Dubbo 高危反序列化漏洞,存在远程代码执行风险,建议及时升级到2.7.7或更高版本!...

最新推荐文章于 2025-05-14 10:08:42 发布
最新推荐文章于 2025-05-14 10:08:42 发布
阅读量485 收藏
点赞数
2020年6月,Apache Dubbo官方披露了CVE-2020-1948高危漏洞,攻击者可通过RPC请求发送恶意参数,利用反序列化漏洞实现远程代码执行。360CERT建议用户升级至Dubbo 2.7.7或以上版本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

点击上方“肉眼品世界”,选择“设为星标

深度价值体系传递


以下内容转载自安全客,原文链接:https://www.anquanke.com/post/id/209102

0x01 漏洞背景

2020年06月23日, 360CERT监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危。

Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。

该漏洞的相关技术细节已公开。

对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。 

0x02 风险等级

360CERT对该漏洞的评定结果如下:

  • 威胁等级:高危

  • 影响面:广泛

0x03 漏洞详情 

Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。 

0x04 影响版本

  • Dubbo 2.7.0 – 2.7.6

  • Dubbo 2.6.0 – 2.6.7

  • Dubbo 2.5.x (官方不再维护)

0x05 修复建议

通用修补建议:

建议广大用户及时升级到2.7.7或更高版本,下载地址为:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Dubbo在国内均有广泛使用,具体分布如下图所示。

 

