漏洞预警|Apache Dubbo 存在反序列化漏洞

棱镜七彩安全预警

近日网上有关于开源项目Apache Dubbo 存在反序列化漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

Apache Dubbo 是一款 RPC 服务开发框架，用于解决微服务架构下的服务治理与通信问题，官方提供了 Java、Golang 等多语言 SDK 实现。使用 Dubbo 开发的微服务原生具备相互之间的远程地址发现与通信能力， 利用 Dubbo 提供的丰富服务治理特性，可以实现诸如服务发现、负载均衡、流量调度等服务治理诉求。Dubbo 被设计为高度可扩展，用户可以方便的实现流量拦截、选址的各种定制逻辑。

项目主页

https://cn.dubbo.apache.org/

代码托管地址

https://github.com/apache/dubbo

CVE编号

CVE-2023-23638

漏洞情况

Apache Dubbo 是一款 RPC 服务开发框架，用于解决微服务架构下的服务治理与通信问题，官方提供了 Java、Golang 等多语言 SDK 实现。该项目受影响版本存在反序列化漏洞，由于Dubbo在序列化时检查不够全面，当攻击者可访问到dubbo服务时，可通过构造恶意请求绕过检查触发反序列化，执行恶意代码。

受影响的版本

org.apache.dubbo:dubbo-common@[3.0.0, 3.0.14)

org.apache.dubbo:dubbo-qos@[3.1.0, 3.1.6)

org.apache.dubbo:dubbo-common@[2.7.0, 2.7.22)

修复方案

将组件 org.apache.dubbo:dubbo-common 升级至 3.0.14 及以上版本

将组件 org.apache.dubbo:dubbo-qos 升级至 3.1.6 及以上版本

将组件 org.apache.dubbo:dubbo-common 升级至 2.7.22 及以上版本

链接地址：

NVD - CVE-2023-23638

类检查机制 | Apache Dubbo

Add SerializeCheckStatus command (#11434) · apache/dubbo@6e5c1f8 · GitHub

Add serializable check for pojo (#11431) · apache/dubbo@ce3b0e2 · GitHub

Add serializable check for pojo (#11430) · apache/dubbo@4f664f0 · GitHub

查看更多安全漏洞：快速查询安全漏洞 ｜ 柒巧板