本文介绍编号为CVE-2021-43297的Dubbo安全漏洞的成因、评级、影响范围以及安全建议。

漏洞描述

在Dubbo Hessian-Lite 3.2.11及之前版本中存在潜在RCE攻击风险。Hessian-Lite在遇到序列化异常时会输出相关信息,这可能导致触发某些恶意定制的Bean的toString方法,从而引发RCE攻击。

漏洞评级

影响范围

  • 使用Dubbo 2.6.0到2.6.11的所有用户。
  • 使用Dubbo 2.7.0到2.7.14的所有用户。
  • 使用Dubbo 3.0.0到3.0.4的所有用户。

安全建议

请根据您使用的Dubbo版本,升级到指定版本。具体建议如下:

  • 使用Dubbo 2.6.x的用户,请升级到2.6.12。
  • 使用Dubbo 2.7.x的用户,请升级到2.7.15。
  • 使用Dubbo 3.0.x的用户,请升级到3.0.5。

如果您的应用无法及时修复和验证,可以立即开通并使用阿里云ARMS RASP防护能力, 确保您的应用免受攻击。具体信息,请参见什么是应用安全