当前位置: 首页 -> 网络安全 -> 通知和预警 -> 正文

网络安全

关于Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638)的风险提示

发布日期:2023-03-21 浏览:

Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架,同时为构建企业级微服务提供服务发现、流量治理、可观测、认证鉴权等能力、工具与最佳实践

一、漏洞详情

近日,Apache Dubbo官方发布安全更新,修复了一处Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638)。该漏洞是由于Dubbo在序列化时检查不够全面,允许对Dubbo具有访问权限的攻击者,通过构造恶意请求绕过检查触发反序列化,从而执行恶意代码。目前官方发布安全版本,建议受影响的用户尽快采取安全措施。

二、影响范围

漏洞影响版本:

Apache Dubbo 3.1.x <= 3.1.5

Apache Dubbo 3.1.x <= 3.1.5

Apache Dubbo 2.7.x <= 2.7.21

安全版本:

Apache Dubbo 3.1.6

Apache Dubbo 3.0.14

Apache Dubbo 2.7.22

三、修复方案

目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。

下载地址:https://github.com/apache/dubbo/releases