Generic Filter远程代码执行漏洞,启用泛化调用的用户,可能会受到恶意伪造的参数的攻击。

漏洞描述

Apache Dubbo默认支持对提供程序接口公开的任意方法的泛型调用。 这些调用由GenericFilter处理,它将查找调用的第一个参数中指定的服务和方法,并使用Java反射API进行最终调用。 $invoke或$invokeAsync方法的调用过程中,攻击者可以通过篡改泛化的序列化类型(nativejava)、同时发送恶意的请求内容体来实现远程代码执行。

漏洞评级

影响范围

  • 使用Dubbo 2.5.x版本的所有用户。
  • 使用Dubbo 2.6.10之前版本的所有用户。
  • 使用Dubbo 2.7.10之前版本的所有用户。

安全建议

请根据您使用的Dubbo版本,升级到指定版本。

  • 使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。
  • 使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。
  • 使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。