【风险通告】Apache Dubbo远程代码执行漏洞-北京铜牛信息科技股份有限公司

官网公告 > 产品公告 > 【风险通告】Apache Dubbo远程代码执行漏洞

发布时间：2020-06-23 00:00:00

2020年6月23日，华北1安全应急响应中心监测到Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞（CVE-2020-1948），攻击者可构造恶意请求执行任意代码。

该漏洞影响面较大，建议用户及时更新到安全版本，做好资产自查及预防工作，避免不必要的损失。

漏洞名称

Apache Dubbo远程代码执行漏洞（CVE-2020-1948）

风险等级

高危

漏洞描述

Apache Dubbo是一种基于Java的高性能RPC框架。2011年开源，2018年2月进入Apache孵化器，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。目前已被多家大型企业网络采用，影响面较大。

经华北1安全团队分析，攻击者可以发送带有无法识别的服务名或方法名的RPC请求，以及一些恶意的参数负载。当恶意参数被反序列化时，可执行恶意代码。

影响版本

Apache Dubbo 2.7.0 to 2.7.6

Apache Dubbo 2.6.0 to 2.6.7

Apache Dubbo all 2.5.x versions (官方已不再提供支持)

修复建议

官网已发布漏洞修复版本，华北1安全专家建议尽快更新到安全版本，下载地址：

注意：升级前做好备份，避免出现意外

参考链接

北京华北1网络技术有限公司

2020/06/23

以上就是北京铜牛信息科技股份有限公司为您带来的【风险通告】Apache Dubbo远程代码执行漏洞的全部内容，如果还想了解更多内容可访问北京铜牛信息科技股份有限公司官网www.bthcloud.com了解其它资讯。