Описание
Unsafe deserialization occurs within a Dubbo application which has HTTP remoting enabled. An attacker may submit a POST request with a Java object in it to completely compromise a Provider instance of Apache Dubbo, if this instance enables HTTP. This issue affected Apache Dubbo 2.7.0 to 2.7.4, 2.6.0 to 2.6.7, and all 2.5.x versions.
Ссылки
- Mailing ListVendor Advisory
- Mailing ListVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 2.5.0 (включая) до 2.5.10 (включая)Версия от 2.6.0 (включая) до 2.6.7 (включая)Версия от 2.7.0 (включая) до 2.7.4 (включая)
Одно из
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*
EPSS
Процентиль: 100%
0.94048
Критический
9.8 Critical
CVSS3
6.8 Medium
CVSS2
Дефекты
CWE-502
Связанные уязвимости
CVSS3: 9.8
fstec
почти 6 лет назад
Уязвимость RPC-фреймворка Apache Dubbo, связанная с недостатками механизма десериализации, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 100%
0.94048
Критический
9.8 Critical
CVSS3
6.8 Medium
CVSS2
Дефекты
CWE-502