Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-69wp-3pm3-hxgg

Опубликовано: 24 мая 2022
Источник: github
Github: Прошло ревью

Описание

Deserialization of Untrusted Data in Apache Dubbo

Unsafe deserialization occurs within a Dubbo application which has HTTP remoting enabled. An attacker may submit a POST request with a Java object in it to completely compromise a Provider instance of Apache Dubbo, if this instance enables HTTP. This issue affected Apache Dubbo 2.7.0 to 2.7.4, 2.6.0 to 2.6.7, and all 2.5.x versions.

Ссылки

Пакеты

Наименование

org.apache.dubbo:dubbo-rpc-http-invoker

maven
Затронутые версииВерсия исправления

>= 2.5.0, < 2.7.5

2.7.5

EPSS

Процентиль: 100%
0.94048
Критический

CVE ID

CVE-2019-17564

Дефекты

CWE-502

Связанные уязвимости

nvd логотип

CVE-2019-17564

CVSS3: 9.8
nvd
почти 6 лет назад

Unsafe deserialization occurs within a Dubbo application which has HTTP remoting enabled. An attacker may submit a POST request with a Java object in it to completely compromise a Provider instance of Apache Dubbo, if this instance enables HTTP. This issue affected Apache Dubbo 2.7.0 to 2.7.4, 2.6.0 to 2.6.7, and all 2.5.x versions.

fstec логотип

BDU:2025-09902

CVSS3: 9.8
fstec
почти 6 лет назад

Уязвимость RPC-фреймворка Apache Dubbo, связанная с недостатками механизма десериализации, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 100%
0.94048
Критический

CVE ID

CVE-2019-17564

Дефекты

CWE-502