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人获取对应产品。 

0x08 时间线

2020-06-22 Apache Dubbo 官方发布通告

2020-06-23 360CERT发布预警

END

Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3923
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
Dubbo 高危漏洞!原来都是反序列化惹得祸
楼下小黑哥
07-09 1285
前言 这周收到外部合作同事推送的一篇文章,【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告。 按照文章披露的漏洞影响范围,可以说是当前所有的 Dubbo版本都有这个问题。 无独有偶,这周在 Github 自己的仓库上推送几行改动,不一会就收到 Github 安全提示,警告当前项目存在安全漏洞CVE-2018-10237。 可以看到这两个漏洞都是利用反序列化进行执行恶意代码,可能很多同学跟我当初一样,看到这个一脸懵逼。好端端的反序列化
注意,Dubbo 存在高危反序列化漏洞
Java知音
06-25 722
精彩推荐一百期Java面试题汇总SpringBoot内容聚合IntelliJ IDEA内容聚合Mybatis内容聚合以下内容转载自安全客,原文链接:https://www.anquank...
Apache Dubbo 反序列化漏洞(CVE-2023-29234)
最新发布
swordheart的博客
05-14 265
Apache Dubbo 是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。使应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成。 Apache Dubbo 某些版本在解码恶意包时存在反序列化漏洞远程攻击者可利用该漏洞执行任意代码。
漏洞预警|Apache Dubbo 存在反序列化漏洞
LJQClqjc的博客
03-09 770
棱镜七彩安全预警
Dubbo 高危反序列化漏洞存在远程代码执行风险建议及时升级2.7.7更高版本
qq_41490913的博客
06-30 221
Dubbo 高危反序列化漏洞存在远程代码执行风险建议及时升级2.7.7更高版本
Dubbo反序列化漏洞,网易轻舟提供全方位解决方案
网易数帆社区博客
02-18 2543
2020年2月13日,Apache Dubbo官方发布了一条反序列化漏洞漏洞编号:CVE-2019-17564)的通告,漏洞等级中危。轻舟微服务虽然支持Apache Dubbo,但由于在架构设计上的优化,可保证用户不会受此次漏洞影响。 漏洞原理及影响范围 Apache Dubbo支持多种通信协议,官方默认为Dubbo协议,当用户选择HTTP协议进行通信时,攻击者可以利用该漏洞在目标网站上远程...
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
Dubbo 升级2.6.122.7.15、3.0.5 及以上版本
Jmeter-dubbo-2.7.7.jar
06-05
软件名称:Jmeter-dubbo-2.7.7.jar 软件类别:插件 软件版本:v2.7.7 软件性质:免费软件 软件大小:22.5MB 下载方式:优快云下载 支持平台:全平台 支持语言:英文 运行测试:已在Jmeter5.4.3/Java1.8测试通过 软件...
jmeter-plugins-dubbo-2.7.7-jar-with-dependencies.jar
11-16
jmeter dubbo接口测试插件,jmeter本身不支持dubbo协议接口测试,为了便于测试官方提供了jmeter对dubbo支持的插件包,将该包放入${JMETER_HOME}\lib\ext目录下即可用(前几天上传的多接口测试时有问题)
漏洞复现-Apache Dubbo反序列化漏洞(CVE-2023-23638)
玄道的网安博客
08-11 606
GenericFilter 将根据客户端提供的接口名、方法名、方法参数类型列表,根据反射机制获取对应的方法,再根据客户端提供的反序列化方式将参数进行反序列化成 pojo 对象。遍历 Map 中所有的 key, 并尝试获取与 key 对应的 setter Field, 然后赋值因为上面的过程会同时获取可能的 setter 和 Field, 然后赋值, 所以我们基本上可以控制任何类的任何属性 (即使它没有对应的 setter)1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。
反序列化漏洞】关于反序列化漏洞的杂谈1 -- Apache Dubbo 反序列化漏洞 CVE-2023-29234
blackmagic的博客
07-26 1560
反序列化漏洞也被称为"unserialization vulnerability"。它存在于那些允许将对象从字符串二进制数据转换回原始对象的应用程序中。反序列化漏洞的问题在于,恶意用户可以构造特殊的序列化数据,通过应用程序的反序列化过程来执行恶意代码。这可以导致应用程序在反序列化过程中执行任意的代码,包括读取、修改删除应用程序的敏感数据,者在应用程序上下文中执行不受控制的操作。
漏洞预警|Apache Dubbo再现反序列化漏洞,腾讯安全已支持全方位检测防护
wzl_540的专栏
03-15 1500
2)若直接编译、使用jar包构建项目,可查看jar包版本判断是否可能受漏洞影响(jar包全名:dubbo-x.x.x.jar / dubbo-common-x.x.x.jar,其中dubbo / dubbo-common为包名,x.x.x为版本)。(1)若使用maven构建项目,可在pom.xml等文件中查看引用的maven包版本(maven groupId: org.apache.dubbo,artifactId: dubbo / dubbo-common)。
暨fastjson后,dubbo也被曝出高危远程代码执行漏洞
weixin_47082274的博客
06-26 339
0x01 漏洞背景 2020年0623日, 360网络安全响应中心(以下简称360CERT)监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危。Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。Apache Dubbo Provider 存在 反序列化漏洞
Apache Dubbo反序列化漏洞
蚁景网安学院
11-18 1579
Apache Dubbo反序列化漏洞复现及利用!
Dubbo,Zookeeper,NSF,Druid,CouchDB未授权访问漏洞(附带修复方法)
C233333235的博客
08-11 2009
Dubbo是阿⾥巴巴公司开源的⼀个⾼性能优秀的 服务框架,使得应⽤可通过⾼性能的 RPC实现服务的输 出和输⼊功能,可以和 Spring框架⽆缝集成。dubbo 因配置不当导致未授权访问漏洞
Dubbo学习(一)Dubbo爆出严重漏洞!可导致网站被控制、数据泄露!附解决方案
GaoXiR的博客
02-16 3832
2020年2月13日,华为云安全团队监测到应用广泛的Apache Dubbo出现一个较为严重的漏洞反序列化漏洞漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。 一、漏洞原理 Apache Dubbo是一款应用广...
Apache Dubbo 存在反序列化漏洞(CVE-2023-23638)
murphysec的博客
03-09 4629
Apache Dubbo 是一款轻量级 Java RPC 框架 该项目受影响版本存在反序列化漏洞,由于Dubbo在序列化时检查不够全面,当攻击者可访问到dubbo服务时,可通过构造恶意请求绕过检查触发反序列化,执行恶意代码
Apache反序列化漏洞
03-24
近期发现的一个严重漏洞(CVE-2020-1948)涉及反序列化远程代码执行问题。 1. **漏洞成因** - 在 Dubbo 提供的服务端(Provider)中,存在未受保护的对象反序列化逻辑。如果攻击者能够控制输入的数据流,就可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值