Описание
A deserialization vulnerability existed when decode a malicious package.This issue affects Apache Dubbo: from 3.1.0 through 3.1.10, from 3.2.0 through 3.2.4.
Users are recommended to upgrade to the latest version, which fixes the issue.
Ссылки
- Mailing ListThird Party Advisory
- Mailing ListVendor Advisory
- Mailing ListThird Party Advisory
- Mailing ListVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 3.1.0 (включая) до 3.1.10 (включая)Версия от 3.2.0 (включая) до 3.2.4 (включая)
Одно из
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:*
EPSS
Процентиль: 100%
0.88971
Высокий
9.8 Critical
CVSS3
Дефекты
CWE-502
Связанные уязвимости
CVSS3: 9.8
fstec
около 2 лет назад
Уязвимость RPC-фреймворка Apache Dubbo, связанная с недостатками механизма десериализации, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
EPSS
Процентиль: 100%
0.88971
Высокий
9.8 Critical
CVSS3
Дефекты
CWE-502