一、背景介绍
近日,市委网信办技术支撑单位监测到互联网上披露Apache Dubbo在3.1.5版本中存在反序列化漏洞。建议受影响的用户尽快修复漏洞。
1.1漏洞描述
Apache Dubbo是⼀款易⽤、⾼性能的WEB和RPC框架,同时为构建企业级微服务提供流量治理、认证鉴权等能⼒、⼯具与最佳实践。攻击者可以构造特制的序列化利⽤链绕过Dubbo中的⿊名单进⾏反序列化利⽤,导致恶意代码执⾏。
1.2漏洞编号
CVE-2023-46279
1.3漏洞等级
严重
二、修复建议
2.1受影响版本
Apache Dubbo3.1.5
2.2修复建议
目前官方已经发布补丁,建议受影响用户尽快安装补丁:https://github.com/apache/dubbo/releases