高危！Apache Dubbo远程代码执行漏洞

0x01漏洞状态

漏洞细节

漏洞POC

漏洞EXP

在野利用

否

未知

Apache Dubbo是一款微服务开发框架，它提供了RPC通信与微服务治理两大关键能力。使应用可通过高性能的 RPC 实现服务的输出和输入功能，可以和 Spring 框架无缝集成。

2022年1月13日，360漏洞云团队监测到Apache发布安全公告，修复了一个Apache Dubbo中的远程代码执行漏洞。漏洞编号：CVE-2021-43297，漏洞威胁等级：高危。

Apache Dubbo远程代码执行漏洞

漏洞编号

CVE-2021-43297

漏洞类型

远程代码执行

漏洞等级

高危

公开状态

未知

在野利用

未知

漏洞描述

由于在Dubbo的hessian-lite中存在反序列化漏洞，未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。大多数Dubbo用户默认使用Hessian2作为序列化/反序列化协议，在Hessian 捕获到异常时，Hessian将会注销一些用户信息，这可能会导致远程命令执行。

高危

Apache Dubbo 2.6.x < 2.6.12

Apache Dubbo 2.7.x < 2.7.15

Apache Dubbo 3.0.x < 3.0.5

0x05

修复建议

临时防护方案

1. 关闭对公网开放的Dubbo服务端端口，仅允许可信任的IP访问。

2. Dubbo协议默认使用Hessian进行序列化和反序列化。在不影响业务的情况下，建议更换协议以及反序列化方式。具体方法请参考官方文档：http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

正式防护方案

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

3.0.5、 2.7.15、 2.6.12

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。