【漏洞公告】
近日,Apache Dubbo官方发布安全更新,修复了一处Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638)。该漏洞是由于Dubbo在序列化时检查不够全面,允许对Dubbo具有访问权限的攻击者,通过构造恶意请求绕过检查触发反序列化,从而执行恶意代码。目前官方发布安全版本,建议受影响的用户尽快采取安全措施。
相关链接:
https://lists.apache.org/thread/8h6zscfzj482z512d2v5ft63hdhzm0cb
【影响范围】
漏洞影响版本:
Apache Dubbo 3.1.x <= 3.1.5
Apache Dubbo 3.1.x <= 3.1.5
Apache Dubbo 2.7.x <= 2.7.21
安全版本:
Apache Dubbo 3.1.6
Apache Dubbo 3.0.14
Apache Dubbo 2.7.22
【漏洞描述】
Apache Dubbo是一款易用、高性能的WEB和RPC框架,同时为构建企业级微服务提供服务发现、流量治理、可观测、认证鉴权等能力、工具与最佳实践。Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638):该漏洞是由于Dubbo在序列化时检查不够全面,允许对Dubbo具有访问权限的攻击者,通过构造恶意请求绕过检查触发反序列化,从而执行恶意代码。
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
否 | 未公开 | 未公开 | 未发现 |
【缓解措施】
高危:目前漏洞细节和测试代码虽暂未公开,但恶意攻击者可以通过对比补丁分析出漏洞触发点,建议受影响用户及时升级到安全版本。
处置措施:
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载地址:https://github.com/apache/dubbo/releases
