漏洞描述

Apache Seata(incubating) 是一款开源的分布式事务解决方案，用于在微服务架构下提供高性能和简单易用的分布式事务服务。

Seata用于服务端与客户端通信的RPC协议（默认8091端口）以及2.0.0开始实现的Raft协议消息均支持hessian格式，在2.1.0及1.8.1版本之前的Hessian反序列化操作校验不严格，自身安全校验HessianSerializerFactory只作用于serialize序列化过程。

攻击者可通过向Seata服务端发送恶意的hessian格式RPC数据，通过SwingLazyValue等利用链反序列化执行任意代码。

影响范围

seata@[2.0.0, 2.1.0)

seata@(-∞, 1.8.1)

org.apache.seata:seata-core@(-∞, 1.8.1)

org.apache.seata:seata-core@[2.0.0, 2.1.0)

io.seata:seata-serializer-hessian@[2.0.0, 2.1.0)

io.seata:seata-serializer-hessian@(-∞, 1.8.1)

修复方案

将组件 seata 升级至 2.1.0 及以上版本

将组件 seata 升级至 1.8.1 及以上版本

将组件 org.apache.seata:seata-core 升级至 1.8.1 及以上版本

将组件 org.apache.seata:seata-core 升级至 2.1.0 及以上版本

将组件 io.seata:seata-serializer-hessian 升级至 2.1.0 及以上版本

将组件 io.seata:seata-serializer-hessian 升级至 1.8.1 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-dhq6-1iyr

https://nvd.nist.gov/vuln/detail/CVE-2024-22399

https://lists.apache.org/thread/91nzzlxyj4nmks85gbzwkkjtbmnmlkc4

https://github.com/apache/incubator-seata/commit/d577cfc147f7d6615e458016671d7953816ed193

Commit

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc