本文介绍CVE-2021-36161漏洞的原因以及如何解决。

漏洞描述

Dubbo中的某些组件将尝试打印输入参数的格式化字符串,这可能导致触发某些恶意定制的Bean的toString方法,从而引发RCE攻击。在最新版本中,我们修复了超时、缓存和其他一些地方的toString调用。

漏洞评级

影响范围

使用Dubbo 2.7.0到2.7.12的所有用户。

安全建议

使用Dubbo 2.7.x的用户,请升级到2.7.13。