PT-2020-6135 · Thoughtworks+4 · Xstream+4
Liaogui Zhong
·
Publicado
2020-12-15
·
Atualizado
2025-09-29
·
CVE-2020-26259
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:P |
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.15
Descrição
A vulnerabilidade permite que um invasor remoto exclua arquivos arbitrários no host, desde que o processo em execução tenha direitos suficientes, manipulando o fluxo de entrada processado. Isso pode ser feito durante a desmarcação, explorando a falta de medidas de segurança adequadas na biblioteca XStream. Nenhum usuário será afetado se tiver configurado a Estrutura de Segurança do XStream com uma lista de permissões. A vulnerabilidade não existe ao executar o Java 15 ou superior.
Recomendações
Para a versão 1.4.14 do XStream, adicione as seguintes linhas ao código de configuração do XStream:
java
xstream.denyTypes(new String[]{ “jdk.nashorn.internal.objects.NativeString” });
xstream.denyTypesByRegExp(new String[]{ “.*.ReadAllStream$FileStream” });
Para as versões 1.4.14 a 1.4.13 do XStream, adicione as seguintes linhas ao código de configuração do XStream:
java
xstream.denyTypes(new String[]{ “javax.imageio.ImageIO$ContainsFilter”, “jdk.nashorn.internal.objects.NativeString” });
xstream.denyTypes(new Class[]{ java.lang.ProcessBuilder.class });
xstream.denyTypesByRegExp(new String[]{ “.*.ReadAllStream$FileStream” });
Para as versões 1.4.12 a 1.4.7 do XStream, configure uma lista negra do zero e rejeite pelo menos os seguintes tipos:
javax.imageio.ImageIO$ContainsFilter, java.beans. EventHandler, java.lang.ProcessBuilder, jdk.nashorn.internal.objects.NativeString.class, java.lang.Void e void, e rejeite vários tipos por padrão de nome:Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Linuxmint
Suse
Ubuntu
Xstream