Apache Dubbo
反序列化代码执行漏洞
(CVE-2023-23638)
Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架,同时为构建企业级微服务提供服务发现、流量治理、可观测、认证鉴权等能力、工具与最佳实践。
3月8日,Apache Dubbo 官方发布安全补丁,修复了一处反序列化利用绕过代码执行高危漏洞,漏洞编号为 CVE-2023-23638。
漏洞描述
Apache Dubbo provider 服务运行后,默认监听20880端口,且默认使用 Hessian 序列化机制与 consumer 端进行通信。由于 Dubbo安全检查存在缺陷,导致攻击者可绕过 Dubbo 的反序列化安全检查从而进行 Hessian 反序列化利用攻击。若攻击者成功利用此漏洞则可在目标服务端执行任意恶意代码,获取对应的系统服务权限。
影响范围
-
Apache Dubbo 2.7.x <= 2.7.21
-
Apache Dubbo 3.0.x <= 3.0.13
-
Apache Dubbo 3.1.x <= 3.1.5
解决方案
-
Apache Dubbo 2.7.22
-
Apache Dubbo 3.0.14
-
Apache Dubbo 3.1.6
产品支持
全悉:默认支持该漏洞利用行为的检测。
云图:默认支持该产品的指纹与受影响范围识别,同时支持该漏洞的检测。
参考资料
-
https://seclists.org/oss-sec/2023/q1/133
原文始发于微信公众号(长亭技术沙盒):漏洞风险提示 | Apache Dubbo 反序列化代码执行漏洞(CVE-2023-23638)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论