# XStream中的远程代码执行漏洞
## 概述
XStream 在 1.4.14 之前的版本中存在远程代码执行漏洞。此漏洞允许远程攻击者通过操纵处理的输入流来运行任意 shell 命令。
## 影响版本
XStream 1.4.14 之前的版本
## 细节
该漏洞仅影响使用 blocklist 的用户,使用 XStream 安全框架 allowlist 的用户不受影响。官方建议升级到 1.4.14 版本以修复此漏洞,并为无法升级的用户提供代码修复方案。
## 影响
- 允许远程攻击者执行任意 shell 命令。
- 仅影响使用 blocklist 的用户,不影响使用 allowlist 的用户。
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | CVE-2020-26217 XStream RCE POC | https://github.com/novysodope/CVE-2020-26217-XStream-RCE-POC | POC详情 |
| 2 | CVE-2020-26217 && XStream RCE | https://github.com/Al1ex/CVE-2020-26217 | POC详情 |
| 3 | xstream with CVE-2020-26217 | https://github.com/epicosy/XStream-1 | POC详情 |
| 4 | XStream before 1.4.14 is susceptible to remote code execution. An attacker can run arbitrary shell commands by manipulating the processed input stream, thereby making it possible to obtain sensitive information, modify data, and/or execute unauthorized administrative operations in the context of the affected site. Users who rely on blocklists are affected. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2020/CVE-2020-26217.yaml | POC详情 |
| 5 | None | https://github.com/cuijiung/xstream-CVE-2020-26217 | POC详情 |
| 6 | None | https://github.com/shoucheng3/x-stream__xstream_CVE-2020-26217_1-4-14-java7 | POC详情 |
| 7 | None | https://github.com/shoucheng3/x-stream__xstream_CVE-2020-26217_1-4-14-java77 | POC详情 |
暂无评论