安全公告

当前位置:首页  网络安全  安全公告

关于Apache Dubbo多个高危漏洞(CVE-2021-36162、CVE-2021-36163)的预警提示

发布时间:2021-09-07浏览次数:217设置

一、漏洞详情

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。近日披露Apache Dubbo多个高危漏洞:

CVE-2021-36162 中,Apache Dubbo多处使用了yaml.load,攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。

CVE-2021-36163 中,Apache Dubbo中使用了不安全的Hessian 协议,攻击者可以利用此漏洞触发反序列化,造成远程代码执行漏洞。

建议受影响用户及时更新至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

2.7.0 <= Dubbo <= 2.7.12

3.0.0 <= Dubbo <= 3.0.1

三、修复建议


升级 Apache Dubbo 至最新版本。


返回原图
/