Каталог уязвимостей Сканер-ВС

Вернуться к списку

CVE-2020-26258

Оценки

EPSS

0.937высокий93.7%
0%20%40%60%80%100%

Процентиль: 93.7%

CVSS

7.7высокий3.x
0246810

Оценка CVSS: 7.7/10

Все оценки CVSS

CVSS 3.x
7.7

Вектор: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

CVSS 2.0
5.0

Вектор: AV:N/AC:L/Au:N/C:P/I:N/A:N

Описание

XStream - это Java-библиотека для сериализации объектов в XML и обратно. В XStream до версии 1.4.15 уязвимость Server-Side Forgery Request может быть активирована при демаршалинге. Уязвимость может позволить удаленному злоумышленнику запрашивать данные из внутренних ресурсов, которые не являются общедоступными, только путем манипулирования обработанным входным потоком. Если вы полагаетесь на черный список XStream по умолчанию в Security Framework, вам необходимо использовать как минимум версию 1.4.15. Сообщаемая уязвимость не существует при использовании Java 15 или более поздней версии. Ни один пользователь не пострадал, если он следовал рекомендации по настройке Security Framework XStream с использованием белого списка! Любой, кто полагается на черный список XStream по умолчанию, может немедленно переключиться на белый список для разрешенных типов, чтобы избежать уязвимости. Пользователи XStream 1.4.14 или более ранних версий, которые все еще хотят использовать черный список XStream по умолчанию, могут использовать обходной путь, более подробно описанный в указанных рекомендациях.

Сканер-ВС 7 — современное решение для управления уязвимостями

Использует эту базу данных для обнаружения уязвимостей. Высокая скорость поиска, кроссплатформенность, продвинутый аудит конфигурации и гибкая фильтрация. Подходит для организаций любого масштаба.
Подробнее о Сканер-ВС 7

Источники

debiannvdredhatubuntu

CWE

CWE-918

Связанные уязвимости

BDU:2021-03157

Эксплойты

ID эксплойта: CVE-2020-26258

Источник: github-poc

URL: https://github.com/cuijiung/xstream-CVE-2020-26258

Уязвимое ПО (21)

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu bionic 18.04

Характеристика: 
{  "fixed": "1.4.11.1-1~18.04.1"}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu focal 20.04

Характеристика: 
{  "fixed": "1.4.11.1-1ubuntu0.1"}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu groovy 20.10

Характеристика: 
{  "fixed": "1.4.11.1-2ubuntu0.1"}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu hirsute 21.04

Характеристика: 
{  "unaffected": true}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu impish 21.10

Характеристика: 
{  "unaffected": true}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu jammy 22.04

Характеристика: 
{  "unaffected": true}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu kinetic 22.10

Характеристика: 
{  "unaffected": true}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu lunar 23.04

Характеристика: 
{  "unaffected": true}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu mantic 23.10

Характеристика: 
{  "unaffected": true}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu noble 24.04

Характеристика: 
{  "unaffected": true}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu oracular 24.10

Характеристика: 
{  "unaffected": true}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu trusty 14.04

Характеристика: 
{  "unfixed": true}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: ubuntu xenial 16.04

Характеристика: 
{  "unfixed": true}

Источник: ubuntu

Тип: Конфигурация

Продукт: libxstream-java

Операционная система: debian

Характеристика: 
{  "fixed": "1.4.15-1"}

Источник: debian

Тип: Конфигурация

Продукт: xstream

Операционная система: altlinux

Характеристика: 
{  "fixed": "0:1.4.19-alt1_2jpp11"}

Источник: redhat

Тип: Конфигурация

Продукт: xstream-benchmark

Операционная система: altlinux

Характеристика: 
{  "fixed": "0:1.4.19-alt1_2jpp11"}

Источник: redhat

Тип: Конфигурация

Продукт: xstream-javadoc

Операционная система: altlinux

Характеристика: 
{  "fixed": "0:1.4.19-alt1_2jpp11"}

Источник: redhat

Тип: Конфигурация

Поставщик: *

Продукт: debian_linux

Операционная система: * * *

Характеристика: 
{  "cpe_match": [    {      "cpe23uri": "cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*",      "vulnerable": true    },    {      "cpe23uri": "cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*"...

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: fedora

Операционная система: * * *

Характеристика: 
{  "cpe_match": [    {      "cpe23uri": "cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*",      "vulnerable": true    },    {      "cpe23uri": "cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*",...

Источник: nvd

Тип: Конфигурация

Поставщик: *

Продукт: struts

Операционная система: * * *

Характеристика: 
{  "cpe_match": [    {      "cpe23uri": "cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:*",      "versionEndExcluding": "6.0.0",      "vulnerable": true    }  ],  "operator": "OR"}

Источник: nvd