漏洞描述

Apache Dubbo是一款高性能、轻量级的开源Java服务框架。

近日，监测到Apache Dubbo发布新版本修复了Apache Dubbo反序列化漏洞(CVE-2023-46279)与Apache Dubbo反序列化漏洞(CVE-2023-29234)，攻击者通过向系统发送恶意数据包利用这些漏洞，成功后可以读取敏感信息或执行恶意代码。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

影响版本

3.1.0 <= Apache Dubbo <= 3.1.10

3.2.0 <= Apache Dubbo <= 3.2.4

解决方案

升级Apache Dubbo 至对应安全版本。

参考资料

[1]https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo

[2]https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77

[3]https://github.com/apache/dubbo/releases

原文始发于微信公众号（Eonian Sharp）：漏洞预警 | Dubbo CVE-2023-29234 反序列化