漏洞预警|Apache Dubbo 存在反序列化漏洞

棱镜七彩安全预警

近日网上有关于开源项目Apache Dubbo 存在反序列化漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

Apache Dubbo 是一款 RPC 服务开发框架，用于解决微服务架构下的服务治理与通信问题，官方提供了 Java、Golang 等多语言 SDK 实现。使用 Dubbo 开发的微服务原生具备相互之间的远程地址发现与通信能力， 利用 Dubbo 提供的丰富服务治理特性，可以实现诸如服务发现、负载均衡、流量调度等服务治理诉求。Dubbo 被设计为高度可扩展，用户可以方便的实现流量拦截、选址的各种定制逻辑。

项目主页

https://cn.dubbo.apache.org/

代码托管地址

https://github.com/apache/dubbo

CVE编号

CVE-2023-23638

漏洞情况

Apache Dubbo 是一款 RPC 服务开发框架，用于解决微服务架构下的服务治理与通信问题，官方提供了 Java、Golang 等多语言 SDK 实现。该项目受影响版本存在反序列化漏洞，由于Dubbo在序列化时检查不够全面，当攻击者可访问到dubbo服务时，可通过构造恶意请求绕过检查触发反序列化，执行恶意代码

受影响的版本

org.apache.dubbo:dubbo-common@[3.0.0, 3.0.14)

org.apache.dubbo:dubbo-qos@[3.1.0, 3.1.6)

org.apache.dubbo:dubbo-common@[2.7.0, 2.7.22)

修复方案

将组件 org.apache.dubbo:dubbo-common 升级至 3.0.14 及以上版本

将组件 org.apache.dubbo:dubbo-qos 升级至 3.1.6 及以上版本

将组件 org.apache.dubbo:dubbo-common 升级至 2.7.22 及以上版本

链接地址：

https://nvd.nist.gov/vuln/detail/CVE-2023-23638

https://cn.dubbo.apache.org/zh-cn/overview/mannual/java-sdk/advanced-features-and-usage/security/class-check/

https://github.com/apache/dubbo/commit/6e5c1f8665216ccda4b2eb8c0465882efe62dd61

https://github.com/apache/dubbo/commit/ce3b0e285a463b566a9d685049201bfaf526c8ac#diff-fa4e0fb5d923710d8f070b478addd5e3638e101fdf9a3e32a855f429f90eed09

https://github.com/apache/dubbo/commit/4f664f0a3d338673f4b554230345b89c580bccbb

查看更多安全漏洞：快速查询安全漏洞 ｜ 柒巧板