0x00 漏洞编号

• CVE-2023-46279

0x01 危险等级

• 高危
  

0x02 漏洞概述

Apache Dubbo 是一款微服务开发框架，它提供了RPC通信与微服务治理两大关键能力。使应用可通过高性能的 RPC 实现服务的输出和输入功能，可以和 Spring 框架无缝集成。

0x03 漏洞详情

CVE-2023-46279

漏洞类型：反序列化

影响：代码执行

简述：Apache Dubbo在3.1.5版本中存在反序列化漏洞，攻击者可以构造特制的序列化利用链绕过Dubbo中的黑名单进行反序列化利用，导致恶意代码执行。

0x04 影响版本

• Apache Dubbo 3.1.5

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://github.com/apache/dubbo/releases

原文始发于微信公众号（浅安安全）：漏洞预警 | Apache Dubbo反序列化漏洞