7*24小时技术支持
海外CN2服务器(客服1)
近日,网络应急团队监测到 Apache发布安全公告,修复了一个Apache Dubbo中的远程代码执行漏洞。漏洞编号:CVE-2021-43297,该漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞,未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。大多数Dubbo用户默认使用Hessian2作为序列化/反序列化协议,在Hessian 捕获到异常时,Hessian将会注销一些用户信息,这可能会导致远程命令执行。
【受影响版本】
Apache Dubbo 2.6.x < 2.6.12
Apache Dubbo 2.7.x < 2.7.15
Apache Dubbo 3.0.x < 3.0.5
【安全版本】
Apache Dubbo 2.6.12
Apache Dubbo 2.7.15
Apache Dubbo 3.0.5
Apache Dubbo是一种基于Java的高性能RPC框架。