Описание
Уязвимость RPC-фреймворка Apache Dubbo связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании
Вендор
Apache Software Foundation
Наименование ПО
Dubbo
Версия ПО
от 3.1.0 до 3.1.10 включительно (Dubbo)
от 3.2.0 до 3.2.4 включительно (Dubbo)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
https://dubbo.apache.org/en/download/
https://github.com/apache/dubbo/releases/tag/dubbo-3.1.11
https://github.com/apache/dubbo/releases/tag/dubbo-3.2.5
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 100%
0.88971
Высокий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
около 2 лет назад
A deserialization vulnerability existed when decode a malicious package.This issue affects Apache Dubbo: from 3.1.0 through 3.1.10, from 3.2.0 through 3.2.4. Users are recommended to upgrade to the latest version, which fixes the issue.
EPSS
Процентиль: 100%
0.88971
Высокий
9.8 Critical
CVSS3
10 Critical
CVSS2