漏洞概述 | |||
漏洞名称 | Apache Dubbo多个反序列化漏洞 | ||
漏洞编号 | CVE-2023-29234、CVE-2023-46279 | ||
公开时间 | 2023-12-15 | 影响对象数量级 | 十万级 |
奇安信评级 | 高危 | CVSS 评分 | 7.7、8.1 |
威胁类型 | 信息泄露、代码执行 | 利用可能性 | 中 |
POC状态 | 未公开 | 在野利用状态 | 未发现 |
EXP状态 | 未公开 | 技术细节状态 | 未公开 |
危害描述:攻击者可能利用此漏洞获取敏感信息或执行恶意代码。 |
01 漏洞详情
影响组件
Apache Dubbo 是一款高性能、轻量级的开源 Java 服务框架。Apache Dubbo提供了六大核心能力:面向接口代理的高性能RPC调用,智能容错和负载均衡,服务自动注册和发现,高度可扩展能力,运行期流量调度,可视化的服务治理与运维。
漏洞描述
近日,奇安信CERT监测到Apache Dubbo发布新版本修复了Apache Dubbo 反序列化漏洞(CVE-2023-46279)与Apache Dubbo 反序列化漏洞(CVE-2023-29234),攻击者通过向系统发送恶意数据包利用这些漏洞,成功后可以读取敏感信息或执行恶意代码。
漏洞名称 | 漏洞描述 |
Apache Dubbo发布新版本修复了Apache Dubbo 反序列化漏洞(CVE-2023-46279) | Apache Dubbo中存在反序列化漏洞,攻击者利用该漏洞可以绕过拒绝反序列化列表检查触发反序列化错误,最终泄露敏感信息或执行恶意代码。 |
Apache Dubbo 反序列化漏洞(CVE-2023-29234) | Apache Dubbo中存在反序列化漏洞,攻击者可以通过向系统发生恶意数据包绕过反序列化检查,触发反序列化漏洞,泄露敏感信息或执行恶意代码。 |
鉴于此产品用量较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
Apache Dubbo 反序列化漏洞(CVE-2023-46279):
Apache Dubbo == 3.1.5
Apache Dubbo 反序列化漏洞(CVE-2023-29234):
Apache Dubbo 3.2.x <= 3.2.4
Apache Dubbo 3.1.x <= 3.1.10
其他受影响组件
无
03 处置建议
安全更新
目前官方已有可更新版本,建议受影响用户升级至最新版本。
https://github.com/apache/dubbo/releases
04 参考资料
[1]https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo
[2]https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
[3]https://github.com/apache/dubbo/releases
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。