通知公告
通知公告
Apache Dubbo组件存在反序列化漏洞,漏洞编号:CVE-2023-23638,漏洞威胁等级:高危。该漏洞是由于Dubbo在序列化时检查不够全面,攻击者可利用该漏洞,构造恶意数据执行反序列化攻击,最终绕过检查触发反序列化,执行任意代码。
Apache Dubbo是基于Java的高性能开源RPC框架。其前身是阿里巴巴公司开源的、轻量级的开源Java RPC框架,可以和Spring框架无缝集成。
(一)漏洞影响范围:
目前受影响的Apache Dubbo版本:
2.7.0 ≤ Dubbo ≤ 2.7.22
3.0.0 ≤ Dubbo ≤ 3.0.14
3.1.0 ≤ Dubbo ≤ 3.1.6
(二)漏洞修复建议:
官方已经发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁,详细信息如下:
https://github.com/apache/dubbo/releases