本文介紹Dubbo Hessian在序列化異常時存在的RCE攻擊風險以及如何解決。
漏洞描述
Dubbo Hessian-Lite 3.2.11及之前版本中存在潛在RCE攻擊風險。Hessian-Lite在遇到序列化異常時會輸出相關資訊,這可能導致觸發某些惡意定製的Bean的toString方法,從而引發RCE攻擊。
漏洞評級
高
影響範圍
- 使用Dubbo 2.6.0到2.6.11的所有使用者。
- 使用Dubbo 2.7.0到2.7.14的所有使用者。
- 使用Dubbo 3.0.0到3.0.4的所有使用者
安全建議
請根據您使用的Dubbo版本,升級到指定版本。
- 使用Dubbo 2.6.x的使用者,請升級到2.6.12。
- 使用Dubbo 2.7.x的使用者,請升級到2.7.15。
- 使用Dubbo 3.0.x的使用者,請升級到3.0.5
如果您的應用無法及時修複和驗證,可以立即開通並使用阿里雲ARMS RASP防護能力, 確保您的應用免受攻擊。