各个版本jar包,包含【1.4.5】【1.4.6】【1.4.7】【1.4.8】【1.4.9】【1.4.11】【1.4.12】【1.4.13】【1.4.15】
2021-01-28 02:20:37
4.24MB
1
xstream所需要的jar包,xstream-1.4.9.jar、dom4j-1.6.1.jar、xpp3_min-1.1.4c.jar等
2019-12-21 21:06:31
778KB
1
XStream示例代码,JavaBean与XML,JSON之间互相转换(包含完整jar包)jettison-1.3.3.jar、xmlpull-1.1.3.1.jar、xstream-1.4.7.jar
2015-06-12 00:00:00
532KB
1