高危 Apache Dubbo Hessian2 协议反序列化漏洞

CVE编号

CVE-2021-36163

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2021-09-01
漏洞描述
Apache Dubbo中使用了不安全的Hessian 协议,攻击者可以利用此漏洞触发反序列化,造成远程代码执行漏洞。
影响版本:
2.7.0 <= Dubbo <= 2.7.12
3.0.0 <= Dubbo <= 3.0.1
安全版本:
Apache Dubbo 2.7.13
Apache Dubbo 3.0.2
解决建议
建议升级 Apache Dubbo 至最新版本,利用阿里云安全组功能设置 Apache Dubbo 相关端口仅对可信地址开放。
参考链接
https://lists.apache.org/thread.html/r8d0adc057bb15a37199502cc366f4b1164c9c53...
https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/?spm...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache dubbo * From
(including)
2.7.0 		Up to
(including)
2.7.12
运行在以下环境
应用 apache dubbo * From
(including)
3.0.0 		Up to
(including)
3.0.1
阿里云评分
8.9
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    POC 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    服务器失陷
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-502 可信数据的反序列化
阿里云安全产品覆盖情况