【漏洞通告】Apache Dubbo多个高危漏洞（CVE-2021-36162、CVE-2021-36163）

2022年3月17日10:31:06评论140 views字数 825阅读2分45秒阅读模式

2021年9月1日，阿里云应急响应中心监测到国外安全研究人员披露Apache Dubbo多个高危漏洞详情。

01

漏洞描述

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。2021年8月31日，国外安全研究人员披露Apache Dubbo多个高危漏洞详情：

CVE-2021-36162 中，Apache Dubbo多处使用了yaml.load，攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。

CVE-2021-36163 中，Apache Dubbo中使用了不安全的Hessian 协议，攻击者可以利用此漏洞触发反序列化，造成远程代码执行漏洞。

阿里云应急响应中心提醒 Apache Dubbo 用户尽快采取安全措施阻止漏洞攻击。

02

漏洞评级

CVE-2021-36162 Apache Dubbo Yaml 反序列化漏洞高危

CVE-2021-36163 Apache Dubbo Hessian2 协议反序列化漏洞高危

漏洞细节	漏洞PoC	漏洞EXP	在野利用
公开	公开	未公开	未知

03
03
03

影响版本

2.7.0 <= Dubbo <= 2.7.12

3.0.0 <= Dubbo <= 3.0.1

04
03
03

安全版本

Apache Dubbo 2.7.13

Apache Dubbo 3.0.2

05

安全建议

1、升级 Apache Dubbo 至最新版本

2、利用阿里云安全组功能设置 Apache Dubbo 相关端口仅对可信地址开放。

06

相关链接

https://help.aliyun.com/noticelist/articleid/1060900378.html

https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo

【漏洞通告】Apache Dubbo多个高危漏洞（CVE-2021-36162、CVE-2021-36163）

本文始发于微信公众号（阿里云应急响应）：【漏洞通告】Apache Dubbo多个高危漏洞（CVE-2021-36162、CVE-2021-36163）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

华硕修复严重的DriverHub 漏洞

【成功复现】Elestio Memos服务器端请求伪造漏洞(CVE-2025-22952)【SSRF】 POC

【漏洞复现】某华智慧园区综合管理平台文件上传漏洞(CNVD2024-35311) POC

⼤华智慧园区综合管理平台⽂件上传(CNVD2024-34322)

CNVD-2024-22977 金和C6协同管理平台文件上传漏洞

吉大正元身份认证网关 downTools 任意文件读取漏洞 POC

漏洞预警：CVE-2024-26809利用nftables双重释放漏洞获取Root权限

Docker Desktop信息泄露漏洞(CVE-2025-1696)

CVE-2025-29774/CVE-2025-29775: xml-crypto XML Signature Wrapping

【成功复现】DocsGPT远程代码执行漏洞 (CVE-2025-0868)

本文由 admin 发表于 2022年3月17日10:31:06
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
【漏洞通告】Apache Dubbo多个高危漏洞（CVE-2021-36162、CVE-2021-36163）https://cn-sec.com/archives/499099.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

目录

在线咨询

13688888888

8888 QQ在线咨询

微信
本页二维码