一、基本情况
Apache Dubbo中存在未受信任数据反序列化漏洞,攻击者通过向系统发送恶意数据包并利用这些漏洞,导致远程命令执行,存在敏感信息泄露风险。
二、影响版本
Apache Dubbo 反序列化漏洞(CVE-2023-46279):
Apache Dubbo == 3.1.5
Apache Dubbo 反序列化漏洞(CVE-2023-29234):
Apache Dubbo 3.2.x <= 3.2.4
Apache Dubbo 3.1.x <= 3.1.10
三、处置建议
目前该厂商已有可更新版本,建议受影响用户升级至最新版本。
参考链接:https://github.com/apache/dubbo/releases