本文介绍CVE-2022-39198漏洞的原因以及解决方式。

漏洞描述

Dubbo hessian-lite 3.2.12及之前版本存在反序列化漏洞,可能导致恶意代码执行。

漏洞评级

影响范围

使用以下版本的用户:
  • Dubbo 2.7.0至2.7.17
  • Dubbo 3.0.0至3.0.11
  • Dubbo 3.1.0

安全建议

请根据您使用的Dubbo版本,升级到指定版本。

  • 若您目前使用Dubbo 2.7.x版本,请升级至Dubbo 2.7.18。
  • 若您目前使用Dubbo 3.0.x版本,请升级至Dubbo 3.0.12。
  • 若您目前使用Dubbo 3.1.0版本,请升级至Dubbo 3.1.1。