安全通告 | Apache Dubbo Provider默认反序列化远程代码执行漏洞公告（CVE-2020-1948）

近日，腾讯安全云鼎实验室监测到Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞（CVE-2020-1948），攻击者可构造恶意请求执行任意代码。

为避免您的业务受影响，腾讯安全云鼎实验室建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目 2011 年开源，并于 2018 年 2 月进入 Apache 孵化器，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

腾讯安全玄武实验室研究员发现，该漏洞会影响所有使用2.7.6或更低版本的Dubbo用户，攻击者可以发送带有无法识别的服务名或方法名的RPC请求，以及一些恶意的参数负载。当恶意参数被反序列化时，它将执行一些恶意代码。

风险等级

高风险

漏洞风险

攻击者可向受影响服务器发送恶意请求，获取服务器权限。

影响版本

• Apache Dubbo 2.7.0 ~ 2.7.6
• Apache Dubbo 2.6.0 ~ 2.6.7
• Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)

安全版本

Apache Dubbo 2.7.7 或更高版本

修复建议

目前官方已发布漏洞修复版本，腾讯安全建议您尽快更新到安全版本，下载地址：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

【备注】：建议您在升级前做好数据备份工作，避免出现意外

关注云鼎实验室，获取更多安全情报