Apache Dubbo 3.1.5 反序列化漏洞
漏洞描述
Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。
在3.1.5版本中,由于新增的SerializeSecurityManager类存在缺陷,addToAllow方法未正确过滤黑名单的类,攻击者可能绕过黑名单限制,反序列化任意类,从而远程执行任意代码。
| 漏洞名称 | Apache Dubbo 3.1.5 反序列化漏洞 |
|---|---|
| 漏洞类型 | 反序列化 |
| 发现时间 | 2023-12-15 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-k3ml-xyci |
| CVE编号 | CVE-2023-46279 |
| CNVD编号 | - |
影响范围
org.apache.dubbo:dubbo@[3.1.5, 3.1.6)
org.apache.dubbo:dubbo-common@[3.1.5, 3.1.6)
修复方案
将 org.apache.dubbo:dubbo 升级至 3.1.6 及以上版本
将 org.apache.dubbo:dubbo-common 升级至 3.1.6 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-k3ml-xyci
https://nvd.nist.gov/vuln/detail/CVE-2023-46279
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Socket.D 响应式网络协议,v2.2.2 发布
有用户说,“Socket.D 之于 Socket,尤如 Vue 之于 Js、Mvc 之于 Http” 主要特性 基于事件,每个消息都可事件路由 所谓语义,通过元信息进行语义描述 流关联性,来回相关的消息会串成一个流 语言无关,使用二进制输传数据(支持 tcp, ws, udp)。支持多语言、多平台 断线重连,自动连接恢复 多路复用,一个连接便可允许多个请求和响应消息同时运行 双向通讯,单链接双向互听互发 自动分片,数据超出 16Mb(大小可配置),会自动分片、自动重组(udp 除外) 接口简单,是响应式但用回调接口 与其它协议的简单对比 对比项目 socket.d http websocket rsocket socket.io 发消息(Qos0) 有 无 有 有 有 发送并请求(Qos1) 有 有 无 有 无 发送并订阅 有 无 无 有 无 答复或响应 有 有 无 有 无 单连接双向通讯 有 无 有(不便) 有 有(不便) 数据分片 有 / 无 有 有 断线自动重连 有 / 无 有 有 有元信息 有 有 无 有 无 有事件(或路径) 有 有 无 无 有 有流(或消息关联性) 有 无 ...
- 下一篇
Apache Dubbo 反序列化漏洞
漏洞描述 Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。 受影响版本中,由于 ObjectInput.java 文件中 readThrowable 方法在处理异常时对反序列化后的对象进行了字符串拼接操作,导致会隐式调用对象的toString方法,攻击者可能利用该特性执行任意代码。 漏洞名称 Apache Dubbo 反序列化漏洞 漏洞类型 反序列化 发现时间 2023-12-15 漏洞影响广度 广 MPS编号 MPS-2023-9469 CVE编号 CVE-2023-29234 CNVD编号 - 影响范围 org.apache.dubbo:dubbo@[3.2.0, 3.2.5) org.apache.dubbo:dubbo@[3.1.0, 3.1.11) org.apache.dubbo:dubbo-serialization-api@[3.1.0, 3.1.11) org.apache.dubbo:dubbo-serialization-api@[3.2.0, 3.2.5) 修复方案 将 org.apache.dubbo:dubbo 升级至 3.2.4 ...
相关文章
文章评论
共有0条评论来说两句吧...
微信收款码
支付宝收款码