重生之毒妃梅果小说,小说阅读器

漏洞描述

Apache Dubbo 是一款高性能、輕量級的開源Java RPC框架，它提供了三大核心能力：面向接口的遠程方法調用，智能容錯和負載均衡，以及服務自動注冊和發(fā)現(xiàn)。

Apache Dubbo Provider 存在反序列化漏洞，該漏洞的相關技術細節(jié)已公開。對此，禹宏信安建議廣大用戶及時安裝最新補丁，做好資產自查以及預防工作，以免遭受黑客攻擊。

漏洞編號

CVE-2020-1948

漏洞危害

攻擊者可以通過RPC請求發(fā)送無法識別的服務名稱或方法名稱以及一些惡意參數(shù)有效載荷，當惡意參數(shù)被反序列化時，可以造成遠程代碼執(zhí)行。

漏洞等級

高危
受影響版本

Dubbo 2.7.0 – 2.7.6

Dubbo 2.6.0 – 2.6.7

Dubbo 2.5.x （官方不再維護）

修復方案

禹宏信安建議廣大用戶及時升級到2.7.7或更高版本，下載地址為：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

參考鏈接

漏洞播報