一、概要

近日，華為云關(guān)注到XStream官方發(fā)布安全公告，披露在1.4.15之前的版本中存在反序列化漏洞（CVE-2020-26258/26259）。XStream是Java類(lèi)庫(kù)，用來(lái)將對(duì)象序列化成XML （JSON）或反序列化為對(duì)象。攻擊者利用漏洞可造成任意文件刪除/服務(wù)端請(qǐng)求偽造，目前業(yè)界已有相關(guān)POC公開(kāi)，華為云提醒使用XStream的用戶(hù)盡快安排自檢并做好安全加固。

參考鏈接：

http://x-stream.github.io/CVE-2020-26258.html

http://x-stream.github.io/CVE-2020-26259.html

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

XStream < 1.4.15

安全版本：

XStream 1.4.15

四、漏洞處置

目前官方已在最新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶(hù)及時(shí)升級(jí)至安全版本。

http://x-stream.github.io/download.html

華為云WAF 具備對(duì)該漏洞防御能力。華為云WAF用戶(hù)將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請(qǐng)參見(jiàn)配置Web基礎(chǔ)防護(hù)規(guī)則（link：https://support.huaweicloud.com/usermanual-waf/waf_01_0008.html ）。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。