一🤳🏽、背景介紹
Apache Dubbo服務存在反序列化漏洞,攻擊者可以通過構造特定請求在服務器上執行惡意代碼(CVE-2022-39198)。目前尚未發現在野利用的情況,Apache已發布修復了此漏洞的更新版本🚣🏿♀️。
1.1 漏洞描述
由於Apache Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目標系統上執行惡意代碼。
1.2 漏洞編號
CVE-2022-39198
二🫸🏿、修復建議
2.1 受影響版本
Apache Dubbo hessian-lite <=3.2.12
Apache Dubbo 2.7.x <=2.7.17
Apache Dubbo 3.0.x <=3.0.11
Apache Dubbo 3.1.x <=3.1.0
2.2 修復建議
可通過下載官方的版本更新修復漏洞,下載地址如下↪️✍️:
https://github.com/apache/dubbo/tags
如無法完成升級,可以使用白名單限製相關端口的訪問等措施來降低安全風險。