【漏洞资讯】CVE-2021-36162 Apache Dubbo多个远程代码执行漏洞风险通告,POC已公开

漏洞时间:2021年8月31日

 

漏洞介绍

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。该项目最初由阿里巴巴开发,于 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现,目前被多家大型企业采用。

在 Apache Dubbo 中发现了多个高危漏洞,使攻击者能够在 Dubbo 上执行任意命令。漏洞利用POC已被公开。

该漏洞为7月份漏洞,一直未披露,2021年8月31日发现此漏洞已出现PoC。

漏洞名称
Apache Dubbo多个远程代码执行漏洞风险通告
威胁等级
严重
漏洞威胁
Apache Dubbo
影响范围
Apache Dubbo v2.7.10
漏洞类型
RCE
利用难度
N/A
漏洞编号
CVE-2021-36162
CVE-2021-36163
是否有POC

 

信息详情

在 Apache Dubbo 中发现了多个高危漏洞,使攻击者能够在 Dubbo 上执行任意命令。

漏洞利用POC已被公开。

Apache Dubbo YAML 反序列化漏洞(CVE-2021-36162)

Apache Dubbo中存在YAML 反序列化漏洞,可以访问配置中心的攻击者可以利用此漏洞远程执行任意代码。

 

Apache Dubbo远程代码执行漏洞(CVE-2021-36163)

Apache Dubbo使用了不安全的Hessian 协议(可选),导致不安全的反序列化,攻击者可以利用此漏洞远程执行任意代码。

此外,SecurityLab还公开了Apache Dubbo中的另一个RCE漏洞(GHSL-2021-096,拒绝修复),由于Apache Dubbo使用了不安全的 RMI 协议,导致不安全的反序列化,攻击者能够发送任意类型的参数并远程执行任意代码。

影响范围

Apache Dubbo v2.7.10

目前CVE-2021-36162和CVE-2021-36163已经修复,建议及时应用安全补丁。但GHSL-2021-096问题拒绝修复,建议用户启用 JEP 290机制。

CVE-2021-36162补丁链接:

https://github.com/apache/dubbo/pull/8350

CVE-2021-36163补丁链接:

https://github.com/apache/dubbo/pull/8238

修复方式

升级到最新版本

参考链接

https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/

本文原创,作者:Galaxy,其版权均为Galaxy Lab所有。如需转载,请注明出处:http://galaxylab.pingan.com.cn/%e3%80%90%e6%bc%8f%e6%b4%9e%e8%b5%84%e8%ae%af%e3%80%91cve-2021-36162-apache-dubbo%e5%a4%9a%e4%b8%aa%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e%e9%a3%8e%e9%99%a9%e9%80%9a/

发表评论

*