0x01漏洞概述

Apache Dubbo是一个分布式框架,致力于提供高性能透明化的 RPC 远程服务调用方案,以及 SOA 服务治理方案,它在实际应用场景中主要负责解决分布式的相关需求。

Apache Dubbo 存在反序列化漏洞,Apache Dubbo 支持多种协议,官方推荐使用 Dubbo协议,此漏洞是属于 Apache Dubbo HTTP 协议中的一个反序列化漏洞,主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo在接受来自消费者的远程调用请求的时候存在一个不安全的反序列化行为,最终导致了远程任意代码执行。

0x02漏洞编号

CVE-2019-17564

0x03危险级别

高危

0x04影响版本

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

0x05漏洞验证

暂无 POC/EXP。

0x06修复建议

目前厂商已发布新版本修复漏洞,请尽快安装和应用更新。

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

最后修改:2021 年 03 月 09 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