Vulnerabilidad en la lista negra predeterminada del Security Framework en XStream (CVE-2020-26259)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
16/12/2020
Última modificación:
23/05/2025
Descripción
XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream versiones anteriores a 1.4.15, es vulnerable a una Eliminación Arbitraria de Archivos en el host local al desagrupar. La vulnerabilidad puede permitir a un atacante remoto eliminar archivos conocidos arbitrarios en el host como registro, ya que el proceso en ejecución posee derechos suficientes solo mediante la manipulación del flujo de entrada procesado. Si confía en la lista negra predeterminada de XStream del Security Framework, tendrá que usar al menos la versión 1.4.15. La vulnerabilidad reportada no se presenta al ejecutar Java versión 15 o superior. Ningún usuario está afectado, si siguió la recomendación de configurar el Security Framework de XStream con una lista blanca! Cualquiera que confíe en la lista negra predeterminada de XStream puede cambiar inmediatamente a una lista blanca para los tipos permitidos para evitar la vulnerabilidad. Usuarios de XStream 1.4 o por debajo, quienes aún quieran usar la lista negra predeterminada de XStream pueden usar una solución alternativa que se describe con más detalle en los avisos a los que se hace referencia
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:* | 6.0.0 (excluyendo) | |
cpe:2.3:a:xstream:xstream:*:*:*:*:*:*:*:* | 1.4.15 (excluyendo) | |
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* | ||
cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/x-stream/xstream/security/advisories/GHSA-jfvx-7wrx-43fh
- https://lists.apache.org/thread.html/r97993e3d78e1f5389b7b172ba9f308440830ce5f051ee62714a0aa34%40%3Ccommits.struts.apache.org%3E
- https://lists.debian.org/debian-lts-announce/2020/12/msg00042.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/
- https://security.netapp.com/advisory/ntap-20210409-0005/
- https://www.debian.org/security/2021/dsa-4828
- https://x-stream.github.io/CVE-2020-26259.html
- https://github.com/x-stream/xstream/security/advisories/GHSA-jfvx-7wrx-43fh
- https://lists.apache.org/thread.html/r97993e3d78e1f5389b7b172ba9f308440830ce5f051ee62714a0aa34%40%3Ccommits.struts.apache.org%3E
- https://lists.debian.org/debian-lts-announce/2020/12/msg00042.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/22KVR6B5IZP3BGQ3HPWIO2FWWCKT3DHP/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PVPHZA7VW2RRSDCOIPP2W6O5ND254TU7/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QGXIU3YDPG6OGTDHMBLAFN7BPBERXREB/
- https://security.netapp.com/advisory/ntap-20210409-0005/
- https://www.debian.org/security/2021/dsa-4828
- https://x-stream.github.io/CVE-2020-26259.html