一、背景介绍
近日,市委网信办技术支撑单位监测发现到Apache 官方发布安全更新,修复了Apache Dubbo反序列化漏洞。
1.1 漏洞描述
Dubbo 泛化调用时由于反序列化检查机制实现存在缺陷,可访问目标服务的攻击者可能在服务提供方上执行恶意代码。利用此漏洞需知道接口全限定名、方法名、入参及返参类型。攻击者成功利用此漏洞可造成远程代码执行。
1.2 漏洞编号
CVE-2023-23638
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache Dubbo 2.7.x <= 2.7.21
Apache Dubbo 3.0.x <= 3.0.13
Apache Dubbo 3.1.x <= 3.1.5
2.2 修复建议
目前官方已针对该漏洞发布修复版本,建议受影响的用户及时更新升级到最新版本,下载链接:https://github.com/apache/dubbo/releases