一、概要
近日,基调听云关注到Apache Dubbo存在多个高危漏洞,攻击者利用漏洞可实现远程代码执行,目前漏洞利用细节已被公开,风险较高。
CVE-2021-36162:YAML 反序列化漏洞,Apache Dubbo多处使用了yaml.load,攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞;
CVE-2021-36163:Hessian协议反序列化漏洞,使用了不安全的Hessian 协议,攻击者利用漏洞触发反序列化,造成远程代码执行。
参考链接:
CVE-2021-36162:https://github.com/apache/dubbo/pull/8350
CVE-2021-36163:https://github.com/apache/dubbo/pull/8238
二、威胁级别
威胁级别:【严重】
三、CVSS评分:
CVE-2021-36162 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
CVE-2021-36163 9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
四、漏洞影响范围
影响版本:
Apache Dubbo =< 2.7.10
安全版本:
Apache Dubbo 2.7.13
五、漏洞排查及处置
目前Apache Dubbo官方已发布补丁,基调听云已对受影响版本进行了更新修复,请受影响的用户联系技术支持及时升级至安全版本。
