YAML规则加载造成的远程代码执行漏洞,攻击者在攻破配置中心后,可通过上传恶意的YAML规则等触发反序列化漏洞。
漏洞描述
Apache Dubbo支持标签路由,这将使客户能够将请求路由到正确的服务器。 这些规则被加载到配置中心(例如:ZooKeeper、Nacos等)并由客户在发出请求时检索以找到正确的端点。
在解析这些YAML规则时,Dubbo客户端将使用SnakeYAML库加载规则,默认情况下会启用调用任意构造函数。如果攻击者访问了配置中心(ZooKeeper、Nacos等)并设置了恶意的YAML规则文件,就可以在消费者接收到规则时,进行RCE攻击。
漏洞评级
低
影响范围
使用Dubbo 2.5.x版本的所有用户。
使用Dubbo 2.6.10之前版本的所有用户。
使用Dubbo 2.7.10之前版本的所有用户。
安全建议
请根据您使用的Dubbo版本,升级到指定版本。
使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。
使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。
使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。