CVE-2023-23638

Опубликовано: 08 мар. 2023

Источник: nvd

CVSS3: 5

CVSS3: 9.8

EPSS Средний

Описание

A deserialization vulnerability existed when dubbo generic invoke, which could lead to malicious code execution.

This issue affects Apache Dubbo 2.7.x version 2.7.21 and prior versions; Apache Dubbo 3.0.x version 3.0.13 and prior versions; Apache Dubbo 3.1.x version 3.1.5 and prior versions.

Ссылки

https://lists.apache.org/thread/8h6zscfzj482z512d2v5ft63hdhzm0cb
Issue Tracking
Vendor Advisory
https://lists.apache.org/thread/8h6zscfzj482z512d2v5ft63hdhzm0cb
Issue Tracking
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*

Версия от 2.7.0 (включая) до 2.7.21 (включая)

cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*

Версия от 3.0.0 (включая) до 3.0.13 (включая)

cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*

Версия от 3.1.0 (включая) до 3.1.5 (включая)

EPSS

Процентиль: 99%

0.68129

Средний

5 Medium

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-502

Связанные уязвимости

GHSA-933g-v89r-x8pf

CVSS3: 9.8

github

почти 3 года назад

Apache Dubbo vulnerable to Deserialization of Untrusted Data

BDU:2023-03123

CVSS3: 9.8

fstec

почти 3 года назад

Уязвимость RPC-фреймворка Apache Dubbo, связанная с недостатками механизма десериализации, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 99%

0.68129

Средний

5 Medium

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-502