7*24小时服务热线   021-20685566
it-support@shanghaitech.edu.cn

关于Apache Dubbo反序列化漏洞的风险提示

日期:2023-12-17文章来源:图书信息中心

一、背景介绍

近日,市委网信办技术支撑单位监测到互联网上披露Apache Dubbo在3.1.5版本中存在反序列化漏洞。建议受影响的用户尽快修复漏洞。

1.1漏洞描述

Apache Dubbo是⼀款易⽤、⾼性能的WEB和RPC框架,同时为构建企业级微服务提供流量治理、认证鉴权等能⼒、⼯具与最佳实践。攻击者可以构造特制的序列化利⽤链绕过Dubbo中的⿊名单进⾏反序列化利⽤,导致恶意代码执⾏。

1.2漏洞编号

CVE-2023-46279

1.3漏洞等级

严重

二、修复建议

2.1受影响版本

Apache Dubbo3.1.5

2.2修复建议

目前官方已经发布补丁,建议受影响用户尽快安装补丁:https://github.com/apache/dubbo/releases