本文介绍CVE-2021-36163漏洞的原因以及如何解决。
漏洞描述
用户可以选择使用Hessian协议。Hessian协议在HTTP上实现,并将POST请求的主体直接传递给HessianSkeleton。
新的HessianSkeleton是在没有任何序列化工厂配置的情况下创建的,因此Dubbo前期版本所增加的黑白名单在此场景并未起作用,默认情况下HessianSkeleton没有定义允许的或阻止的类定义列表。
漏洞评级
低
影响范围
- 使用Dubbo 2.6.10及更早版本的所有用户。
- 使用Dubbo 2.7.0到2.7.12的所有用户。
安全建议
请根据您使用的Dubbo版本,升级到指定版本。
- 使用Dubbo 2.6.x的用户,请升级到2.6.10.1或2.7.13。
- 使用Dubbo 2.7.x的用户,请升级到2.7.13。