【漏洞预警】Apache Dubbo反序列化漏洞(CVE-2023-23638)

admin
admin
admin
137432
文章
113
评论
2023年3月14日17:40:02评论57 views字数 598阅读1分59秒阅读模式
漏洞描述

【漏洞预警】Apache Dubbo反序列化漏洞(CVE-2023-23638)


Apache Dubbo 是一款易用、高性能的 WEB RPC 框架,旨在为构建企业级微服务提供框架、通信以及服务治理能力。
飓风安全监测到Apache官方发布安全公告,修复了Apache Dubbo 反序列化漏洞漏洞编号:CVE-2023-23638,漏洞等级:高危。由于Apache Dubbo安全检查存在缺陷,导致可以绕过反序列化安全检查并执行反序列化攻击,成功利用该漏洞可在目标系统上执行任意代码。
Dubbo 泛化调用时由于反序列化检查机制实现存在缺陷,可访问目标服务的攻击者可能在服务提供方上执行恶意代码。利用此漏洞需知道接口全限定名、方法名、入参及返参类型。


影响范围


受影响版本:
  • Apache Dubbo 2.7.x <= 2.7.21
  • Apache Dubbo 3.0.x <= 3.0.13

  • Apache Dubbo 3.1.x <= 3.1.5



不受影响版本:
  • Apache Dubbo 2.7.x >= 2.7.22
  • Apache Dubbo 3.0.x >= 3.0.14
  • Apache Dubbo 3.1.x >= 3.1.6



处置建议


缓解方案:将 Dubbo 部署在内网
通用方案:目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:
https://github.com/apache/dubbo/tags

原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache Dubbo反序列化漏洞(CVE-2023-23638)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月14日17:40:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Apache Dubbo反序列化漏洞(CVE-2023-23638)https://cn-sec.com/archives/1604316.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息