Apache Dubbo CVE-2021-36162高危漏洞详情

一、Apache Dubbo CVE-2021-36162高危漏洞详情

        近日，国外安全研究人员披露Apache Dubbo多个高危漏洞详情，其中包括Apache Dubbo YAML反序列化漏洞（CVE-2021-36162），Apache Dubbo Hessian协议反序列化漏洞（CVE-2021-36163）。
        漏洞等级：高危。 
        漏洞概述： Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。 CVE-2021-36162 中，Apache Dubbo多处使用了yaml.load，攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。 CVE-2021-36163 中，Apache Dubbo中使用了不安全的Hessian 协议，攻击者可以利用此漏洞触发反序列化，造成远程代码执行漏洞。 目前，Apache Dubbo多个高危漏洞详情已公开，漏洞现实威胁提升。同时官方已发布修复版本，建议各个研发中心尽快修复漏洞并自查服务器的安全状况。 对于使用公司框架引入的Dubbo或者进行过二次开发的Dubbo，还请自行评估安全风险并进行整改。
风险等级： 
    【漏洞等级】 高危

二、受影响版本

        【受影响版本】

        2.7.0 <= Dubbo <= 2.7.12 
        3.0.0 <= Dubbo <= 3.0.1

三、修复建议

     建议尽快升级至 Apache Dubbo安全版本：
        Apache Dubbo 2.7.13 
        Apache Dubbo 3.0.2