【安全风险通告】Apache Dubbo反序列化漏洞安全风险通告

Apache Dubbo是一个分布式框架，致力于提供高性能透明化的RPC远程服务调用方案，以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。

近日监测到Apache Dubbo披露了一个反序列化漏洞。远程攻击者可以通过发送带有无法识别的服务、方法名称或带有恶意参数的RPC请求对此漏洞进行利用，成功时可造成恶意代码执行。鉴于该漏洞影响较大，建议客户尽快自查修复。

Apache Dubbo Provider 存在 反序列化漏洞，攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷，当恶意参数被反序列化时，可以造成远程代码执行。

风险等级

高危

2.7.0 <= Apache Dubbo <= 2.7.6

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo 全部 2.5.x 版本（不再被官方团队支持）

建议尽快升级至修复版本：v2.7.7或采用奇安信产品线解决方案，升级链接如下：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

本文始发于微信公众号（飓风网络安全）：【安全风险通告】Apache Dubbo反序列化漏洞安全风险通告