本文介绍CVE-2021-37579漏洞的原因以及如何解决。
漏洞描述
Dubbo服务提供者会检查传入的请求,并且确保该请求的相应序列化类型符合服务器的配置。但是存在一个例外情况,攻击者可以使用该例外情况跳过安全检查(启用时)并使用原生的Java序列化机制触发反序列化动作。
漏洞评级
中
影响范围
- 使用Dubbo 2.7.0到2.7.12的所有用户。
- 使用Dubbo 3.0.0到3.0.1的所有用户。
安全建议
请根据您使用的Dubbo版本,升级到指定版本。
- 使用Dubbo 2.7.x的用户,请升级到2.7.13。
- 使用Dubbo 3.0.x的用户,请升级到3.0.2。