【漏洞资讯】CVE-2021-43297-Apache Dubbo远程代码执行漏洞

漏洞介绍

Apache Dubbo 是一款高性能、轻量级的开源服务框架。

Dubbo hessian-lite 3.2.11 及之前版本中存在反序列化漏洞(CVE-2021-43297),该漏洞能够导致远程执行任意代码。

大多数Dubbo用户使用Hessian2作为默认的序列化/反序列化协议,在Hessian捕捉到异常时,Hessian会注销用户的一些信息,这可能导致远程命令执行。

漏洞名称
Apache Dubbo远程代码执行漏洞
威胁等级
high
漏洞威胁
Apache Dubbo
影响范围
Apache Dubbo 2.6.x < 2.6.12
Apache Dubbo 2.7.x < 2.7.15
Apache Dubbo 3.0.x < 3.0.5
漏洞类型
RCE
利用难度
N/A
漏洞编号
CVE-2021-43297
是否有POC
N/A

漏洞详情

Dubbo hessian-lite 3.2.11 及之前版本中存在反序列化漏洞(CVE-2021-43297),该漏洞能够导致远程执行任意代码。

大多数Dubbo用户使用Hessian2作为默认的序列化/反序列化协议,在Hessian捕捉到异常时,Hessian会注销用户的一些信息,这可能导致远程命令执行。

修复方式

目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:

Dubbo 2.6.x:升级到2.6.12

Dubbo 2.7.x:升级到2.7.15

Dubbo 3.0.x:升级到3.0.5

下载链接:

https://dubbo.apache.org/en/blog/2020/05/18/past-releases/

参考链接

https://www.mail-archive.com/dev@dubbo.apache.org/msg07443.html

https://nvd.nist.gov/vuln/detail/CVE-2021-43297

https://github.com/apache/dubbo/releases

启明星辰

本文原创,作者:Galaxy,其版权均为Galaxy Lab所有。如需转载,请注明出处:http://galaxylab.pingan.com.cn/%e3%80%90%e6%bc%8f%e6%b4%9e%e8%b5%84%e8%ae%af%e3%80%91cve-2021-43297-apache-dubbo%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e/

发表评论

*