本文介绍CVE-2021-36161漏洞的原因以及如何解决。
漏洞描述
Dubbo中的某些组件将尝试打印输入参数的格式化字符串,这可能导致触发某些恶意定制的Bean的toString方法,从而引发RCE攻击。在最新版本中,我们修复了超时、缓存和其他一些地方的toString调用。
漏洞评级
低
影响范围
使用Dubbo 2.7.0到2.7.12的所有用户。
安全建议
使用Dubbo 2.7.x的用户,请升级到2.7.13。
本文介绍CVE-2021-36161漏洞的原因以及如何解决。
Dubbo中的某些组件将尝试打印输入参数的格式化字符串,这可能导致触发某些恶意定制的Bean的toString方法,从而引发RCE攻击。在最新版本中,我们修复了超时、缓存和其他一些地方的toString调用。
低
使用Dubbo 2.7.0到2.7.12的所有用户。
使用Dubbo 2.7.x的用户,请升级到2.7.13。