2020年11月18日
【漏洞复现】CVE-2020-26217 | XStream远程代码执行漏洞
摘要: #写在前面 影响范围为XStream < 1.4.14,小版本也需要加黑名单,但是复现过程中只有所有常规版本和下图红标小版本复现成功: 另外还需要XPP3、xmlpull这两个jar包,JDK9无法触发成功。 复现过程中发现1.4.10及以上版本通过在使用fromXML方法前开启默认安全配置: XS 阅读全文
posted @ 2020-11-18 15:33 303donatello 阅读(3054) 评论(0) 推荐(1) 编辑