Описание
Уязвимость RPC-фреймворка Apache Dubbo связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
Apache Software Foundation
Наименование ПО
Dubbo
Версия ПО
от 2.7.0 до 2.7.21 включительно (Dubbo)
от 3.0.0 до 3.0.13 включительно (Dubbo)
от 3.1.0 до 3.1.5 включительно (Dubbo)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение доступа из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения удалённого доступа к программному обеспечению.
Использование рекомендаций производителя:
https://lists.apache.org/thread/8h6zscfzj482z512d2v5ft63hdhzm0cb
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 99%
0.68129
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 5
nvd
почти 3 года назад
A deserialization vulnerability existed when dubbo generic invoke, which could lead to malicious code execution. This issue affects Apache Dubbo 2.7.x version 2.7.21 and prior versions; Apache Dubbo 3.0.x version 3.0.13 and prior versions; Apache Dubbo 3.1.x version 3.1.5 and prior versions.
CVSS3: 9.8
github
почти 3 года назад
Apache Dubbo vulnerable to Deserialization of Untrusted Data
EPSS
Процентиль: 99%
0.68129
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2