1. 威客安全首页
  2. 安全资讯

Dubbo 反序列化漏洞,可导致远程代码执行

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。

Dubbo 反序列化漏洞,可导致远程代码执行

受影响的版本:

  1. 2.7.0 <= Dubbo Version <= 2.7.6
  2. 2.6.0 <= Dubbo Version <= 2.6.7
  3. 所有 2.5.x 版本(官方团队不再支持)

所有 Dubbo 版本都可以升级到 2.7.7 或更高版本,避免该漏洞:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

详情查看邮件列表。

 

 

稿源:开源中国,封面源自网络。)

原文链接:http://hackernews.cc/archives/31302

本站声明:网站内容来源于知道创宇,如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。