漏洞描述
Apache Dubbo是一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring框架无缝集成。它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
漏洞名称
Apache Dubbo 反序列化漏洞(CVE-2023-29234)
漏洞评分
7.7(高危)
CVSS 3.X:7.7 AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:H
漏洞详情
apache dubbo中存在反序列化漏洞,攻击者可以通过向系统发生恶意数据包绕过反序列化检查,触发反序列化漏洞,泄露敏感信息或执行恶意代码。
| 漏洞编号 | CVE-2023-29234 | 漏洞类型 | 拒绝服务、代码执行 |
| 厂商 | Apache | 影响软件 | Apache Software Foundation Dubbo |
| POC状态 | 未知 | EXP状态 | 未知 |
| 漏洞细节 | 未知 | 在野利用 | 未知 |
影响版本
apache dubbo 3.2.x <= 3.2.4
apache dubbo 3.1.x <= 3.1.10
修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本
补丁名称:Apache Dubbo 反序列化漏洞的补丁— 更新至最新版本3.2.9
公告链接:
https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
补丁链接:
https://github.com/apache/dubbo/releases/tag/dubbo-3.2.9
补丁来源:官方
补丁类型:官方补丁
参考链接
来源:lists.apache.org
链接: https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
来源:www.openwall.com
链接: http://www.openwall.com/lists/oss-security/2023/12/15/2
来源:cxsecurity.com
链接: https://cxsecurity.com/cveshow/CVE-2023-29234/
原文始发于微信公众号(蚁剑安全实验室):【漏洞预警】Apache Dubbo 反序列化漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论