Описание
This vulnerability can affect all Dubbo users stay on version 2.7.6 or lower. An attacker can send RPC requests with unrecognized service name or method name along with some malicious parameter payloads. When the malicious parameter is deserialized, it will execute some malicious code. More details can be found below.
Ссылки
- Broken Link
- Third Party Advisory
- Broken Link
Уязвимые конфигурации
Конфигурация 1Версия от 2.5.0 (включая) до 2.5.10 (включая)Версия от 2.6.0 (включая) до 2.6.7 (включая)Версия от 2.7.0 (включая) до 2.7.6 (включая)
Одно из
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*
EPSS
Процентиль: 98%
0.63597
Средний
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-502
Связанные уязвимости
CVSS3: 9.8
github
почти 4 года назад
Deserialization of Untrusted Data in Apache Dubbo
EPSS
Процентиль: 98%
0.63597
Средний
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-502