2020年6月23日，金山云安全应急响应中心监测到Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞（CVE-2020-1948），攻击者可构造恶意请求执行任意代码。

该漏洞影响面较大，建议用户及时更新到安全版本，做好资产自查及预防工作，避免不必要的损失。

漏洞名称

Apache Dubbo远程代码执行漏洞（CVE-2020-1948）

风险等级

高危

漏洞描述

Apache Dubbo是一种基于Java的高性能RPC框架。2011年开源，2018年2月进入Apache孵化器，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。目前已被多家大型企业网络采用，影响面较大。

经金山云安全团队分析，攻击者可以发送带有无法识别的服务名或方法名的RPC请求，以及一些恶意的参数负载。当恶意参数被反序列化时，可执行恶意代码。

影响版本

Apache Dubbo 2.7.0 to 2.7.6

Apache Dubbo 2.6.0 to 2.6.7

Apache Dubbo all 2.5.x versions (官方已不再提供支持)

修复建议

官网已发布漏洞修复版本，金山云安全专家建议尽快更新到安全版本，下载地址：

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

注意：升级前做好备份，避免出现意外

参考链接

https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html

北京金山云网络技术有限公司

2020/06/23