CVE-2021-37579漏洞的原因以及如何解决_微服务引擎(MSE)-阿里云帮助中心

备案控制台

输入文档关键字查找

本文介绍CVE-2021-37579漏洞的原因以及如何解决。

漏洞描述

Dubbo服务提供者会检查传入的请求，并且确保该请求的相应序列化类型符合服务器的配置。但是存在一个例外情况，攻击者可以使用该例外情况跳过安全检查（启用时）并使用原生的Java序列化机制触发反序列化动作。

漏洞评级

中

影响范围

使用Dubbo 2.7.0到2.7.12的所有用户。
使用Dubbo 3.0.0到3.0.1的所有用户。

安全建议

请根据您使用的Dubbo版本，升级到指定版本。

使用Dubbo 2.7.x的用户，请升级到2.7.13。
使用Dubbo 3.0.x的用户，请升级到3.0.2。

上一篇：【Dubbo安全漏洞通告】-CVE-2021-36161-RPC参数的格式化输出导致RCE攻击下一篇：【Dubbo安全漏洞通告】-CVE-2022-24969

文档内容是否对您有帮助？