PT-2020-6136 · Thornton Rose+4 · Xstream+4
Liaogui Zhong
·
Publicado
2020-12-15
·
Atualizado
2025-01-15
·
CVE-2020-26258
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.15
Descrição
O problema está relacionado a uma vulnerabilidade de solicitação de falsificação do lado do servidor (Server-Side Forgery Request) no XStream, uma biblioteca Java usada para serializar objetos em XML e vice-versa. Essa vulnerabilidade pode ser ativada durante a desmarcação e pode permitir que um invasor remoto solicite dados de recursos internos que não estão disponíveis publicamente, manipulando o fluxo de entrada processado. A vulnerabilidade não existe se estiver em execução o Java 15 ou superior. Nenhum usuário que tenha seguido a recomendação de configurar a estrutura de segurança do XStream com uma lista de permissões será afetado.
Recomendações
Para resolver o problema em cada versão afetada:
- Para o XStream 1.4.14, adicione as seguintes linhas ao código de configuração do XStream:
java
xstream.denyTypes(new String[]{ “jdk.nashorn.internal.objects.NativeString” });
xstream.denyTypesByRegExp(new String[]{ “.*.ReadAllStream$FileStream” });
- Para o XStream 1.4.13 a 1.4.14, adicione as seguintes linhas ao código de configuração do XStream:
java
xstream.denyTypes(new String[]{ “javax.imageio.ImageIO$ContainsFilter”, “jdk.nashorn.internal.objects.NativeString” });
xstream.denyTypes(new Class[]{ java.lang.ProcessBuilder.class });
xstream.denyTypesByRegExp(new String[]{ “.*.ReadAllStream$FileStream” });
- Para o XStream 1.4.12 a 1.4.7, configure uma lista negra do zero e rejeite pelo menos os seguintes tipos:
javax.imageio.ImageIO$ContainsFilter,java.beans.EventHandler,java.lang.ProcessBuilder, `
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Linuxmint
Suse
Ubuntu
Xstream