当前位置: 首页 > > 新突破!方班黎韦成同学发现XStream严重级别零日漏洞!

新突破!方班黎韦成同学发现XStream严重级别零日漏洞!

发表于:2020-12-28 10:15 作者: 方滨兴班 阅读数(4523人)

2020年11月16日XStream发布了XStream安全更新的风险通告,该漏洞编号为CVE-2020-26217,是一个属于严重级别的反序列化漏洞,未授权的远程攻击者通过向使用 XStream 的web应用发送特制请求,可导致远程代码执行,并获得该服务器控制权限。

该漏洞的发现者,方班三期的黎韦成同学,通过观察XStream以往的漏洞,发现其修复方式是黑名单,然后成功的找到了绕过方式,从而发现了这个零日漏洞并向XStream官方进行了报告。

XStream官方对此漏洞的部分通告:

image.png


详细通告的查看地址为:

http://x-stream.github.io/CVE-2020-26217.html

当天360对此漏洞进行了通告,并给了9.8分(总分10分)的高评分,查看地址为:https://mp.weixin.qq.com/s/IvJm8LRoHrpClbpkIpDZbA

广州大学方班致力于加快我国网络安全人才的培养,探索网安人才培养新模式,注重根据学生兴趣进行人才培养。广州大学网络空间安全智能攻防课题组,在网络攻防对抗中有着深入的研究,长期的技术积累,致力于解决实际问题,每个同学都在各自感兴趣的方向深挖研究,注重理论与实践相结合,尤其在漏洞挖掘方面多次取得优异成绩。