Vulnérabilités dans la librairie Java de sérialisation XML XStream
Date de publication :
Deux vulnérabilités représentant un niveau de risque élevé ont été corrigées dans XStream. XStream est une bibliothèque Java permettant de sérialiser des objets en XML et inversement.
CVE-2020-26217 [Score CVSS v3 : 8.8] : Une vulnérabilité permettant l'exécution de code arbitraire a été corrigée sur XStream. Cette vulnérabilité peut permettre à un attaquant distant et authentifié d'exécuter des commandes shell arbitraires en manipulant le flux d'entrée traité.
CVE-2020-26258 [Score CVSS v3 : 7.7] : Une vulnérabilité de type "Server-Side Forgery Request" a été corrigée dans XStream. La vulnérabilité peut permettre à un attaquant distant et authentifié d’accéder à des données provenant de ressources internes qui ne sont pas accessibles au public en manipulant le flux d'entrée traité. La vulnérabilité n'affecte pas XStream en exécutant Java 15 ou une version supérieure.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Exposition d’informations sensibles
- Suppression de fichier arbitraire
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 7.7 ; 8.8
Existence d’un code d’exploitation
Deux démonstrations d’exploitation sont disponibles pour les CVEs mentionnées :
Composants vulnérables
- Les versions de XStream antérieures à la version 1.4.14 sont impactées par la CVE-2020-26217.
- Les versions de XStream antérieures à la version 1.4.15 sont impactées par la CVE-2020-26258.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour XStream vers la version 1.4.15.
Solution de contournement
Des mesures de mitigation sont disponibles pour ces vulnérabilités dans la section “Workaround” dans chacun des deux liens suivants :