通知公告

关于Apache Dubbo反序列化漏洞的预警通报
发布日期:2023-05-17 08:37 浏览量:

Apache Dubbo组件存在反序列化漏洞,漏洞编号:CVE-2023-23638,漏洞威胁等级:高危。该漏洞是由于Dubbo在序列化时检查不够全面,攻击者可利用该漏洞,构造恶意数据执行反序列化攻击,最终绕过检查触发反序列化,执行任意代码。

Apache Dubbo是基于Java的高性能开源RPC框架。其前身是阿里巴巴公司开源的、轻量级的开源Java RPC框架,可以和Spring框架无缝集成。

(一)漏洞影响范围:

目前受影响的Apache Dubbo版本:

2.7.0 ≤ Dubbo ≤ 2.7.22

3.0.0 ≤ Dubbo ≤ 3.0.14

3.1.0 ≤ Dubbo ≤ 3.1.6

(二)漏洞修复建议:

官方已经发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁,详细信息如下:

https://github.com/apache/dubbo/releases