Apache Dubbo远程代码执行漏洞 (CVE-2020-1948)

来源:scanv2020.06.23

一 漏洞概述

2020年6月22日,Apache Dubbo官方披露了Provider默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求执行任意代码。

Apache Dubbo是一款高性能、轻量级的开源Java RPC框架。它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)会影响所有使用2.7.6或更低版本的Dubbo用户,攻击者可以发送带有无法识别的服务名或方法名的RPC请求,以及一些恶意的参数负载。当恶意参数被反序列化时,它将执行一些恶意代码。

二 影响版本

Apache Dubbo 2.7.0 to 2.7.6

Apache Dubbo 2.6.0 to 2.6.7

Apache Dubbo all 2.5.x versions (官方已不再提供支持)

三 复现过程

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Apache” 进行搜索,共得到 172,402,615 条 IP 历史记录,主要分布在美国等国家。

五 修复建议

目前官方已发布漏洞修复版本,建议尽快更新到安全版本。建议升级前做好备份,避免出现意外。

下载地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

六 时间线

官方发布漏洞风险通告时间:2020年6月22日

知道创宇发布漏洞情报时间:2020年6月23日

七 相关链接

Apache Dubbo:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult/report?q=app%3A%22Apache%22

热门文章

  • Kubernetes容器节点漏洞(CVE-2020-8558)

    Kubernetes存在一个容器漏洞(CVE-2020-8558),攻击者可能通过共享主机网络的容器,或在集群节点上访问同一个二层网络下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务,从而获取接口信息。如果服务没有设置必要的安全认证,可能造成信息泄露风险。

  • Citrix产品多个安全漏洞

    2020年7月7日,Citrix官方发布安全公告,在Citrix ADC、Citrix网关和Citrix SD-WAN WANOP 4000-WO、4100-WO、5000-WO和5100-WO版本中发现了多个漏洞。

  • PAN-OS GlobalProtect portal命令注入漏洞(CVE-2020-2034)

    2020年7月8日,Palo Alto Networks发布安全公告,修复了一个PAN-OS GlobalProtect portal中的命令注入漏洞(CVE-2020-2034),该漏洞导致未经身份验证的攻击者可在受影响的设备上以root权限执行任意OS命令。

关注知道创宇云安全

获取安全动态