一、概要
近日,基調(diào)聽云關(guān)注到Apache Dubbo存在多個(gè)高危漏洞,攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,目前漏洞利用細(xì)節(jié)已被公開,風(fēng)險(xiǎn)較高。
CVE-2021-36162:YAML 反序列化漏洞,Apache Dubbo多處使用了yaml.load,攻擊者在控制如ZooKeeper注冊中心后可上傳惡意配置文件從而造成了Yaml反序列化漏洞;
CVE-2021-36163:Hessian協(xié)議反序列化漏洞,使用了不安全的Hessian 協(xié)議,攻擊者利用漏洞觸發(fā)反序列化,造成遠(yuǎn)程代碼執(zhí)行。
參考鏈接:
CVE-2021-36162:https://github.com/apache/dubbo/pull/8350
CVE-2021-36163:https://github.com/apache/dubbo/pull/8238
二、威脅級(jí)別
威脅級(jí)別:【嚴(yán)重】
三、CVSS評分:
CVE-2021-36162 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
CVE-2021-36163 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
四、漏洞影響范圍
影響版本:
Apache Dubbo =< 2.7.10
安全版本:
Apache Dubbo 2.7.13
五、漏洞排查及處置
目前Apache Dubbo官方已發(fā)布補(bǔ)丁,基調(diào)聽云已對受影響版本進(jìn)行了更新修復(fù),請受影響的用戶聯(lián)系技術(shù)支持及時(shí)升級(jí)至安全版本。
微信截圖_20250729111708.png)
系電話.png "聽云聯(lián)系電話")