Nashorn脚本远程代码执行漏洞,攻击者在攻破配置中心后,可通过上传恶意的Script规则等来触发Nashorn脚本执行攻击。
漏洞描述
Apache Dubbo支持脚本路由,这将使客户能够将请求路由到正确的服务器。 这些规则被加载到配置中心(例如:ZooKeeper、Nacos等)并由客户在发出请求时检索以找到正确的端点。
在解析这些规则时,Dubbo客户端将使用JRE ScriptEngineManager加载一个ScriptEngine并运行脚本提供的规则,该规则默认允许执行任意Java代码。
如果攻击者访问了配置中心(ZooKeeper、Nacos等)并设置了恶意的Script规则文件,就可以在消费者接收到规则时进行攻击。
漏洞评级
低
影响范围
使用Dubbo 2.5.x版本的所有用户。
使用Dubbo 2.6.10之前版本的所有用户。
使用Dubbo 2.7.10之前版本的所有用户。
安全建议
请根据您使用的Dubbo版本,升级到指定版本。
使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。
使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。
使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。