2020年6月23日,阿里云应急响应中心监测到Apache Dubbo官方发布了Apache Dubbo远程代码执行的漏洞风险通告。

Apache Dubbo是一种基于Java的高性能RPC框架。Apache Dubbo官方披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可以构造并发送带有恶意参数负载的RPC请求,当恶意参数被反序列化时将导致远程代码执行。

漏洞影响范围:
  • Apache Dubbo 2.7.0~2.7.6
  • Apache Dubbo 2.6.0~2.6.7
  • Apache Dubbo 2.5.x系列所有版本(官方不再提供支持)

漏洞危险等级:高危

规则防护:云防火墙虚拟补丁已支持防护

规则类型:命令执行

安全建议:
  • Apache Dubbo官方已发布该漏洞的修复版本,请您升级至Apache Dubbo 2.7.7版本或更高版本。该漏洞修复版本的下载地址
  • 使用云防火墙的入侵防御功能进行安全防护。