【漏洞资讯】CVE-2021-43297-Apache Dubbo远程代码执行漏洞
漏洞介绍
Apache Dubbo 是一款高性能、轻量级的开源服务框架。
Dubbo hessian-lite 3.2.11 及之前版本中存在反序列化漏洞(CVE-2021-43297),该漏洞能够导致远程执行任意代码。
大多数Dubbo用户使用Hessian2作为默认的序列化/反序列化协议,在Hessian捕捉到异常时,Hessian会注销用户的一些信息,这可能导致远程命令执行。
|
漏洞名称
|
Apache Dubbo远程代码执行漏洞
|
|
威胁等级
|
high
|
|
漏洞威胁
|
Apache Dubbo
|
|
影响范围
|
Apache Dubbo 2.6.x < 2.6.12
Apache Dubbo 2.7.x < 2.7.15
Apache Dubbo 3.0.x < 3.0.5
|
|
漏洞类型
|
RCE
|
|
利用难度
|
N/A
|
|
漏洞编号
|
CVE-2021-43297
|
|
是否有POC
|
N/A
|
漏洞详情
Dubbo hessian-lite 3.2.11 及之前版本中存在反序列化漏洞(CVE-2021-43297),该漏洞能够导致远程执行任意代码。
大多数Dubbo用户使用Hessian2作为默认的序列化/反序列化协议,在Hessian捕捉到异常时,Hessian会注销用户的一些信息,这可能导致远程命令执行。
修复方式
目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:
Dubbo 2.6.x:升级到2.6.12
Dubbo 2.7.x:升级到2.7.15
Dubbo 3.0.x:升级到3.0.5
下载链接:
https://dubbo.apache.org/en/blog/2020/05/18/past-releases/
参考链接
https://www.mail-archive.com/dev@dubbo.apache.org/msg07443.html
https://nvd.nist.gov/vuln/detail/CVE-2021-43297
https://github.com/apache/dubbo/releases
启明星辰
官方 平安集团安全部银河实验室官方博客
50篇文章
31.45W总阅读量