vlambda博客
学习文章列表

Apache Dubbo默认反序列化协议Hessian2被曝存在代码执行漏洞，攻击者可利用漏洞构建一个恶意请求达到远程代码执行的目的。

Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目最初由阿里巴巴开发，于 2011 年开源，并于 2018 年 2 月进入 Apache 孵化器，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

目前被多家公司采用，包括阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等。

中等风险

Dubbo 2.7.0 ~ 2.7.7
Dubbo 2.6.0 ~ 2.6.8
Dubbo 所有 2.5.x 版本 (官方已不再提供支持)

Dubbo 2.7.8
Dubbo 3.2.9

将Apache Dubbo升级至安全版本。

https://www.mail-archive.com/[email protected]/msg06676.html

 
   
   
 

  
    
    
  
 
   
 
    
 
       
    
 
    
 
     
点击阅读原文，获得编程视频资料！