漏洞风险提示 | Apache Dubbo 反序列化代码执行漏洞(CVE-2023-23638)

admin 2023年3月11日21:05:17评论97 views字数 726阅读2分25秒阅读模式
        长亭漏洞风险提示       


Apache Dubbo 

反序列化代码执行漏洞

(CVE-2023-23638)



Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架,同时为构建企业级微服务提供服务发现、流量治理、可观测、认证鉴权等能力、工具与最佳实践。


3月8日,Apache Dubbo 官方发布安全补丁,修复了一处反序列化利用绕过代码执行高危漏洞,漏洞编号为 CVE-2023-23638


漏洞描述


Apache Dubbo provider 服务运行后,默认监听20880端口,且默认使用 Hessian 序列化机制与 consumer 端进行通信。由于 Dubbo安全检查存在缺陷,导致攻击者可绕过 Dubbo 的反序列化安全检查从而进行 Hessian 反序列化利用攻击。若攻击者成功利用此漏洞则可在目标服务端执行任意恶意代码,获取对应的系统服务权限。


影响范围


  • Apache Dubbo 2.7.x <= 2.7.21

  • Apache Dubbo 3.0.x <= 3.0.13

  • Apache Dubbo 3.1.x <= 3.1.5


解决方案


Apache Dubbo 官方已发布相应的补丁修复漏洞,用户可通过安全更新升级到以下安全版本进行漏洞修复:
  • Apache Dubbo 2.7.22

  • Apache Dubbo 3.0.14

  • Apache Dubbo 3.1.6


产品支持


全悉:默认支持该漏洞利用行为的检测。

云图:默认支持该产品的指纹与受影响范围识别,同时支持该漏洞的检测。


参考资料



  • https://seclists.org/oss-sec/2023/q1/133


漏洞风险提示 | Apache Dubbo 反序列化代码执行漏洞(CVE-2023-23638)

漏洞风险提示 | Apache Dubbo 反序列化代码执行漏洞(CVE-2023-23638)




原文始发于微信公众号(长亭技术沙盒):漏洞风险提示 | Apache Dubbo 反序列化代码执行漏洞(CVE-2023-23638)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月11日21:05:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞风险提示 | Apache Dubbo 反序列化代码执行漏洞(CVE-2023-23638)https://cn-sec.com/archives/1598697.html

发表评论

匿名网友 填写信息