GHSA-933g-v89r-x8pf

Опубликовано: 08 мар. 2023

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Apache Dubbo vulnerable to Deserialization of Untrusted Data

A deserialization vulnerability existed when dubbo generic invoke, which could lead to malicious code execution. This issue affects Apache Dubbo 2.7.x version 2.7.21 and prior versions; Apache Dubbo 3.0.x version 3.0.13 and prior versions; Apache Dubbo 3.1.x version 3.1.5 and prior versions.

Ссылки

Пакеты

Наименование

org.apache.dubbo:dubbo

maven

Затронутые версииВерсия исправления

< 2.7.21

2.7.22

Наименование

org.apache.dubbo:dubbo

maven

Затронутые версииВерсия исправления

>= 3.0.0, < 3.0.13

3.0.13

Наименование

org.apache.dubbo:dubbo

maven

Затронутые версииВерсия исправления

>= 3.1.0, < 3.1.5

3.1.5

EPSS

Процентиль: 99%

0.68129

Средний

9.8 Critical

CVSS3

CVE ID

CVE-2023-23638

Дефекты

CWE-502

Связанные уязвимости

CVE-2023-23638

CVSS3: 5

nvd

почти 3 года назад

BDU:2023-03123

CVSS3: 9.8

fstec

почти 3 года назад

Уязвимость RPC-фреймворка Apache Dubbo, связанная с недостатками механизма десериализации, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 99%

0.68129

Средний

9.8 Critical

CVSS3

CVE ID

CVE-2023-23638

Дефекты

CWE-502