GenericFilter には、リモートコード実行(RCE)の脆弱性があります。攻撃者は、不正なパラメーターを作成して、汎用呼び出しを行うユーザーに対して RCE 攻撃を実行する可能性があります。
脆弱性の説明
デフォルトでは、Apache Dubbo(略して Dubbo)は、プロバイダーインターフェースによって公開されている任意のメソッドへの汎用呼び出しをサポートしています。これらの呼び出しは、GenericFilter によって処理されます。 GenericFilter は、呼び出しの最初の引数で指定されたサービスとメソッドを見つけ、Java リフレクション API を使用して最終的な呼び出しを行います。 $invoke または $invokeAsync メソッドが呼び出されると、攻撃者は汎用シリアル化タイプを nativejava に設定し、悪意のあるリクエストコンテンツを送信して RCE 攻撃を実行する可能性があります。
脆弱性の重大度
中
影響を受けるユーザー
- Dubbo 2.5.x を使用しているすべてのユーザー
- 2.6.10 より前の Dubbo 2.6.x バージョンを使用しているすべてのユーザー
- 2.7.10 より前の Dubbo 2.7.x バージョンを使用しているすべてのユーザー
修正
使用している既存のバージョンに基づいて、Dubbo を指定されたバージョンに更新します。
- Dubbo 2.5.x を使用している場合は、Dubbo を 2.6.10.1 または 2.7.12 に更新します。
- Dubbo 2.6.x を使用している場合は、Dubbo を 2.6.10.1 または 2.7.12 に更新します。
- Dubbo 2.7.x を使用している場合は、Dubbo を 2.7.12 に更新します。