XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新，修复了XStream 反序列化漏洞（CVE-2020-26258、CVE-2020-26259）。攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发反序列化，从而造成CVE-2020-26258 SSRF漏洞，以及 CVE-2020-26259 任意文件删除漏洞。

XStream 反序列化漏洞（CVE-2020-26258 & 26259）,修复jar包 xstream-1.4.15.jar Xstream 是 Java 类库，用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件，允许在 BSD 许可证的许可下分发。 0x01 漏洞描述 Xstream上次对CVE-2020-26217处理并不彻底，虽然通过黑名单方法阻止了远程代码执行，但是仍然可以采用类似思路实现文件删除与服务器请求伪造。 影响版本 Xstream = 1.4.15 风险等级 严重