close
Apache Dubbo是美國阿帕奇(Apache)基金會的一款基於Java的輕量級RPC(遠程過程調用)框架。該產品提供了基於接口的遠程呼叫、容錯和負載平衡以及自動服務註冊和發現等功能。Apache Dubbo在3.2.11及之前版本存在反序列化漏洞,該漏洞源於大多數Dubbo用戶使用Hessian2作為默認的序列化反序列化協議,在Hessian捕獲意外異常時為用戶註銷一些信息,此消息可能接收用戶提交的序列化數據的不安全反序列化處理,攻擊者可以利用該漏洞通過精心構造的反序列化數據來執行任意代碼。
CVE ID:CVE-2021-43297
危害級別:高
漏洞類型:通用型漏洞
影響產品:
Apache Dubbo >=2.6.0,<2.6.12Apache Dubbo >=2.7.0,<2.7.15Apache Dubbo >=3.0.0,<3.0.5
漏洞解決方案:廠商已發布了漏洞修復程序,請及時關注更新:https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww
參考:https://nvd.nist.gov/vuln/detail/CVE-2021-43297
全站熱搜
留言列表