Apache Dubbo被曝出“高危”远程代码执行漏洞

6月23日，360网络安全响应中心（360CERT）发布《CVE-2020-1948：Apache Dubbo远程代码执行漏洞通告》（以下简称《通告》）。《通告》称，Apache Dubbo存在远程代码执行漏洞，受影响的版本有Dubbo 2.5.x、Dubbo 2.6.0 - 2.6.7和Dubbo 2.7.0 - 2.7.6。

根据360CERT的评定，该漏洞等级为高危，影响面广泛。

Apache Dubbo官方表示，Apache Dubbo Provider存在反序列化漏洞。攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷，当恶意参数被反序列化时，可以造成远程代码执行。

据悉，Apache Dubbo是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

通用修复建议：

建议广大用户及时升级到2.7.7或更高版本，下载地址：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7