【漏洞通告】Apache Dubbo多个反序列化漏洞

admin
admin
admin
138658
文章
114
评论
2023年12月20日18:15:59评论21 views字数 668阅读2分13秒阅读模式
漏洞描述
Apache Dubbo 是一款高性能、轻量级的开源 Java 服务框架。Apache Dubbo提供了六大核心能力:面向接口代理的高性能RPC调用,智能容错和负载均衡,服务自动注册和发现,高度可扩展能力,运行期流量调度,可视化的服务治理与运维。

美创59实验室监测到Apache Dubbo官方发布了风险通告,漏洞编号:CVE-2023-46279CVE-2023-29234,漏洞等级:高危。

  • CVE-2023-46279:Apache Dubbo 反序列化漏洞

简述:Apache Dubbo中存在反序列化漏洞,攻击者利用该漏洞可以绕过拒绝反序列化列表检查触发反序列化错误,最终泄露敏感信息或执行恶意代码。

  • CVE-2023-29234: Apache Dubbo 反序列化漏洞

简述:Apache Dubbo中存在反序列化漏洞,攻击者可以通过向系统发生恶意数据包绕过反序列化检查,触发反序列化漏洞,泄露敏感信息或执行恶意代码。

影响范围

影响版本:

  • CVE-2023-46279:Apache Dubbo 反序列化漏洞

Apache Dubbo = 3.1.5

  • CVE-2023-29234: Apache Dubbo 反序列化漏洞
Apache Dubbo 3.2.x 3.2.4

Apache Dubbo 3.1.x 3.1.10

处置建议
目前Apache Dubbo官方已修复该漏洞,建议受影响用户升级至最新版本。下载链接:

https://github.com/apache/dubbo/releases


原文始发于微信公众号(第59号):【漏洞通告】Apache Dubbo多个反序列化漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月20日18:15:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Apache Dubbo多个反序列化漏洞http://cn-sec.com/archives/2320708.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息