XStream 反序列化漏洞（CVE-2020-26258 & 26259）,修复jar包 xstream-1.4.15.jar Xstream 是 Java 类库，用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件，允许在 BSD 许可证的许可下分发。 0x01 漏洞描述 Xstream上次对CVE-2020-26217处理并不彻底，虽然通过黑名单方法阻止了远程代码执行，但是仍然可以采用类似思路实现文件删除与服务器请求伪造。 影响版本 Xstream = 1.4.15 风险等级 严重