GHSA-6x49-w35h-wqrj

Опубликовано: 15 дек. 2023

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Bypass serialize checks in Apache Dubbo

A deserialization vulnerability existed when decode a malicious package.This issue affects Apache Dubbo: from 3.1.0 through 3.1.10, from 3.2.0 through 3.2.4.

Users are recommended to upgrade to the latest version, which fixes the issue.

Ссылки

Пакеты

Наименование

org.apache.dubbo:dubbo

maven

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.11

3.1.11

Наименование

org.apache.dubbo:dubbo

maven

Затронутые версииВерсия исправления

>= 3.2.0, < 3.2.5

3.2.5

EPSS

Процентиль: 100%

0.88971

Высокий

9.8 Critical

CVSS3

CVE ID

CVE-2023-29234

Дефекты

CWE-502

Связанные уязвимости

CVE-2023-29234

CVSS3: 9.8

nvd

около 2 лет назад

A deserialization vulnerability existed when decode a malicious package.This issue affects Apache Dubbo: from 3.1.0 through 3.1.10, from 3.2.0 through 3.2.4. Users are recommended to upgrade to the latest version, which fixes the issue.

BDU:2023-09032

CVSS3: 9.8

fstec

около 2 лет назад

Уязвимость RPC-фреймворка Apache Dubbo, связанная с недостатками механизма десериализации, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

EPSS

Процентиль: 100%

0.88971

Высокий

9.8 Critical

CVSS3

CVE ID

CVE-2023-29234

Дефекты

CWE-502