首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-1948 | Apache Dubbo Provider默認反序列化遠程代碼執行漏洞通告

發布時間 2020-06-23

0x00 漏洞概述


CVE   ID

CVE-2020-1948

   

2020-06-23

   

RCE

   

高危

遠程利用

影響范圍

Dubbo 2.7.0 - 2.7.6

Dubbo 2.6.0 - 2.6.7

Dubbo 2.5.x (官方不再維護)



0x01 漏洞詳情




Dubbo 是阿里巴巴公司開源的一款高性能、輕量級Java RPC框架,它提供了三大核心能力:面向接口的遠程方法調用、智能容錯和負載均衡,以及自動注冊服務。目前已被多家大型企業網絡采用,涉及阿里巴巴集團、中國人壽、中國電信、當當網、滴滴出行、海爾和中國工商銀行等。


2020年6月23日Apache官方發布通告,修復了一個Apache Dubbo遠程代碼執行漏洞(CVE-2020-1948)。該漏洞源于Apache Dubbo Provider存在反序列化漏洞,攻擊者可以發送帶有無法識別的服務名或方法名及某些惡意參數負載的RPC請求,當惡意參數被反序列化時將導致惡意代碼執行。


該漏洞影響所有使用2.7.6或更低版本的Dubbo用戶,漏洞等級為高危,啟明星辰VSRC建議廣大用戶進行資產自查,及時安裝補丁。


0x02 處置建議


官方已發布最新版本,下載地址:

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7


升級參考文檔:

http://dubbo.apache.org/zh-cn/docs/user/versions/version-270.html

注:為防止出現意外建議升級前做好數據備份。


0x03 相關新聞


https://meterpreter.org/cve-2020-1948-apache-dubbo-remote-code-execution-vulnerability-alert/


0x04 參考鏈接


https://lists.apache.org/thread.html/rd4931b5ffc9a2b876431e19a1bffa2b4c14367260a08386a4d461955%40%3Cdev.dubbo.apache.org%3E


0x05 時間線


2020-06-23 Apache官方發布通告

2020-06-23 VSRC發布漏洞通告



上一篇 下一篇