漏洞描述
Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo Provider 存在反序列化漏洞, 该漏洞的相关技术细节已公开。对此,禹宏信安建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞编号
CVE-2020-1948
漏洞危害
攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。
漏洞等级
高危
受影响版本
Dubbo 2.7.0 – 2.7.6
Dubbo 2.6.0 – 2.6.7
Dubbo 2.5.x (官方不再维护)
修复方案
禹宏信安建议广大用户及时升级到2.7.7或更高版本,下载地址为:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
参考链接
- https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7