Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架，同时为构建企业级微服务提供服务发现、流量治理、可观测、认证鉴权等能力、工具与最佳实践

一、漏洞详情

近日，Apache Dubbo官方发布安全更新，修复了一处Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638)。该漏洞是由于Dubbo在序列化时检查不够全面，允许对Dubbo具有访问权限的攻击者，通过构造恶意请求绕过检查触发反序列化，从而执行恶意代码。目前官方发布安全版本，建议受影响的用户尽快采取安全措施。

二、影响范围

漏洞影响版本：

Apache Dubbo 3.1.x <= 3.1.5

Apache Dubbo 3.1.x <= 3.1.5

Apache Dubbo 2.7.x <= 2.7.21

安全版本：

Apache Dubbo 3.1.6

Apache Dubbo 3.0.14

Apache Dubbo 2.7.22

三、修复方案

目前官方已发布安全版本修复上述漏洞，建议受影响的用户升级至安全版本。

下载地址：https://github.com/apache/dubbo/releases