【漏洞详情】

Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。近日Apache官方披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞（CVE-2020-1948），利用此漏洞远程攻击者可通过构造并发送带有恶意参数负载的RPC请求，实现任意代码执行攻击。

【风险评级】

高危

【影响范围】

l  Apache Dubbo 2.7.0 ~ 2.7.6

l  Apache Dubbo 2.6.0 ~ 2.6.7

l  Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)

【修复建议】

目前厂商已发布漏洞修复版本，建议用户依据实际业务评估漏洞影响，尽快更新到安全版本。

安全版本下载链接：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

【参考链接】

https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年6月24日