首页 » 安全预警 » 正文

【高危安全通告】Apache Dubbo Provider反序列化远程代码执行漏洞

近日,安全狗运营中心监测到Apache Dubbo披露了Provider反序列化远程代码执行漏洞(CVE-2020-1948)。

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可以构造并发送带有恶意参数负载的RPC请求,当恶意参数被反序列化时将导致远程代码执行。安全狗应急响应中心提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。

Apache Dubbo官方已发布漏洞修复更新,安全狗建议您:

1)升级到最新版本:

下载地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

2)临时处置方式禁止Dubbo Provider对外开放;

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外

发表评论