高危 Apache Dubbo Yaml反序列化漏洞

CVE编号

CVE-2021-36162

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2021-09-01
漏洞描述
Apache Dubbo多处使用了yaml.load,攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。
影响版本:
2.7.0 <= Dubbo <= 2.7.12
3.0.0 <= Dubbo <= 3.0.1
安全版本:
Apache Dubbo 2.7.13
Apache Dubbo 3.0.2
解决建议
建议升级 Apache Dubbo 至最新版本,利用阿里云安全组功能设置Apache Dubbo相关端口仅对可信地址开放。
参考链接
https://lists.apache.org/thread.html/rfa351115a459e214b99ffcc52c35f33359f3370...
https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/?spm...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache dubbo * From
(including)
2.7.0 		Up to
(including)
2.7.12
运行在以下环境
应用 apache dubbo * From
(including)
3.0.0 		Up to
(including)
3.0.1
阿里云评分
7.4
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    POC 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    N/A
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-502 可信数据的反序列化
NVD-CWE-noinfo
阿里云安全产品覆盖情况